Faille de sécurité des données : la DPC condamne Meta à 91 millions d’euros

Les opinions exprimées par l’auteur sont personnelles et n’engagent pas la Cour de justice de l’Union européenne.

Par une décision du 27 septembre 2024 (non publiée au moment de la rédaction), la Commission irlandaise de protection des données (DPC), agissant pour le compte de l’UE, a infligé une amende de 91 millions d’euros à Meta Platforms Ireland Limited pour des failles de sécurité dans la conservation des mots de passe des utilisateurs.

En avril 2019, la DPC (Data Protection Commission) a ouvert une phase d’enquête relative à la mise en œuvre de mesures de sécurité suffisantes pour la protection des données personnelles, à la suite d’une déclaration faite par Meta Platforms Ireland Limited (MPIL), s’agissant de la méthode de conservation des mots de passe d’utilisateurs des réseaux sociaux Facebook et Instagram. L’existence de cette faille de sécurité a été révélée par MPIL dans un « blogpost » publié le 21 mars 2019¹.

Il en résulte, après l’enquête, que près de 36 millions d’utilisateurs de l’Espace économique européen (EEE) ont été touchés par cette faille sécuritaire, leurs mots de passe ayant été conservés, supposément par inadvertance, sous format « plaintext » (lisible en toutes lettres) et, par conséquent, rendus accessibles à plus de 2 000 employés au sein du groupe. Quand bien même MPIL assure, d’une part, qu’aucune source extérieure n’a pu avoir accès à ces mots de passe, ni les « utiliser de manière abusive ou consulter de manière inappropriée »², et, d’autre part, avoir réparé les failles, sécurisé les mots de passe litigieux et informé les utilisateurs concernés, la DPC a tout de même sanctionné MPIL pour ces manquements sur le chef de la violation de quatre dispositions du règlement général sur la protection des données³ (RGPD).

Plus particulièrement, la DPC a annoncé punir MPIL et la condamner à une sanction pécuniaire pour avoir : premièrement, violé l’article 33, paragraphe 1 du RGPD en ayant manqué à son obligation de notifier, dans les soixante-douze heures, au régulateur européen la faille de sécurité identifiée quant au stockage des mots de passe en format non crypté ; deuxièmement, violé l’article 33, paragraphe 5 du RGPD en manquant à son obligation de documenter toute violation des données personnelles qui indique, en substance, tous les faits et effets en découlant ; troisièmement, violé l’article 5, paragraphe 1, sous f du RGPD, en manquant à son obligation de mettre en œuvre des mesures techniques ou organisationnelles appropriées contre le traitement illicite en cause des données ; et, finalement, violé l’article 32, paragraphe 1 du RGPD, en manquant à son obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y inclus la sécurité du chiffrement des mots de passe et autres données des utilisateurs.

La DPC a insisté sur le fait que sa décision mettait en exergue les principes d’intégrité et de confidentialité, au sens d’article 5, paragraphe 1, sous f du RGPD et du considérant 49 de son préambule, ainsi que les obligations découlant du même règlement quant à la sécurisation des données avant qu’une perte de contrôle de ces données ne soit matérialisée. En outre, il est apparent que ces failles sécuritaires et les questions relatives à l’accessibilité des mots de passe remonteraient à 2012, sans que des mesures préalables aient été prises afin de les pallier.

Une telle sanction pour une multinationale au chiffre d’affaires s’élevant à 35 milliards d’euros au deuxième trimestre (dont 12,3 milliards de bénéfices nets) semble dérisoire et supportable pour le géant. Par ailleurs, cette amende, bien que n’étant pas une des plus impressionnantes, s’inscrit dans la lignée rigoriste instaurée par le régulateur européen afin de prévenir et de réprimer toute violation des données à caractère personnel par les Gafam et les autres géants de la tech.

Nommément, le groupe a enregistré près de 1,4 milliard d’euros d’amendes cumulées pour divers manquements en termes de protection des données personnelles, qu’il y a lieu de redécouvrir dans le cadre de ce contentieux devenu récurrent (Voir La rem n°64, p.29). En 2022, ces amendes concernaient quasi systématiquement les méthodes de traitement des données personnelles, entre autres, le défaut de transparence et le manquement aux obligations d’information (225 millions), le manquement à l’obligation de mise en œuvre des mesures de protection adéquates des données (17 millions), les manquements au traitement des données personnelles des mineurs (405 millions) et les défaillances de paramétrage par défaut et du traitement des données personnelles des utilisateurs Facebook (265 millions). En 2023, MPIL a été condamné pour défaut de base légale quant au traitement des données personnelles à des fins publicitaires ciblées (390 millions) et pour manquements aux obligations d’information et de transparence relatives au traitement des données personnelles en vue de l’amélioration des conditions de sécurité des services de WhatsApp (5,5 millions).

Sources :

1. Canahuati Pedro, « Keeping Passwords Secure », Meta, March 21, 2019. https://about.fb.com/news/2019/03/keeping-passwords- secure
2. Déclaration de MPIL à l’AFP.
3. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE) (JO 2016, L 119, 1).