DPC (autorité irlandaise)
La Commission irlandaise de protection des données inflige une amende de 251 millions d’euros à Meta
La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui ses décisions finales à la suite de deux enquêtes sur Meta Platforms Ireland Limited. Ces enquêtes ont été lancées par la DPC à la suite d’une violation de données personnelles, qui a été signalée par Meta en septembre 2018 et qui a eu un impact sur environ 29 millions de comptes Facebook dans le monde, dont environ 3 millions étaient basés dans l’UE/EEE. Les catégories de données à caractère personnel concernées comprenaient : le nom complet de l’utilisateur, son adresse électronique, son numéro de téléphone, sa localisation, son lieu de travail, sa date de naissance, sa religion, son sexe, ses publications sur sa ligne de temps, les groupes dont l’utilisateur était membre et les données personnelles de ses enfants.
La violation résulte de l’exploitation par des tiers non autorisés de jetons d’utilisateur sur la plateforme Facebook. Meta a remédié à la violation peu de temps après sa découverte.
L’enquête menée par l’autorité a permis de constater que:
* Meta n’a pas inclus pas dans sa notification de violation toutes les informations requises par cette disposition qu’elle aurait pu et dû inclure. L’entreprise a également omis de documenter les faits relatifs à chaque violation et les mesures prises pour y remédier, ce qui a entravé l’enquête. En résulte des manquements à l’article 33 du RGPD.
* Meta n’a pas veillé à ce que les principes de protection des données soient respectés lors de la conception des systèmes de traitement. Meta n’a notamment pas veillé à ce que par défaut, seules les données à caractère personnel nécessaires à des finalités spécifiques soient traitées (manquements à l‘article 25 du RGPD).
« Cette mesure d’exécution montre que le fait de ne pas intégrer les exigences en matière de protection des données tout au long du cycle de conception et de développement peut exposer les personnes à des risques et à des préjudices très graves, y compris un risque pour les libertés et les droits fondamentaux des personnes. Les profils Facebook peuvent contenir, et contiennent souvent, des informations sur des sujets tels que les croyances religieuses ou politiques, la vie ou l’orientation sexuelle, et d’autres sujets similaires qu’un utilisateur ne peut souhaiter divulguer que dans des circonstances particulières. En permettant l’exposition non autorisée d’informations de profil, les vulnérabilités à l’origine de cette violation ont entraîné un risque grave d’utilisation abusive de ces types de données ».
En conséquence, Meta a reçu un certain nombre de blâmes et une injonction de payer des amendes administratives d’un montant total de 251 millions d’euros. L’autorité a soumis un projet de décision au mécanisme de coopération en septembre 2024, conformément à l’article 60 du RGPD : aucune objection n’a été soulevée à l’encontre du projet de décision. La DPC publiera le texte intégral de la décision et d’autres informations connexes en temps voulu.
Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.