Réinitialisez vos horloges : Meta a été frappée d'une nouvelle pénalité en matière de confidentialité en Europe. Vendredi, la Fee irlandaise de safety des données (DPC) annoncé une réprimande et une amende de 91 hundreds of thousands d'euros – environ 101,5 hundreds of thousands de {dollars} aux taux de change actuels – après avoir conclu une enquête pluriannuelle sur une faille de sécurité commise en 2019 par la société mère de Fb.
La DPC a ouvert une enquête légale sur l'incident en query en avril 2019 en vertu du règlement général sur la safety des données (RGPD) du bloc après que Meta, ou Fb comme l'entreprise s'appelait encore à l'époque, l'ait informé que « des centaines de hundreds of thousands » de mots de passe d'utilisateurs avait été stocké en clair sur ses serveurs.
L'incident de sécurité est une query juridique dans l'Union européenne automobile le RGPD exige que les données personnelles soient correctement sécurisées.
Après enquête, le DPC a conclu que Meta ne respectait pas les normes juridiques du bloc puisque les mots de passe n'étaient pas protégés par cryptage mais stockés en clair, ce qui crée un risque que les informations sensibles des personnes stockées dans leurs comptes de réseaux sociaux soient accessibles à des tiers.
Le régulateur, qui supervise la conformité de Meta au RGPD, a également constaté que Meta avait enfreint les règles en ne lui informant pas de la violation dans le délai requis (le règlement stipule généralement que le signalement des violations doit avoir lieu au plus tard 72 heures après en avoir pris connaissance. ). Meta n’a pas non plus réussi à documenter correctement la violation, selon le DPC.
Commentant dans un communiqué, le sous-commissaire Graham Doyle a écrit : « Il est largement admis que les mots de passe des utilisateurs ne doivent pas être stockés en clair, compte tenu des risques d'abus qui découlent de l'accès de personnes à ces données. Il faut garder à l'esprit que les mots de passe concernés dans cette affaire sont particulièrement sensibles, automobile ils permettraient d'accéder aux comptes de réseaux sociaux des utilisateurs.
Sollicité pour obtenir une réponse à sa dernière sanction RGPD, le porte-parole de Meta, Matthew Pollard, a envoyé par courrier électronique une déclaration dans laquelle la société cherchait à minimiser les conclusions en affirmant qu'elle avait pris des « mesures immédiates » concernant ce qui avait été une « erreur » dans ses processus de gestion des mots de passe.
« Dans le cadre d'un examen de sécurité mené en 2019, nous avons constaté qu'un sous-ensemble de mots de passe des utilisateurs de FB (Fb) était temporairement enregistré dans un format lisible au sein de nos systèmes de données internes. Nous avons pris des mesures immédiates pour corriger cette erreur, et il n'y a aucune preuve que ces mots de passe ont été abusés ou consultés de manière inappropriée », a écrit Meta. « Nous avons signalé ce problème de manière proactive à notre principal régulateur, la Fee irlandaise de safety des données, et avons collaboré de manière constructive avec eux tout au lengthy de cette enquête.»
Meta avait déjà accumulé la majorité des sanctions les plus importantes du RGPD infligées aux géants de la technologie, de sorte que la dernière sanction ne fait que souligner l'ampleur de ses problèmes en matière de respect de la vie privée.
La sanction est nettement plus sévère qu'une amende de 17 hundreds of thousands d'euros que le DPC a infligée à Meta en mars 2022 pour une faille de sécurité survenue en 2018. Depuis lors, le régulateur irlandais a connu un changement de path. Cependant, les deux incidents sont également différents : les failles de sécurité antérieures de Meta ont touché jusqu'à 30 hundreds of thousands d'utilisateurs de Fb, contre des centaines de hundreds of thousands dont les mots de passe auraient été exposés en raison de son échec à sécuriser les mots de passe en 2019.
Le RGPD habilite les autorités chargées de la safety des données à infliger des amendes en cas de violation, le montant des sanctions étant calculé en fonction de facteurs tels que la nature, la gravité et la durée de l'infraction ; la portée ou la finalité du traitement ; et le nombre de personnes concernées concernées et le niveau des dommages subis, entre autres considérations.
La pénalité la plus élevée doable en vertu du RGPD est de 4 % du chiffre d’affaires annuel mondial. Ainsi, dans le cas de Meta, une amende de 91 hundreds of thousands d’euros peut sembler un changement vital – mais cela ne reste qu’une infime fraction des milliards auxquels l’entreprise pourrait théoriquement être confrontée, compte tenu de son chiffre d'affaires annuel pour 2023 représentait la somme stupéfiante de 134,90 milliards de {dollars}.