La Commission irlandaise de protection des Données (DPC) a infligé une amende de 251 millions d’euros (263,6 millions de dollars) à Meta pour des violations du Règlement Général sur la Protection des Données (RGPD) résultant d’une violation de données personnelles en 2018 ayant eu un impact sur 29 millions de comptes Facebook.
La violation a été causée par l’exploitation des jetons d’accès des utilisateurs par des parties non autorisées, exposant des données utilisateur sensibles telles que des noms, des adresses électroniques, des numéros de téléphone et des emplacements physiques, tout en affectant également les enfants.
Bien que Facebook ait pris des mesures correctives immédiates après avoir découvert le bogue dans sa fonctionnalité « Afficher en tant que », l’incident violait toujours plusieurs articles du RGPD.
Plus précisément, le DPC irlandais indique que les violations suivantes du RGPD sont liées à l’incident:
- Article 33 (3): Informations incomplètes sur la notification de violation → Amende de 8 M €
- Article 33 (5): Mauvaise documentation des faits de violation / recours → Amende de 3 M €
- Article 25 (1): Défaut d’intégration de la protection des données dans la conception du système → Amende de 130 M €
- Article 25 (2): Non-limitation du traitement des données à ce qui est nécessaire → Amende de 110 M €
« Cette mesure d’exécution met en évidence comment le fait de ne pas intégrer les exigences de protection des données tout au long du cycle de conception et de développement peut exposer les individus à des risques et des préjudices très graves, y compris un risque pour les droits et libertés fondamentaux des individus », a commenté Graham Doyle, commissaire adjoint du DPC.
Le DPC a promis de publier bientôt l’intégralité de la décision, offrant au public plus d’informations.
En réponse à l’annonce du DPC, Meta a envoyé à Breachtrace la déclaration suivante:
« Cette décision concerne un incident de 2018. Nous avons pris des mesures immédiates pour résoudre le problème dès qu’il a été identifié, et nous avons informé de manière proactive les personnes touchées, ainsi que la Commission irlandaise de protection des données », a déclaré Meta à Breachtrace .
« Nous avons mis en place un large éventail de mesures de pointe pour protéger les personnes sur nos plateformes. »
Meta s’installe en Australie
Aujourd’hui également, le Commissaire australien à l’information a annoncé que Meta avait accepté un règlement de 50 millions de dollars pour les utilisateurs australiens de Facebook touchés par l’incident de Cambridge Analytica.
Le règlement résout les violations de la vie privée en vertu de la Loi de 1988 sur la protection de la vie privée impliquant des données divulguées à l’application This is Your Digital Life, potentiellement utilisées à mauvais escient pour le profilage politique.
Les Australiens qui avaient des comptes Facebook entre le 2 novembre 2013 et le 17 décembre 2015, ont passé plus de 30 jours en Australie et ont installé l’application Your Digital Life ou étaient amis avec quelqu’un qui l’a fait sont éligibles à une indemnisation.
De plus amples détails sur le régime de paiement sont disponibles sur la page Engagement exécutoire.
Meta a envoyé à Breachtrace une déclaration distincte concernant ce développement, renonçant aux pratiques passées.
« Nous avons réglé sur une base de non-admission, car il est dans le meilleur intérêt de notre communauté et de nos actionnaires que nous fermions ce chapitre sur des allégations liées à des pratiques passées qui ne sont plus pertinentes pour le fonctionnement actuel des produits ou des systèmes de Meta. Nous sommes impatients de continuer à créer des services que les Australiens aiment et auxquels ils font confiance avec la confidentialité au premier plan », a déclaré Meta à Breachtrace .