Une journée coûteuse pour Meta. D'abord, l'Australie a annoncé qu'elle avait conclu un accord à l'amiable de 50 millions de dollars australiens (31,7 millions de dollars américains) avec l'entreprise dans le cadre du scandale Cambridge Analytica, et maintenant, l'autorité irlandaise de protection des données (Irish Data Protection Committee, IDPC) a imposé une amende de 251 millions d'euros (263 millions de dollars américains) à Meta. L'amende de l'autorité irlandaise de protection des données fait suite à une violation de la protection des données personnelles chez Facebook en 2018.
Les pirates avaient exploité une "faille dans le code Facebook" en rapport avec la fonction "Afficher en tant que visiteur de la page", comme l'entreprise l'avait alors indiqué. Ils ont ainsi pu accéder aux jetons d'accès des utilisateurs et prendre le contrôle de leurs comptes. Les escrocs ont pu se connecter à quelque 29 millions de comptes Facebook d'utilisateurs du monde entier, dont trois millions d'utilisateurs de l'Union européenne et de l'Espace économique européen. Ils ont pu accéder à des informations telles que le nom complet, l'adresse électronique, le numéro de téléphone, le lieu de résidence, la date de naissance, la religion et les données personnelles des enfants.
L'IDPC tient Meta pour responsable de ne pas avoir assuré une protection adéquate des données lors de la conception de ses systèmes de traitement, de ne pas avoir traité les données à caractère personnel uniquement lorsque cela était expressément nécessaire et de ne pas avoir divulgué toutes les informations relatives à la violation.
"Cette mesure d'application montre comment le fait de ne pas prendre en compte les exigences de protection des données tout au long du cycle de conception et de développement peut exposer les individus à des risques et dommages très graves, y compris un risque pour les libertés et droits fondamentaux des individus", a déclaré Graham Doyle, commissaire adjoint au DPC. "En divulguant des informations de profil sans autorisation, les vulnérabilités à l'origine de cette violation de la vie privée ont créé un risque sérieux d'utilisation abusive de ce type de données".
En réponse à l'amende, un porte-parole de Meta a déclaré à Engadget : "Cette décision fait référence à un incident survenu en 2018. Nous avons pris des mesures immédiates pour résoudre le problème dès qu'il a été identifié, et nous avons informé de manière proactive les personnes concernées et la Commission irlandaise de protection des données. Nous avons pris un certain nombre de mesures à la pointe de l'industrie pour protéger les personnes sur nos plateformes".
En Australie, le règlement du scandale Cambridge Analytica est dû à un lanceur d'alerte qui a révélé en 2018 que l'entreprise avait "exploité Facebook pour collecter des millions de profils de personnes". Facebook en avait été informé trois ans auparavant. Cambridge Analytica a utilisé ces informations pour influencer les électeurs américains en faveur de la campagne électorale de Donald Trump en 2016 et de la campagne pro-Brexit. L'entreprise était auparavant dirigée par Steve Bannon, qui a récemment purgé une peine de prison pour avoir refusé de coopérer à l'enquête du 6 janvier.
L'accord prévoit le paiement de 311 127 personnes selon les estimations. Les personnes éligibles sont celles qui possédaient un compte Facebook entre novembre 2015 et décembre 2015, qui ont séjourné en Australie pendant plus de 30 jours au cours de cette période et qui ont installé l'application "This is Your Digital Life", soit par elles-mêmes, soit par l'intermédiaire d'un ami Facebook. Meta avait auparavant accepté de verser 725 millions de dollars aux utilisateurs américains.
