News

Meta condamnée à 251 millions d’euros pour une faille de sécurité sur Facebook

En septembre 2018, une faille majeure de sécurité a exposé les données personnelles de 29 millions de comptes Facebook dans le monde. Meta, la maison mère de Facebook, vient d’être sanctionnée par une amende de 251 millions d’euros infligée par le régulateur irlandais pour non-respect des exigences du RGPD.

Rédaction:
Chloé De Smet
09 janvier 2025
amende meta

Une faille de sécurité coûteuse pour Meta : retour sur les faits

Les détails de la faille de sécurité sur Facebook

La faille de sécurité concernait la fonctionnalité "Voir en tant que", permettant aux utilisateurs de vérifier comment leur profil apparaît à d'autres personnes.

Malheureusement, plusieurs bugs dans cette fonctionnalité ont permis à des pirates d’exploiter une vulnérabilité technique. Ces derniers ont généré des clés numériques pour accéder sans mot de passe à des comptes d’utilisateurs, comme s’ils en étaient les propriétaires.

Entre le 14 et le 28 septembre 2018, des cyberattaques ont ciblé environ 29 millions de comptes Facebook, dont 3 millions basés dans l’Union européenne

Les pirates ont ainsi pu consulter des données sensibles comme :

  • le nom,
  • l’adresse e-mail,
  • le numéro de téléphone,
  • et dans certains cas, le genre, la religion
  • ou encore la localisation géographique récente des utilisateurs.

Pourquoi Meta a été sanctionnée ?

Le RGPD exige que toute violation de données personnelles soit notifiée à l’autorité compétente dans un délai de 72 heures. Bien que Meta ait respecté cette obligation, la Commission irlandaise pour la Protection des données a estimé que l’entreprise n’avait pas mis en place des mesures suffisantes pour prévenir cette faille. 

Selon l'article 25 du RGPD, la protection des données personnelles doit être intégrée dès la conception des outils numériques.

Amende Meta et RGPD : quels principes ont été violés ?

Les obligations de Meta en matière de protection des données personnelles

Le RGPD impose aux entreprises de garantir la confidentialité, l'intégrité et la disponibilité des données personnelles qu'elles traitent. Ces principes doivent être intégrés dès la conception des outils numériques et tout au long de leur cycle de vie.

Dans cette affaire, Meta aurait dû s’assurer de respecter plusieurs dispositions clés du RGPD, mais selon le régulateur irlandais, les mesures mises en œuvre étaient insuffisantes.

Les articles du RGPD mis en cause dans cette affaire

Article 25(1) RGPD : Meta n’a pas veillé à ce que les principes de protection des données personnelles soient intégrés dès la conception des systèmes de traitement. Ce manquement, connu sous le principe de "Privacy by Design", aurait dû garantir que la sécurité des données personnelles était prioritaire lors du développement de la fonctionnalité "Voir en tant que".

Article 25(2) RGPD : L’entreprise n’a pas respecté son obligation de limiter le traitement des données à caractère personnel aux informations strictement nécessaires pour des finalités spécifiques, ce qui aurait réduit l’impact potentiel de la faille.

Article 33(3) RGPD : Bien que Meta ait signalé l'incident dans le délai imparti de 72 heures, la notification était jugée incomplète. Elle ne contenait pas toutes les informations requises, comme les détails nécessaires pour évaluer pleinement l’impact de la violation.

Article 33(5) RGPD : En outre, Meta n’a pas correctement documenté les faits relatifs à cette violation, les mesures prises pour y remédier, ni fourni une documentation suffisante permettant à l’autorité de contrôle de vérifier la conformité.En ne respectant pas ces dispositions, Meta a failli à son rôle de garant de la protection des données personnelles, exposant ainsi des millions d’utilisateurs à des risques de sécurité accrus.

 

Quels impacts pour les utilisateurs de Facebook et pour Meta ?

Conséquences pour les données des utilisateurs affectés

Les utilisateurs touchés par cette faille ont vu leurs données personnelles compromises, ce qui peut entraîner des risques de phishing, d’usurpation d’identité ou d’autres formes de cybercriminalité.

Impact sur l’image de Meta et ses futures obligations légales

La sanction envers Meta est une amende administrative mais ne vise aucunement à indemniser concrètement les utilisateurs victimes. 

Au-delà de l’amende, cette affaire a terni la réputation de Meta, soulignant des lacunes dans la sécurité des données personnelles. L’entreprise devra désormais démontrer un engagement accru envers le respect des réglementations européennes. 

Cette affaire démontre également le sérieux de l’Union Européenne de faire respecter le RGPD par des institutions non européennes, en l’occurrence Meta. 

Le rappel de Testachats : comment protéger vos données personnelles ?

Les bonnes pratiques pour sécuriser vos comptes en ligne

  • Activez l’authentification à deux facteurs.
  • Évitez de réutiliser les mêmes mots de passe sur plusieurs plateformes.
  • Vérifiez régulièrement les paramètres de confidentialité de vos comptes.

Pour en savoir plus sur vos droits en matière de protection des données personnelles et comment agir en cas de violation, consultez notre dossier complet sur le RGPD.

En savoir plus sur la protection de vos données personnelles

 

 

Recommandé pour vous

Débloquez votre expérience personnalisée !
Découvrez du contenu conçu spécialement pour vous ! Acceptez les cookies pour gagner du temps et profiter d'une expérience de navigation plus personnalisée.
cookie Blurred background no cookies
Contenus liés

Dossiers

News

Recevez notre newsletter et restez toujours au courant !

Je m'inscris