Le 28 novembre 2022, la Commission de protection des données irlandaise (ci-après la « DPC ») a annoncé la conclusion d’une enquête contre Meta Platforms Ireland Limited (ci-après « Meta »), responsable du traitement des données du réseau de médias sociaux Facebook, infligeant une amende de 265 millions d’euros ainsi qu’une série de mesures correctives.
La décision a été adoptée le 25 novembre 2022, mais n’a pas encore été publiée à ce jour.
Cette décision s’inscrit dans la lignée des derniers événements, puisque c’est la troisième fois que la DPC inflige une amende à Meta en 15 mois pour violation du RGPD, ce qui représente au total 895 millions d’euros de pénalités.
Pour rappel, la DPC avait ouvert une enquête à l’encontre de Meta pour le compte de l’Union européenne, le 14 avril 2021, en raison de la découverte d’une fuite de données personnelles Facebook qui avaient été mises à disposition sur Internet, notamment à cause des outils Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer, sur une période comprise entre le 25 mai 2018 et septembre 2019.
Dans ce contexte, la question était donc de savoir si Meta avait suffisamment protégé les données de ses utilisateurs au regard de la réglementation européenne.
Le piratage reposait sur la méthode dite de « scraping », ou pillage des profils de Facebook, par le biais d’un logiciel permettant d’extraire des données publiques non chiffrées d’un site web à l’aide d’un programme, en important ainsi les listes de contacts. Par la suite, les données litigieuses récupérées de manière illégale sans consentement des internautes, et touchant près de 530 millions d’utilisateurs, avaient été en partie publiées sur un forum de hackers.
Au final, il a été constaté une violation de l’article 25 du RGPD concernant la protection des données dès la conception et la protection des données par défaut. Cet article garantit notamment que « le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées (…) qui sont destinées à mettre en œuvre les principes relatifs à la protection des données ». En outre, « le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ».
Outre l’amende, la DPC a ordonné à Meta de se mettre en conformité en prenant une série de mesures correctives spécifiées dans un délai de trois mois.