A la suite d’une enquête, Meta a écopé, le 28 novembre 2022, d’une nouvelle amende de 265 millions d’euros infligée par le régulateur irlandais. La Data Protection Commission (DPC) lui reproche ne pas avoir suffisamment protégé les données personnelles des utilisateurs en violation du Règlement Général relatif à la Protection des Données personnelles (RGPD) de l’Union Européenne.
L’important flux de données à traiter et à protéger
Meta, anciennement connu sous le nom de Facebook Incorporation, a été créé en 2004 par Mark Zuckerberg et regroupe notamment les plateformes Facebook, Messenger, Instagram et WhatsApp.
La compagnie possède quatre des cinq services les plus utilisés au monde, précédemment cités. Ceux-ci représentent un peu plus de 3,7 milliards d’utilisateurs dans le monde, soit un important flux de données personnelles dont il s’agit d’assurer la constante protection en conformité avec le RGPD au niveau européen.
Une enquête pour analyser la protection des données
En 2019, près de 530 millions de données d’utilisateurs, comprenant des noms, des adresses e-mails, des numéros de téléphones, sont piratées et diffusées sur des sites et forums de hackers.
La DPC, le régulateur irlandais, va mener en avril 2021 une enquête sur la base de reportage de médias relevant le piratage de données diffusées sur Internet, auprès de trois outils : Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer. L’autorité va donc mettre en relation le traitement qui a été effectué auprès de ces données-là entre mai 2018 et septembre 2019.
C’est le régulateur irlandais qui est compétent au niveau européen pour mener cette investigation puisque le siège européen du groupe Meta se trouve en Irlande. Il joue un rôle particulièrement important puisqu’il doit veiller à l’application de la réglementation européenne en matière de traitement des données à caractère personnel, en l’occurrence le RGPD.
L’objectif de cette enquête était pour la DPC de déterminer si Meta avait bien mis tout en œuvre pour protéger les données des utilisateurs durant cette période-là.
Il va s’avérer que le piratage des données personnelles est intervenu par le biais de la technique du scraping. Il s’agit d’un logiciel qui imite la fonctionnalité du réseau permettant aux utilisateurs de retrouver facilement leurs amis grâce au carnet de contact de ces derniers.
Le groupe Meta a failli à son obligation de protection des données personnelles des utilisateurs et, en la matière, a donc violé le RGPD.
La violation du RGPD
Le RGPD est relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; il est applicable dans l’Union Européenne depuis le 25 mai 2018.
Le RGPD vient renforcer les pouvoirs donnés aux régulateurs notamment pour infliger des sanctions financières pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise.
L’amende dont Meta a écopé est relative à une violation des articles 21 et 25 du RGPD.
L’article 21 consacre le droit d’opposition au traitement des données à caractère personnel. Tandis que l’article 25, lui, consacre la protection des données à caractère personnel dès la conception et la protection des données par défaut.
Avec le piratage de près 530 millions de données, le groupe Meta s’est rendu coupable de violations des articles précédemment cités, ce qui lui a valu une amende de 265 millions d’euros par la DPC. De plus, la DPC a également ordonné des mesures coercitives qui n’ont pas été précisées.
Un porte-parole de Meta déclare que « la protection des données personnelles des gens est essentielle dans la manière dont notre entreprise fonctionne » et ajoute que c’est « pourquoi nous avons pleinement coopéré avec la commission de protection des données sur cette question importante ». Et pour cela, le groupe aurait réalisé des changements sur les systèmes.
Le risque pour Meta d’écoper de nouvelles amendes dans un futur proche
Meta pourrait écoper d’une amende record à l’avenir au regard de la protection de données au niveau européen. En effet, le Comité Européen de la Protection des Données (CEPD), dont l’objectif principal est de veiller à l’application du RGPD, a annoncé avoir pris trois décisions contraignantes concernant Facebook, Instagram et WhatsApp. Celles-ci n’ont pas été rendues publiques, mais l’autorité ne devrait pas tarder à annoncer sa décision finale d’ici le début de l’année 2023. Ces décisions découlent des plaintes de Max Schrems qui accuse l’entreprise de ne pas respecter la réglementation européenne au regard du traitement des données des utilisateurs européens.
De plus, il semblerait que le groupe ait provisionné un montant d’environ 3 milliards de dollars pour se préparer justement aux futures amendes dont il pourrait écoper. Et selon le site Politico, le montant total des amendes pourrait s’élever à 2 milliards d’euros.
Sources :
- Le Figaro, AFP, 28 novembre 2022, « Protection des données : lourde amende de 265 millions d’euros contre Meta dans l’Union européenne »
- Forbes, Pierre Berthoux, 30 novembre 2022, « Meta écope d’une lourde amende de 265 millions d’euros en Europe »
- Politico, Vincent Manancourt, 4 décembre 2022, « Meta faces record EU privacy fines »
- CNIL, 6 décembre 2022, « Le CEPD adopte trois décisions importantes concernant Facebook, Instagram et WhatsApp »
- Numérama, Julien Lausson, 6 décembre 2022, « Facebook est bien parti pour dépasser le milliard d’euros d’amende en Europe en 2022 »