La Data Protection Commission (DPC), agence de protection des données irlandaise, a infligé une amende de 17 millions d’euros à Meta pour une série de violation de données des utilisateurs remontant à plusieurs années.

Douze notifications de fuites d’informations en six mois

La DPC, qui est le régulateur principal de Meta (anciennement Facebook) en Europe pour tout ce qui est relatif aux données personnelles, a entamé une enquête à l’encontre du géant américain en 2018. À l’époque, l’agence a en effet reçu pas moins de douze notifications de violation de données de la part de Meta au cours d’une période de six mois comprise entre le 7 juin 2018 et le 4 décembre 2018.

Pour rappel, depuis 2018 et l’entrée en vigueur du Règlement général sur la protection des données (RGPD) au sein de l’Union européenne, les géants technologiques traitant des données personnelles ont l’obligation de signaler toute fuite d’informations à une autorité de contrôle si elle pose un risque pour les utilisateurs.

« L'enquête a examiné dans quelle mesure Meta Platforms s'est conformée aux exigences des articles 5(1)(f), 5(2), 24(1) et 32(1) du GDPR en ce qui concerne le traitement des données personnelles relatives aux douze notifications de violation », explique la DPC dans un communiqué de presse. « À la suite de son enquête, la DPC a conclu que Meta Platforms avait enfreint les articles 5, paragraphe 2, et 24, paragraphe 1, du RGPD. La DPC a constaté que Meta Platforms n'a pas mis en place les mesures techniques et organisationnelles appropriées qui lui permettraient de démontrer aisément les mesures de sécurité qu'elle a mises en œuvre dans la pratique pour protéger les données des utilisateurs de l'UE, dans le contexte des douze violations de données à caractère personnel », continue-t-elle, sans pour autant préciser la nature exacte de ces violations.

Meta a minimisé les faits, en assurant qu'il ne s'agissait pas de failles mais de pratiques qui n'étaient pas conformes au RGPD. Illustration : Muhammad Asyfaul / Unsplash

Deuxième amende en vertu du RGPD pour Meta

En conséquence, l’agence irlandaise a décidé d’infliger une amende de 17 millions d’euros à Meta. Cette somme n’a évidemment aucune conséquence sur l’entreprise, qui a enregistré 32,6 milliards de dollars de revenus publicitaires sur le dernier trimestre. « Cette amende concerne des pratiques de tenue de dossiers de 2018 que nous avons mises à jour depuis, et non un manquement à la protection des informations des personnes. Nous prenons nos obligations en vertu du RGPD au sérieux, et nous examinerons attentivement cette décision à mesure que nos processus continueront d'évoluer », déclare Meta.

Ce n’est pas la première fois que la firme de Mark Zuckerberg est sanctionnée par la DPC. En 2021, elle a écopé d’une amende de 225 millions d’euros car WhatsApp, l’un de ses services de messagerie, ne traitait pas les données de ses utilisateurs de manière licite. Malgré cela, l’agence de protection des données irlandaise est sous le feu des critiques pour sa lenteur juridique.

C’est en effet elle qui est chargée d’enquêter sur les géants technologiques, car la plupart d’entre eux y possèdent leur siège social européen, mais elle essuie les reproches depuis l’entrée en vigueur du RGPD. En conséquence, le Conseil irlandais pour les libertés civiles a récemment lancé des poursuites à son encontre.