Meta écope d’une amende de 91M€ pour stockage négligent de mots de passe

Le géant des réseaux sociaux Meta vient d'écoper d'une amende salée de 91 millions d'euros infligée par l'autorité irlandaise de protection des données (DPC). La sanction fait suite à une enquête ouverte il y a 5 ans, révélant que Meta avait stocké certains mots de passe utilisateurs en "texte brut", sans protection ni cryptage. Un manquement grave aux règles élémentaires de cybersécurité qui met en danger les données personnelles des internautes.

Meta reconnaît publiquement l'incident mais minimise l'impact

Lorsque l'affaire avait éclaté en 2019, Meta avait rapidement reconnu publiquement l'incident et coopéré avec les autorités irlandaises, où se trouve son siège européen. La DPC avait alors ouvert une enquête et Meta s'était voulu rassurant, déclarant que les mots de passe stockés sans protection n'avaient pas été mis à disposition de tiers. Cependant, aux yeux de la DPC, la négligence est inadmissible de la part d'un acteur de cette envergure :

Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en texte brut, compte tenu des risques d'abus qui résultent de l'accès des personnes à ces données.

Graham Doyle, commissaire adjoint de la DPC

Meta, récidiviste des infractions RGPD

La maison mère de Facebook et Instagram a déjà été condamnée à plusieurs reprises par le régulateur irlandais pour des infractions au Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne. Depuis 2018, le montant total des amendes infligées à Meta par la DPC s'élève désormais à 2,5 milliards d'euros, dont :

• Une amende record de 1,2 milliard d'euros en 2023
• 405 millions d'euros pour utilisation illicite des données personnelles à des fins publicitaires
• 265 millions d'euros pour défaut de protection des données des mineurs

Cette nouvelle sanction vient s'ajouter à la longue liste des démêlés de Meta avec les autorités européennes de protection des données. Malgré les amendes records, le groupe de Mark Zuckerberg peine à se mettre en conformité avec le RGPD et à protéger efficacement les données sensibles de ses utilisateurs.

Vers un durcissement des contrôles et des sanctions

Les autorités de protection des données personnelles des pays européens, en particulier la CNIL en France et la DPC en Irlande, intensifient les contrôles et durcissent le ton face aux géants du numérique. Objectifs : faire respecter le RGPD, protéger les droits des citoyens européens et responsabiliser les acteurs qui capitalisent sur les données.

Au-delà des sanctions financières, la réputation et la confiance des utilisateurs sont en jeu. Les révélations sur les pratiques de Meta fragilisent encore davantage son image, déjà écornée par les scandales à répétition comme l'affaire Cambridge Analytica. Le groupe devra redoubler d'efforts pour rassurer sur sa capacité à protéger la vie privée de ses milliards d'utilisateurs à travers le monde.

Cette énième condamnation sonne comme un avertissement pour toutes les entreprises qui collectent et exploitent des données personnelles: il n'y aura plus d'indulgence face aux infractions RGPD. Prochains sur la liste: les nouveaux enjeux de confidentialité posés par la déferlante des IA génératives comme ChatGPT...