Violation de données sur Facebook: Meta écope de 251 millions d’euros d’amende
La Commission irlandaise pour la protection des données punit ce mardi un défaut de sécurité ayant entraîné en 2018 la perte de données personnelles de 3 millions de comptes européens. Le groupe n’en est pas à sa première amendeQuelques dizaines de millions d’euros, plus de six ans après les faits: le géant Meta, qui brasse des dizaines de milliards de dollars de bénéfices, a écopé d’une amende de 251 millions d’euros dans l’Union européenne pour une faille de sécurité sur Facebook en 2018.Ce défaut de sécurité avait permis à des pirates informatiques d’accéder à des données personnelles pouvant inclure le nom complet, l’adresse mail, le numéro de téléphone ou encore la date de naissance ou la religion, selon la Commission irlandaise pour la protection des données (DPC).Lire aussi: Facebook est devenu un monstre29 millions de comptes Facebook concernés dans le monde Le régulateur inflige cette amende au nom de l’UE, le siège européen de Meta, maison mère de Facebook, se trouvant à Dublin. L’affaire, révélée par Facebook en septembre 2018, avait entraîné un immense scandale dans le monde entier: «cette violation de données a eu un impact sur environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions étaient basés dans l’UE», rappelle la DPC dans un communiqué.Lire aussi: Vingt ans après ses débuts, pourquoi Facebook conserve-t-il un tel pouvoir d’attraction?«Nous avons pris des mesures immédiates pour résoudre le problème dès qu’il a été identifié, et nous avons informé de manière proactive les personnes impactées ainsi que la Commission irlandaise de protection des données», a réagi dans un communiqué un porte-parole de Meta, qui compte faire appel.Les pirates avaient profité de la conjonction de plusieurs bugs nichés dans la fonctionnalité «Voir en tant que» - qui permet de visualiser ce à quoi ressemble son propre profil quand il est vu par un autre utilisateur - pour accéder aux données. Une faille de 14 jours L’utilisation de cette fonction pouvait générer par erreur des clés numériques de connexion, appelées en anglais «access tokens», permettant de rester connecté sans avoir à rentrer son mot de passe à chaque fois. Les pirates sont arrivés à s’emparer de ces clés, qui donnent accès aux comptes comme si on en était le titulaire. Selon la DPC, cette faille a duré 14 jours, entre le 14 et le 28 septembre 2018.L’amende, infligée mardi, «montre comment le fait de ne pas intégrer les exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les personnes à des risques et à des préjudices très graves», a commenté Graham Doyle, responsable de la communication du régulateur irlandais. Pour aller plus loin: Malgré les scandales, Facebook demeure un puissant aspirateur à donnéesLa première enquête après l’adoption du RGPD La DPC avait commencé à enquêter fin 2018. Il s’agissait alors d’une des premières applications contre un poids lourd d’internet du Règlement européen sur la protection des données (RGPD), entré en vigueur quelques mois plus tôt dans l’UE.Ce règlement, qui vise à mieux protéger les données personnelles des Européens, renforce les droits des internautes et établit des obligations claires pour les entreprises dans le traitement des données.Pour mieux comprendre: Pourquoi le RGPD est utileMeta est depuis régulièrement mis en cause dans l’UE, mais ses condamnations, qui tombent souvent plusieurs années après les faits, semblent peu dissuasives pour le géant de Menlo Park, qui vient d’annoncer 40,59 milliards de dollars (38,7 milliards d’euros) de chiffre d’affaires au troisième trimestre, dont 15,69 milliards de bénéfices, supérieur aux attentes du marché.L’amende la plus récente dans l’UE concernant des données remonte à fin septembre: 91 millions d’euros pour un manque de transparence après une faille de sécurité.Tous nos articles sur Meta et FacebookLe groupe avait - entre autres - déjà écopé d’une amende de 225 millions d’euros en 2021, déjà pour manque de transparence, de 405 millions en 2022 pour des manquements dans le traitement des données des mineurs, de 265 millions la même année pour un déficit de protection des données ou bien encore de 390 millions en 2023, encore pour des problèmes de transparence.
La Commission irlandaise pour la protection des données punit ce mardi un défaut de sécurité ayant entraîné en 2018 la perte de données personnelles de 3 millions de comptes européens. Le groupe n’en est pas à sa première amende
Quelques dizaines de millions d’euros, plus de six ans après les faits: le géant Meta, qui brasse des dizaines de milliards de dollars de bénéfices, a écopé d’une amende de 251 millions d’euros dans l’Union européenne pour une faille de sécurité sur Facebook en 2018.
Ce défaut de sécurité avait permis à des pirates informatiques d’accéder à des données personnelles pouvant inclure le nom complet, l’adresse mail, le numéro de téléphone ou encore la date de naissance ou la religion, selon la Commission irlandaise pour la protection des données (DPC).
29 millions de comptes Facebook concernés dans le monde
Le régulateur inflige cette amende au nom de l’UE, le siège européen de Meta, maison mère de Facebook, se trouvant à Dublin. L’affaire, révélée par Facebook en septembre 2018, avait entraîné un immense scandale dans le monde entier: «cette violation de données a eu un impact sur environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions étaient basés dans l’UE», rappelle la DPC dans un communiqué.
Lire aussi: Vingt ans après ses débuts, pourquoi Facebook conserve-t-il un tel pouvoir d’attraction?
«Nous avons pris des mesures immédiates pour résoudre le problème dès qu’il a été identifié, et nous avons informé de manière proactive les personnes impactées ainsi que la Commission irlandaise de protection des données», a réagi dans un communiqué un porte-parole de Meta, qui compte faire appel.
Les pirates avaient profité de la conjonction de plusieurs bugs nichés dans la fonctionnalité «Voir en tant que» - qui permet de visualiser ce à quoi ressemble son propre profil quand il est vu par un autre utilisateur - pour accéder aux données.
Une faille de 14 jours
L’utilisation de cette fonction pouvait générer par erreur des clés numériques de connexion, appelées en anglais «access tokens», permettant de rester connecté sans avoir à rentrer son mot de passe à chaque fois. Les pirates sont arrivés à s’emparer de ces clés, qui donnent accès aux comptes comme si on en était le titulaire. Selon la DPC, cette faille a duré 14 jours, entre le 14 et le 28 septembre 2018.
L’amende, infligée mardi, «montre comment le fait de ne pas intégrer les exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les personnes à des risques et à des préjudices très graves», a commenté Graham Doyle, responsable de la communication du régulateur irlandais.
La première enquête après l’adoption du RGPD
La DPC avait commencé à enquêter fin 2018. Il s’agissait alors d’une des premières applications contre un poids lourd d’internet du Règlement européen sur la protection des données (RGPD), entré en vigueur quelques mois plus tôt dans l’UE.
Ce règlement, qui vise à mieux protéger les données personnelles des Européens, renforce les droits des internautes et établit des obligations claires pour les entreprises dans le traitement des données.
Pour mieux comprendre: Pourquoi le RGPD est utile
Meta est depuis régulièrement mis en cause dans l’UE, mais ses condamnations, qui tombent souvent plusieurs années après les faits, semblent peu dissuasives pour le géant de Menlo Park, qui vient d’annoncer 40,59 milliards de dollars (38,7 milliards d’euros) de chiffre d’affaires au troisième trimestre, dont 15,69 milliards de bénéfices, supérieur aux attentes du marché.
L’amende la plus récente dans l’UE concernant des données remonte à fin septembre: 91 millions d’euros pour un manque de transparence après une faille de sécurité.
Tous nos articles sur Meta et Facebook
Le groupe avait - entre autres - déjà écopé d’une amende de 225 millions d’euros en 2021, déjà pour manque de transparence, de 405 millions en 2022 pour des manquements dans le traitement des données des mineurs, de 265 millions la même année pour un déficit de protection des données ou bien encore de 390 millions en 2023, encore pour des problèmes de transparence.
