La Commission irlandaise de protection des données, l’équivalent de la Cnil française, inflige une amende de 251 millions d’euros à Meta à la suite d’une violation de données. La note apparait lourde pour un vol de données. Une situation qui concerne toutes les entreprises.
Violation de données signalée par Meta en 2018
Cette décision intervient à la suite de deux enquêtes sur Meta Platforms Ireland Limited (« MPIL »). Ces enquêtes volontaires ont été lancées à la suite d’une violation de données personnelles signalée par MPIL en septembre 2018.Cette violation de données a touché environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions étaient basés dans l’UE/EEE.
Les catégories de données personnelles concernées comprenaient : le nom complet de l’utilisateur ; l’e-mail ; le numéro de téléphone ; la localisation ; le lieu de travail ; la date de naissance ; la religion ; le sexe ; les publications sur les timelines ; les groupes dont un utilisateur était membre ; et les données personnelles des enfants.
La violation est née de l’exploitation par des tiers non autorisés de jetons d’utilisateur sur la plateforme Facebook. La violation a été corrigée par MPIL et sa société mère américaine peu après sa découverte.
L’Irlande a pris sa décision en coopération avec les autres Autorités de protection des données personnelles en Europe. Il est reproché à Meta de ne pas avoir inclus dans sa notification de violation toutes les informations requises. Les manquements à cette disposition ont entrainé des amendes administratives de 8 millions d’euros selon l’article 33(3) du RGPD.
Défaut de documentation de chaque violation de données
De plus, Meta a omis de documenter les faits relatifs à chaque violation de données, les mesures prises pour y remédier et a omis de le faire d’une manière qui permette à l’autorité de contrôle de vérifier le respect de cette disposition. Ces manquements ont entrainé des amendes administratives de 3 millions d’euros selon l’article 33(5) du RGPD.
L’Irlande a pris une seconde décision. L’Autorité irlandaise considère que Meta n’a pas garanti le respect des principes de protection des données lors de la conception de ses systèmes de traitement. Dès lors, Meta est condamné à payer des amendes administratives de 130 millions d’euros selon l’article 25(1) du RGPD.
Enfin, il est reproché à Méta d’avoir manqué à ses obligations en tant que responsable du traitement de veiller à ce que, par défaut, seules les données à caractère personnel nécessaires à des finalités spécifiques soient traitées. Méta est considéré comme ayant violé ces dispositions et est condamné à payer des amendes administratives de 110 millions d’euros, selon l’article 25(2) du RGPD.
Protéger les droits fondamentaux des individus
Côté autorité irlandaise, on insiste sur l’impératif de protéger les données personnelles et de bâtir des systèmes d’information sécurisés. « Cette mesure d’application de la loi met en évidence la manière dont l’absence d’exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les individus à des risques et préjudices très graves, notamment un risque pour les droits et libertés fondamentaux des individus » affirme Graham Doyle, commissaire adjoint.
« Les profils Facebook peuvent contenir, et contiennent souvent, des informations sur des sujets tels que les convictions religieuses ou politiques, la vie ou l’orientation sexuelle, et des sujets similaires qu’un utilisateur peut souhaiter divulguer uniquement dans des circonstances particulières » souligne-t-il. « En permettant l’exposition non autorisée des informations de profil, les vulnérabilités à l’origine de cette violation ont entraîné un grave risque d’utilisation abusive de ces types de données » s’insurge-t-il.
La violation de données chez Meta est née du déploiement d’une fonction de téléchargement de vidéos sur la plateforme Facebook en juillet 2017. La fonctionnalité « Afficher en tant que » de Facebook permettait à un utilisateur de voir sa propre page Facebook telle qu’elle serait vue par un autre utilisateur. Un utilisateur utilisant cette fonctionnalité pouvait invoquer le téléchargeur de vidéos en conjonction avec la fonction « Composer Joyeux anniversaire » de Facebook.
Accès au profil d’un autre utilisateur via un jeton
Le téléchargeur de vidéos générait alors un jeton d’utilisateur entièrement autorisé qui lui donnait un accès complet au profil Facebook de cet autre utilisateur. Un utilisateur pouvait ensuite utiliser ce jeton pour exploiter la même combinaison de fonctionnalités sur d’autres comptes, lui permettant d’accéder aux profils de plusieurs utilisateurs et aux données accessibles via ceux-ci.
Entre le 14 et le 28 septembre 2018, des personnes non autorisées ont utilisé des scripts pour exploiter cette vulnérabilité et ont obtenu la possibilité de se connecter en tant que titulaire de compte à environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions étaient basés dans l’UE/EEE. Le personnel de sécurité de Facebook a été alerté de la vulnérabilité par une augmentation anormale de l’activité de téléchargement de vidéos et a supprimé la fonctionnalité à l’origine de la vulnérabilité peu de temps après.
