Meta Platforms, la société mère de Facebook, Instagram, WhatsApp et Threads, a été condamnée à une amende de 251 millions d’euros (environ 263 millions de dollars) pour une violation de données en 2018 qui a touché des millions d’utilisateurs dans le bloc, ce qui constitue le dernier coup financier que l’entreprise a connu. pris pour avoir bafoué les lois strictes sur la vie privée.
La Commission irlandaise de protection des données (DPC) a déclaré que la violation de données a touché environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions étaient basés dans l’Union européenne et dans l’Espace économique européen (EEE). Il convient de noter que les premières estimations du géant de la technologie évaluaient le nombre total de comptes concernés à 50 millions.
L’incident, que la société de médias sociaux a révélé en septembre 2018, découle d’un bug introduit dans les systèmes de Facebook en juillet 2017, permettant à des acteurs malveillants inconnus d’exploiter la fonctionnalité « Afficher en tant que » qui permet à un utilisateur de voir son propre profil comme quelqu’un. autre.
Cela a finalement permis d’obtenir des jetons d’accès aux comptes, permettant aux attaquants de s’introduire dans les comptes des victimes. Les catégories de données personnelles affectées par la faille de sécurité comprenaient les noms complets des utilisateurs, leurs adresses e-mail, leurs numéros de téléphone, leur emplacement, leurs lieux de travail, leurs dates de naissance, leur religion, leur sexe, leurs publications sur les timelines, les groupes dont ils étaient membres, et données personnelles des enfants.
“Un utilisateur utilisant [the View As] “La fonctionnalité pourrait invoquer le téléchargeur vidéo en conjonction avec la fonction “Happy Birthday Composer” de Facebook”, a déclaré le DPC. dit.
“Le téléchargeur de vidéo générerait alors un jeton d’utilisateur entièrement autorisé qui lui donnerait un accès complet au profil Facebook de cet autre utilisateur. Un utilisateur pourrait ensuite utiliser ce jeton pour exploiter la même combinaison de fonctionnalités sur d’autres comptes, lui permettant ainsi d’accéder à plusieurs utilisateurs. ‘ profils et les données accessibles via ceux-ci.
L’organisme de surveillance de la protection des données a également déclaré que des acteurs malveillants ont exploité des scripts pour exploiter la faille entre le 14 et le 28 septembre 2018 et obtenir un accès non autorisé à 29 millions de comptes Facebook dans le monde. Meta a depuis supprimé la fonctionnalité à l’origine du problème.
Les amendes font suite à la violation de quatre clauses différentes des lois sur la confidentialité des données du RGPD, à savoir Article 33, paragraphe 3, article 33, paragraphe 5, Article 25, paragraphe 1, et article 25, paragraphe 2 –
- Ne pas inclure dans sa notification de violation toutes les informations qu’il aurait pu et dû inclure
- Ne pas documenter les faits relatifs à chaque violation, les mesures prises pour y remédier, et ce, de manière à permettre à l’Autorité de contrôle de vérifier la conformité
- Ne pas garantir que les principes de protection des données soient protégés dans la conception des systèmes de traitement
- Manquer à ses obligations en tant que responsable du traitement de garantir que seules les données personnelles nécessaires à des finalités spécifiques sont traitées
“Cette mesure coercitive met en évidence comment le fait de ne pas intégrer d’exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les individus à des risques et à des préjudices très graves, y compris un risque pour les droits et libertés fondamentaux des individus”, a déclaré le sous-commissaire du DPC, Graham Doyle.
“En permettant une exposition non autorisée des informations de profil, les vulnérabilités derrière cette violation ont entraîné un risque grave d’utilisation abusive de ce type de données.”
Il s’agit de la deuxième amende de ce type infligée par le DPC à Meta, qui a été condamné à une amende de 91 millions d’euros (101,5 millions de dollars) en septembre 2024 pour un problème de sécurité en 2019 impliquant le stockage par inadvertance des mots de passe des utilisateurs en texte clair.
Cette évolution intervient alors que Meta a également accepté un programme de paiement de 50 millions de dollars australiens (31,5 millions de dollars) à régler avec le Bureau du commissaire australien à l’information (OAIC) concernant l’utilisation abusive des informations personnelles des utilisateurs à des fins de profilage politique et de ciblage publicitaire à la suite de le scandale Cambridge Analytica de 2018.
Le programme est éligible aux personnes ayant détenu un compte Facebook entre le 2 novembre 2013 et le 17 décembre 2015 ; étaient présents en Australie pendant plus de 30 jours au cours de cette période ; et soit ils ont installé l’application This is Your Digital Life, soit ils étaient amis sur Facebook avec une personne qui a installé l’application.
On dit que 53 utilisateurs australiens de Facebook avait installé l’application, et 311 074 utilisateurs de Facebook auraient pu voir leurs informations personnelles demandées par l’application en tant qu’amis de ceux qui l’avaient téléchargée.
Le règlement propose deux niveaux de paiement, un paiement de base à ceux qui ont ressenti une inquiétude ou un embarras généralisé en raison de la fuite et un paiement spécifique à ceux qui peuvent démontrer qu’ils ont subi une perte ou un dommage. Le programme de paiement devrait accepter officiellement les demandes au deuxième trimestre 2025.
“Cela représente une résolution substantielle des problèmes de confidentialité soulevés par l’affaire Cambridge Analytica, donne aux Australiens potentiellement concernés la possibilité de demander réparation via le programme de paiement de Meta et met fin à une longue procédure judiciaire”, a déclaré la commissaire australienne à l’information, Elizabeth Tydd. dit.