Les dossiers concernant Facebook s’accumulent sur le bureau de la Commission de protection des données personnelles — la CNIL irlandaise. Surtout depuis l’entrée en vigueur du RGPD. Déjà à l’œuvre sur le recours collectif engagé contre le réseau social et sur le projet flou de plateforme unifiée entre WhatsApp, Messenger et Instagram, le régulateur se penche maintenant sur une autre affaire.
Celle du stockage de millions de mots de passe en clair.
Rappel des faits. Le 21 mars, Facebook a annoncé avoir découvert une erreur dans la façon de conserver les mots de passe de sa communauté sur ses serveurs. L’incident a touché des membres de Facebook, mais aussi Instagram (dans des proportions équivalentes) et dans une moindre mesure celles et ceux utilisant Facebook Lite, qui est une version épurée du site pour limiter la consommation de données mobiles.
Il n’est pas établi que le stockage en clair de ces mots de passe, c’est-à-dire sans les couches de protection permettant de les rendre illisibles même en cas de piratage de l’infrastructure de Facebook, a été exploité à des fins malveillantes. L’enquête menée par Facebook n’a pas mis à jour une intrusion frauduleuse ni un mésusage en interne par un salarié.
Facebook a-t-il bien respecté le RGPD ?
Ici, ce que cherche à savoir la Commission de protection des données personnelles, c’est le degré de conformité au RGPD de la procédure de notification suivie par Facebook. Les autorités irlandaises indiquent en effet avoir été alertées par le réseau social. Elles entendent désormais s’assurer que toutes les dispositions en la matière ont bien été suivies par l’entreprise de Mark Zuckerberg.
Dans le cadre du RGPD, il existe par exemple une obligation de notification à l’autorité compétente dans un délai de 72 heures en cas de violation des données personnelles. Sinon, une amende administrative peut être prononcée. Celle-ci est variable selon le degré de la gravité de l’infraction au RGPD, avec un plafond fixé à 4 % de son chiffre d’affaires mondial.
L’enquête menée par les autorités irlandaises ne signifie pas qu’il y aura effectivement une sanction administrative en bout de course. Et même dans ce cas de figure, le régulateur tiendra certainement compte de l’absence apparente de dommages pour les internautes et du fait que Facebook l’a quand même alerté. Des éléments qui joueront en sa faveur si une peine doit quand même être prononcée.
La CNIL irlandaise est généralement compétente sur les dossiers ayant trait à Facebook et à la plupart des autres géants du net opérant sur le Vieux Continent, car c’est dans ce pays qu’ont été installés la majorité des quartiers généraux européens de ces grands groupes. De par sa position, elle est naturellement plus susceptible d’être désignée comme autorité chef de file sur un dossier relevant du RGPD.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !