Meta, encore sanctionné pour violation de la protection des données
Le groupe Meta se retrouve une nouvelle fois dans la ligne de mire des autorités pour une affaire datant de 2019. Vendredi 27 septembre, le géant américain a écopé d’une nouvelle amende de 91 millions d’euros, infligée par la Commission irlandaise de protection des données (DPC), l’équivalent de la CNIL en Irlande.
Cette sanction fait suite à une faille de sécurité qui a exposé les mots de passe de millions d’utilisateurs. La société est accusée de ne pas avoir pris les mesures de sécurité nécessaires et d’avoir tardé à informer les utilisateurs concernés.
Cette réactivité insuffisante a conduit à cette lourde amende, ajoutée à une série de sanctions déjà subies par l’entreprise.
Meta et les sanctions, une grande histoire
Tout a commencé en janvier 2019, lorsqu’une faille de sécurité a touché environ 36 millions d’utilisateurs de Facebook et Instagram. Deux mois après la découverte de l’incident, la filiale irlandaise de Meta a informé la DPC que certains mots de passe avaient été stockés en clair sur leurs serveurs, sans chiffrement, ce qui représentait une violation grave des standards de sécurité.
La DPC a alors ouvert une enquête, qui aura pris cinq ans pour arriver à une décision finale.
Meta devra maintenant s’acquitter de cette amende de 91 millions d’euros, sanctionnant son manque de transparence et sa négligence en matière de protection des données.
Une réaction surprenante de la part d’un géant du numérique
Ce qui choque particulièrement dans cette affaire, c’est qu’une entreprise de l’envergure de Meta, pionnière dans le domaine du numérique, ait pu commettre une telle erreur. Les mots de passe sont la clé d’accès à des services comme Facebook et Instagram, et il est incompréhensible qu’ils aient été stockés en clair, sans aucune forme de chiffrement.
Que cette faille ait affecté 36 millions d’utilisateurs et que les mesures adéquates n’aient pas été prises reste un mystère, surtout venant d’un acteur majeur de la technologie mondiale.
Historique des sanctions de Meta
Malheureusement pour Meta, ce n’est pas la première fois que l’entreprise est pointée du doigt pour des manquements à la protection des données personnelles. Voici un aperçu des sanctions majeures infligées à Meta ces dernières années :
- 225 millions d’euros en septembre 2021 : manque de transparence sur le partage des informations entre WhatsApp et d’autres filiales du groupe.
- 17 millions d’euros en mars 2022 : douze fuites de données personnelles en 2018.
- 405 millions d’euros en septembre 2022 : violation de la vie privée des mineurs sur Instagram.
- 265 millions d’euros en novembre 2022 : piratage de 533 millions de comptes Facebook en 2019.
- 390 millions d’euros en janvier 2023 : traitement inapproprié des données personnelles à des fins publicitaires sur Instagram et Facebook.
- 1,2 milliard d’euros en mai 2023 : transfert illégal de données personnelles d’utilisateurs européens vers les États-Unis.
- 5,5 millions d’euros en janvier 2023 : pour manque de transparence dans ses pratiques de collecte de données.
- 91 millions d’euros en septembre 2024
Soit au total 2 ,598 milliards d’euros
Les sanctions, comment se déclenchent les sanctions-elles ?
Lorsqu’une violation de la réglementation sur la protection des données est suspectée, les autorités compétentes, comme la CNIL en France ou la DPC en Irlande, ouvrent une enquête. Celle-ci peut être déclenchée à la suite d’une plainte d’un utilisateur, d’un signalement ou d’une découverte lors d’audits réguliers.
En France, c’est la CNIL (Commission Nationale de l’Informatique et des Libertés) qui est responsable de la protection des données personnelles. Elle peut infliger des sanctions financières, mais également exiger des correctifs immédiats.
En 2024, la CNIL et ses équivalents européens ont poursuivi leurs efforts pour sanctionner les violations du RGPD, touchant une grande diversité de structures et d’activités :
- Éditeurs de sites web : Des entreprises telles que des annuaires inversés, des plateformes d’annonces immobilières ou encore des sites de technologies ont été sanctionnées pour des manquements liés à la sécurité des données et à la transparence (par exemple, la gestion des cookies). Les amendes infligées ont varié entre 1 500 et 100 000 euros.
- Avocats : Les cabinets juridiques ont également fait l’objet de sanctions pour défaut de coopération avec la CNIL et non-respect du droit à l’effacement, avec des amendes allant jusqu’à 5 000 euros.
- Sociétés commerciales : Plusieurs entreprises dans les secteurs de la vente de matériel optique, du commerce de gros pharmaceutique, et des magasins d’habillement et de sport ont été sanctionnées pour des infractions liées à la prospection commerciale sans consentement et à la sécurité des données, avec des amendes allant de 10 000 à 525 000 euros.
- Sociétés spécialisées en gestion de données de santé : Le secteur de la santé a été particulièrement touché par des amendes très lourdes, atteignant 800 000 euros, pour traitement de données de santé sans autorisation. Ces sociétés n’avaient pas obtenu l’autorisation de la CNIL pour traiter des données sensibles.
- Associations et organisations politiques : Celles-ci ont été sanctionnées pour leur manque de transparence dans la prospection politique et le non-respect de la base légale, avec des amendes comprises entre 16 000 et 20 000 euros.
- Professionnels de santé (médecins, chirurgiens-dentistes) : Plusieurs médecins ont été sanctionnés pour des fautes de sécurité dans la gestion des données de santé, ainsi que pour le non-respect du droit d’accès, avec des amendes allant de 4 000 à 5 000 euros.
- Commerce de détail : Des commerces, notamment dans la télécommunication et l’habillement, ont été condamnés pour des manquements à la sécurité des données, à la transparence et à la gestion de la vidéosurveillance sans consentement. Les amendes ont varié entre 5 000 et 15 000 euros.
- Institutions publiques et enseignement : Des établissements d’enseignement, ainsi que des ministères, ont été rappelés à l’ordre pour des durées de conservation des données non respectées et un manque de minimisation des données, avec des amendes allant jusqu’à 20 000 euros.
- Sociétés de courtage et de prospection : Certaines entreprises de téléprospection ont été condamnées pour non-respect des injonctions et des infractions liées à la minimisation des données, avec des astreintes et des amendes entre 10 000 et 25 000 euros.
Quelles sont les solutions disponibles ?
L’importance de se conformer aux régulations de protection des données, telles que le RGPD, est primordiale pour chaque acteur. Les sanctions sévères, aussi bien pour les géants du numérique comme Meta que pour des entreprises de plus petite envergure, démontrent clairement que personne n’est à l’abri.
Pour éviter de lourdes amendes et renforcer la confiance des utilisateurs, il est essentiel de mettre en place des stratégies solides de gestion des données.
Solutions pour assurer la conformité :
- Mise en place de politiques de sécurité des données : Adopter des systèmes de chiffrement et de protection robustes pour garantir la confidentialité et l’intégrité des informations sensibles.
- Transparence et information des utilisateurs : Informer clairement les individus sur l’usage de leurs données et obtenir leur consentement explicite.
- Formation du personnel : Sensibiliser et former régulièrement les employés aux bonnes pratiques de gestion et de protection des données.
- Audit régulier et suivi des pratiques : Effectuer des audits de conformité et maintenir un registre des traitements de données pour identifier les risques potentiels.
- Recours à des sous-traitants fiables : S’assurer que les partenaires et sous-traitants respectent également les normes de sécurité et de confidentialité des données.
Comment Actecil vous accompagne dans votre conformité
Chez Actecil, nous proposons des services sur mesure pour vous assister dans la protection de vos données.
Des formations pour vos collaborateurs
Nous préparons vos équipes à relever les défis de la conformité RGPD avec des formations adaptées à chaque rôle :
- Préparation à la certification DPO
- Formation des relais internes à la conformité
- Sensibilisation des directions, chefs de services, RH, marketing, IT
- Ateliers de sensibilisation sur les enjeux de la protection des données
Notre accompagnement RGPD
- Audit RGPD complet
- Mise en conformité adaptée à vos besoins
- DPO externe (Délégué à la Protection des Données)
- Coaching personnalisé pour vos DPO internes
- Simulation de contrôle CNIL pour une préparation optimale