Mardi 26 novembre un juge fédéral de San Francisco a déclaré que les 29 millions de personnes dont les données avaient été piratées sur Facebook en septembre 2018 ne pourront pas poursuivre en groupe le réseau social pour obtenir des dommages et intérêts. La seule poursuite de groupe possible sera pour imposer à Facebook la mise en place de meilleures normes de sécurité.

Le juge a justifié sa décision en expliquant que les dommages et intérêts éventuels devaient faire l’objet d’une étude individualisée pour déterminer le temps passé par chacun des utilisateurs pour contenir les dégâts de ces révélations. Il a également expliqué que la valeur réduite des données volées ne constituait un « préjudice suffisant ».

Les 29 millions de personnes concernées par le piratage ont eu différentes données personnelles exposées : sexe, religion, adresses électroniques, numéros de téléphone, historique de recherches.

Cette décision est évidemment une défaite pour les victimes, les procédures risquant d’en être alourdies. Facebook de son côté échappe à une amende totale potentiellement très élevée. Dans une affaire similaire, Uber, qui avait tenté de couvrir le piratage de 57 millions de comptes, ce que n’a pas fait Facebook, a été condamné à 150 millions de dollars d’amende.

Les avocats de Facebook n’ont toutefois pas réussi à dissuader le juge d’autoriser une action collective pour imposer à Facebook d’améliorer ses normes de sécurité. Malgré leur argument selon lequel la faille avait été comblée, le juge a déclaré « Les pertes répétitives de la vie privée des utilisateurs sur Facebook constituent un besoin de supervision à long terme ».

La nouvelle en septembre 2018 avait fait grand bruit, les informations personnelles ou les accès de 50 millions de personnes avaient été piratées par des hackers profitant d’une faille de sécurité de Facebook. D’après l’équivalent de la CNIL irlandaise, 10% de ces comptes étaient européens, soit 5 millions d’utilisateurs touchés sur le vieux continent. La plus grande faille de la société depuis sa fondation, 14 ans plus tôt.

Le réseau social a vécu une fin d’année 2018 noire en matière de sécurité informatique. En décembre de la même année, 6,8 millions d’utilisateurs de Facebook ont eu des photos non-uploadées sur le réseau accessible pendant 12 jours. Après le scandale Cambridge Analytica et la révélation que l’entreprise britannique avait pu accéder au profil de 87 millions d’utilisateurs.

Dans l’affaire Cambridge Analytica, le réseau social avait dû s’acquitter d’une amende de 5 milliards de dollars imposée par la Federal Trade Commission (FTC). Dans l’affaire du piratage de septembre 2018, les dommages et intérêts payés par le réseau social devraient être bien inférieurs du fait de la décision du juge fédéral.