La Data Protection Commission (DPC) officialise l'ouverture d'une enquête concernant Facebook. Elle est en rapport avec la publication en début de mois sur un forum de hacking d'un fichier contenant des données personnelles de plus de 530 millions d'utilisateurs de Facebook, dont des numéros de téléphone.
DPC launches inquiry into Facebook in relation to a collated dataset of Facebook user personal data made available on the internet https://t.co/r8F4ccRj9y pic.twitter.com/iz8YoIFMs2
— Data Protection Commission Ireland (@DPCIreland) April 14, 2021
L'autorité irlandaise de protection des données - le siège principal de Facebook en Europe est à Dublin - va vérifier si Facebook n'a pas manqué à ses obligations en matière de respect du Règlement général sur la protection des données (RGPD) qui est entré en vigueur en mai 2018 dans l'Union européenne.
Notamment dans le collimateur, une absence de signalement auprès de la DPC, un manque de communication auprès des personnes concernées par cette fuite de données, voire des mesures de sécurité sujettes à caution.
La défense de Facebook
D'après Facebook, la violation de données serait antérieure au RGPD et pour une fuite de données découverte en 2019. Le réseau social a par ailleurs écarté un piratage de ses systèmes et évoque du scraping avec une récupération automatisée de données publiques.
" Nous pensons que des acteurs malveillants ont récupéré ces informations à partir des profils Facebook des utilisateurs à l'aide de notre importateur de contacts, une fonctionnalité de Facebook qui permet de trouver d'autres utilisateurs sur nos plateformes à l'aide d'une liste de contacts. "
Après découverte de ce scraping, Facebook assure que la fonctionnalité a été amendée en conséquence en septembre 2019. La modification a eu pour but d'empêcher le recours à un logiciel pour imiter l'application du réseau social et importer massivement des numéros de téléphone afin d'identifier des correspondances avec des utilisateurs de Facebook.
À l'époque, Facebook n'a pas jugé utile d'alerter les utilisateurs pour des données publiques et sans piratage de ses systèmes. Du reste, Facebook ne le fait toujours pas et renvoie vers le site Have I Been Pwned le cas échéant.
Si la DPC n'est pas convaincue par l'argumentation de Facebook et penche pour une infraction au RGPD, le groupe de Mark Zuckerberg risque une lourde sanction financière de jusqu'à 4 % de son chiffre d'affaires mondial.
