La Data Protection Commission, équivalent irlandaise de la CNIL, vient de prononcer une sanction de 91 millions d’euros contre Meta. La société avait reconnu avoir stocké des millions de mots de passe Facebook et Instagram en clair.

Que s’était-il passé ? Des mots de passe se sont retrouvés dans des zones de l’infrastructure de Meta qui n’avaient pas été conçues pour gérer des données aussi sensibles. On ne sait pas exactement comment ces informations y ont atterri. Un « examen de routine » au sein de l’entreprise avait révélé leur présence, leur accumulation entre 2012 et 2019 ainsi que leur disponibilité en clair. Plus de 20 000 employés de Meta étaient théoriquement capables d’y accéder à l’époque.

La DPC liste ainsi les infractions au RGPD :

• Article 33, paragraphe 1 : la violation des données n’a pas été signalée
• Article 33, paragraphe 5 : la violation n’a pas été documentée
• Article 5, paragraphe 1 : défaut de sécurisation (mesures techniques et organisationnelles) sur les données dans un traitement non autorisé
• Article 32, paragraphe 1 : défaut de sécurisation, Meta n’ayant pas assuré la confidentialité permanente des mots de passe

En plus de ces points, la DPC note que Meta n’a pas averti les personnes concernées que leur mot de passe était accessible en clair pendant des années.

« Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en clair, compte tenu des risques d'abus qui découlent de l'accès à ces données par des personnes. Il faut garder à l'esprit que les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d'accéder aux comptes de médias sociaux des utilisateurs », a indiqué Graham Doyle, commissaire adjoint de la DPC.

La commission irlandaise indique que Meta a collaboré activement à l’enquête ouverte en 2019. Comme l’indique Reuters, la sanction vient s’ajouter aux autres en Europe, Meta cumulant aujourd’hui 2,5 milliards d’euros en amendes diverses.