Le géant américain est accusé d’avoir mal protégé les informations de ses utilisateurs européens par rapport à une série de fuites de données en 2018.
Face au manque de mesures de sécurité de Meta concernant les données de ses utilisateurs en Europe, la Commission irlandaise de protection des données (DPC) vient de sévir. Autorité de référence pour les grandes entreprises de la tech ayant installé leur siège européen dans son pays, elle vient d’infliger au groupe californien une amende de 17 millions d’euros pour avoir enfreint le règlement général sur la protection des données (RGPD).
Cette sanction a été prise à la suite d’une enquête menée par la DPC sur une série de douze fuites de données personnelles, pour lesquelles elle a été notifiée entre le 7 juin et le 4 décembre 2018. L’autorité a ainsi conclu que Meta « n’avait pas mis en place les mesures techniques et organisationnelles appropriées qui lui permettraient de démontrer facilement les mesures de sécurité qu’elle a mises en œuvre dans la pratique pour protéger les données des utilisateurs de l’UE ».
Une autorité critiquée pour le traitement des violations des données
Dans le détail, la DPC reproche à Meta d’avoir enfreint les articles 5 et 24 du RGPD. Le premier exige que les données personnelles soient traitées « de façon à garantir une sécurité appropriée ». Cela inclut la protection contre un traitement non autorisé, mais aussi contre la perte, la destruction ou les dégâts d’origine accidentelle. Le second oblige le responsable du traitement à mettre en place des mesures techniques et organisationnelles appropriées pour s’assurer que le traitement est effectué conformément au règlement, notamment, par rapport aux risques pour les droits et libertés des personnes concernées.
De son côté, Meta a réagi à la décision prise par la DPC : « Cette amende sanctionne des pratiques de 2018 que nous avons depuis mises à jour, et non pas un manquement à la protection des informations des gens », a expliqué un porte-parole de l’entreprise à l’AFP.
Ayant un rôle primordial en Europe, la DPC est souvent critiquée pour sa lenteur dans le traitement des dossiers. Dernier exemple en date : le 15 mars, jour où elle a sanctionné Meta, le Conseil irlandais pour les libertés civiles (ICCL) a annoncé poursuivre l’autorité en justice pour « son incapacité à protéger les personnes contre la plus grande violation de données jamais enregistrée ». Cela concerne un système de publicité de Google, qui sélectionne les annonces affichées lors du chargement d’un site web ou d’une application. Dépendant du profil ou du comportement de l’internaute, cette technique peut conduire à l’envoi d’informations privées à plusieurs sociétés. La DPC a reçu une plainte à propos de cette violation en 2018, soit quelques mois après l’entrée en vigueur du RGPD. Censée enquêter et donner suite à cette plainte, elle ne l’a pas encore fait.
À lire aussi
