Les régulateurs européens de protection des données personnelles taclent régulièrement Meta pour ses applications non conformes au RGPD. La maison mère de Facebook et Instagram vient d’écoper d’une amende de 265 millions d’euros par la Cnil Irlandaise, ce qui porte à prés d’1 milliard d’euros le montant total des sanctions financières infligées par les Cnil européennes.

L’affaire en question conclut une enquête démarrant au mois d’avril dernier et portant sur la publication en ligne de plus de 500 millions de Facebook et d’Instagram. Concrètement, la société a conçu un outil pour aider les utilisateurs à trouver des personnes qu’ils connaissent en important des contact de leurs téléphones sur l’application Facebook ou Instagram.

Une absence de sécurité par défaut sanctionnée

Les données personnelles de 533 millions d’utilisateurs à travers 106 pays ont été publiées sur un forum underground en 2019. Cette base comprenait des noms, des lieux et certaines adresses électroniques. Il ne s’agit pas d’un piratage, mais d’une technique appelée scraping, où les personnes peuvent absorber de manière automatique les données personnelles d’un site ou d’une application. En l’occurrence, les deux fonctions d’importation de contact de Facebook et d’Instagram, ainsi que leurs moteurs de recherche internes le scraping.

Meta a intégré des correctifs pour éviter ce siphonnage, mais cela n’a pas empêché la Cnil Irlandaise d’enquêter. Cette dernière, travaillant pour le compte des autres régulateurs, a estimé que la politique de Meta était non conforme à l’article 25 du RGPD. Il précise que « le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées ».