L’autorité irlandaise de protection des données (DPC) a sanctionné la société META PLATFORMS (ex-FACEBOOK)[1], le 25 novembre 2022, car les réseaux sociaux FACEBOOK et INSTAGRAM édités par la société ne respectaient pas certaines exigences du RGPD[2].

En avril 2021, un document librement accessible contenant les données de ≃ 533 millions utilisateurs était publié sur Internet. Ces données contenaient les noms et prénoms des utilisateurs, leur numéro de téléphone, leur adresse e-mail ainsi que leur localisation.

Les investigations ont démontré que ces données avaient été extraites des réseaux FACEBOOK et INSTAGRAM grâce à la fonctionnalité de recherche et d’import de contacts. Cette fonctionnalité avait été initialement conçue pour permettre aux utilisateurs de la plateforme de rechercher si une de leurs connaissances utilisait également FACEBOOK/INSTAGRAM, soit en saisissant manuellement un numéro de téléphone ou une adresse e-mail, soit en important automatiquement l’ensemble de leur carnet d’adresses.

Cette fonctionnalité a toutefois été détournée de son utilisation initiale. Des numéros de téléphone générés automatiquement ont été envoyés afin de savoir s’ils correspondaient à un utilisateur de FACEBOOK/INSTAGRAM. Si une correspondance était trouvée, les informations contenues dans le profil public de la personne étaient alors extraites et enregistrées.

En procédant de la sorte, un jeu de données de 533 millions de personnes a pu être réalisé.

Suite à la publication des données sur Internet, la Commission irlandaise a considéré que la société FACEBOOK avait manqué à son obligation d’assurer la protection des données « dès la conception », car les « mesures techniques et organisationnelles » prises n’étaient pas adaptées, ni « suffisantes ». FACEBOOK avait certes intégré des protections à son dispositif, comme une limite maximale de requêtes par utilisateur ainsi que la création d’une équipe spécialisée dédiée, mais ces protections ont seulement limité la capacité d’extraire des données. Le choix fait par FACEBOOK de rendre les profils publics par défaut a également aidé les robots à collecter un tel volume de données.

Par ailleurs, la DPC reproche également au géant américain de ne pas avoir réalisé une analyse de risques sur la fonctionnalité de recherche des contacts. Selon la Commission, les risques liés à ce dispositif sur les droits et les libertés étaient « élevés », « compte tenu du nombre de personnes concernées, de la grande quantité de données à caractère personnel et […] de la nature même de ces données ». Le risque de dévoiler les numéros de téléphone des utilisateurs a, par exemple, été jugé « particulièrement élevé ».

En septembre 2019, après que FACEBOOK a détecté qu’un grand nombre de comptes utilisait sa fonctionnalité de recherche de contacts à l’aide de scripts, la société a décidé de ne plus retourner des résultats exacts, mais de retourner une liste de résultats contenant des personnes que l’utilisateur est susceptible de connaître.

Une amende de 265 millions d’euros a été prononcée contre la société META PLATFORMS, ce qui représente 0,22 % du chiffre d’affaires[3] du groupe.

Lire :

Ma réaction à cette décision

Les sanctions commencent à s’accumuler contre FACEBOOK. Deux mois plus tôt, une amende de 405 millions avait déjà été prononcée à son encontre[4], car les coordonnées de mineurs étaient diffusées sur INSTAGRAM. Cette fois-ci, l’ardoise affiche 265 millions. Même si les montants de ces sanctions peuvent paraître élevés pour monsieur tout-le-monde, ils ne représentent qu’une part infime du chiffre d’affaires de FACEBOOK. L’essentiel n’est probablement pas là. L’important est que la pression continue de peser sur le géant américain pour l’obliger à respecter un minimum ses utilisateurs, parfois au détriment de ses profits. Ce n’est pas gagné, mais on progresse.

Pour le moment, les pratiques de FACEBOOK sont toujours très contestables. Pendant la procédure par exemple, FACEBOOK a indiqué à la Commission irlandaise, plus d’un un après le début de la procédure, que les informations que la société lui avait communiquées étaient « inexactes » :

« En réponse à l’avant-projet de décision du 14 juillet 2022, [FACEBOOK] a révélé, principalement dans des notes de bas de page, que des aspects importants de plusieurs de ses soumissions précédentes étaient inexacts. […] Cette divulgation tardive, plus d’un an après le premier contact de [FACEBOOK] auprès du DPC, a considérablement discrédité la manière dont [FACEBOOK] s’est engagée dans l’enquête […]. Malgré de longues observations en date du 14 juillet 2022, [FACEBOOK] n’a pas donné plus de détails sur cette erreur fondamentale. Une franchise totale de la part des responsables du traitement des données et des sous-traitants lorsqu’ils s’engagent avec l’autorité de contrôle est essentielle à la bonne application du GDPR. »

— DPC, Délibération concernant META PLATEFORMS, §255, traduit

FACEBOOK a tenté de se justifier, mais ses explications n’ont pas convaincu la DPC, qui, contrairement à son habitude, s’est montré plutôt critique :

« Malgré cette explication, il reste difficile de comprendre comment une erreur aussi fondamentale a pu se produire sur une période aussi longue, en dépit des ressources financières et humaines considérables de [FACEBOOK] et du grand nombre d’équipes, d’intervenants et d’experts en la matière chargés d’analyser, de préparer et d’examiner ses soumissions, et du fait qu’elle bénéficiait de l’expertise de deux équipes juridiques externes. »

— DPC, Délibération concernant META PLATEFORMS, §263, traduit

Le fait de communiquer de fausses informations a « inévitablement retardé les progrès de l’enquête » de la DPC. Au final, lors de la définition de la sanction, ce fait a été retenu comme un élément aggravant, même si le montant de l’amende ne semble pas être particulièrement important, surtout si l’on considère que les données de plus de 500 millions de personnes se sont retrouvées sur la place publique. Alors, FACEBOOK a-t-il délibérément donné de mauvaises informations pour retarder l’enquête ? Ou FACEBOOK est-il simplement plus capable de comprendre ce qu’il se passe dans ses propres systèmes ? Je laisserai chacun se faire son opinion.

Notes et références

  1. La société qui a fait l’objet de la sanction est la société META PLAFORMS IRELAND LIMITED, qui est la filiale européenne, basée en Irlande, de la société américaine META PLAFORMS. La société META PLATFORMS édite notamment Facebook, WhatsApp et Instagram.
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le groupe Meta Platforms (ex- Facebook Inc), maison de mère de la société Meta Ireland Limited, a déclaré un chiffre d’affaires de $117,929 milliards en 2021 (source : Meta Platforms Inc, Résultats Annuels 2021, en anglais), soit un montant identique en euros au cours du jour de la sanction.
  4. La société META qui édite FACEBOOK, a été sanctionné en septembbre 2022 par la DPC d’une amende de 405 millions suite à des manquements au RGPD de son réseau INSTAGRAM. Voir « INSTAGRAM sanctionné pour avoir publié les coordonnées de mineurs ».