Meta écope d’une amende de 265 millions d’euros pour ses pratiques de collecte de données

Le commissaire irlandais à la Protection des données a infligé, lundi (28 novembre), une amende de 265 millions d’euros à Facebook et Instagram, détenus par la société Meta, pour leurs pratiques de collecte des données et a ordonné une série de mesures correctives.

L’enquête fait suite à des divulgations massives de données personnelles de Facebook diffusées en ligne sur un forum de pirates informatiques en avril 2021. Parmi ces données figuraient des informations sensibles telles que des noms et prénoms, des lieux, des dates de naissance, des numéros de téléphone ainsi que des adresses électroniques.

Les données divulguées concernaient 533 millions de personnes dans 106 pays — dans l’UE, environ 86 millions de personnes ont été touchées. Facebook avait alors déclaré que les données divulguées étaient anciennes puisque la collecte de données en masse s’était produite à cause d’une vulnérabilité corrigée par la société en août 2019.

La plupart des grandes entreprises technologiques étant basées en Irlande, l’autorité irlandaise de protection des données est chargée de leur faire appliquer le règlement général sur la protection des données (RGPD) — le règlement de l’UE sur la protection de la vie privée.

Quelques jours après la divulgation des données, l’autorité irlandaise a annoncé l’ouverture d’une enquête sur cette affaire afin d’examiner si les pratiques de Facebook en matière de collecte de données étaient conformes au principe de protection des données dès la conception et par défaut prévu par le RGPD.

L’enquête portait notamment sur les applications Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer, bien qu’Instagram n’ait pas été directement impliqué dans les divulgations. Ces outils ont pour objectif d’aider les utilisateurs à trouver des amis et des connaissances sur Facebook et Instagram sur base de leur numéro de téléphone.

Dans sa décision adoptée vendredi dernier, le régulateur irlandais a conclu qu’entre le 25 mai 2018 et septembre 2019, les réseaux sociaux ont enfreint les règles européennes de protection de la vie privée, et imposé une série de mesures correctives spécifiques ainsi qu’une amende administrative de 265 millions d’euros.

Un porte-parole de Meta a confié à EURACTIV que l’entreprise avait apporté « des changements [à ses] systèmes pendant la période en question, notamment en supprimant la possibilité de collecter des données sur [les] fonctionnalités de cette manière en se servant de numéros de téléphone ».

« La collecte de données non autorisé est inacceptable et contraire à nos règles, et nous continuerons à travailler avec nos pairs sur ce défi industriel. Nous examinons cette décision avec attention. »

Meta peut faire appel de la décision devant le tribunal.

Cette amende est la deuxième plus importante imposée à Meta à ce jour, après une sanction de 405 millions d’euros infligée à Instagram pour violation de la vie privée des enfants. Elle dépasse notamment la pénalité de 225 millions d’euros infligée à WhatsApp pour non-respect des exigences de transparence de l’UE.

Ces décisions à l’encontre d’Instagram et de WhatsApp ont été soumises au mécanisme dit de règlement des différends, les autres autorités européennes de protection des données ayant contesté la conclusion de l’autorité irlandaise et exigé des amendes plus élevées. Toutefois, dans le cas présent, aucune d’entre elles ne s’est opposée à la décision.

Les services de Meta ont été sanctionnés à hauteur d’environ un milliard d’euros pour violation de la protection des données en vertu de la législation européenne. Cette décision constitue une énième mauvaise nouvelle pour l’entreprise, qui a enregistré une forte baisse de ses revenus au cours des derniers mois et a récemment été contrainte de licencier plus de 11 000 personnes.

[Édité par Anne-Sophie Gayet]