Fuite de données Facebook : la CNIL irlandaise ouvre une enquête
L’inaction aurait été mal vue : la DPC irlandaise, autorité de protection des données du pays, a annoncé l’ouverture d’une enquête sur la fuite de données ayant récemment affecté les utilisateurs de Facebook. Un fichier contenant les données personnelles de 533 millions d’utilisateurs du réseau social a été récemment diffusé librement sur un forum, repéré par la presse américaine. La DPC Irlandaise avait indiqué dans un premier communiqué que Facebook n’avait pas signalé cette fuite de données à l’autorité de protection des données. Elle fait maintenant savoir qu’elle ouvre une enquête suite à cette fuite de données, afin de déterminer si Facebook Ireland « a respecté ses obligations en tant que responsable du traitement de données » à l’egard du RGPD.
La CNIL française avait annoncé la semaine dernière qu’elle s’associait à l’enquête de son homologue irlandais suite à la publication de ce fichier. Mais le siège européen de Facebook étant basé en Irlande, c’est l’autorité irlandaise qui joue ici le rôle d’autorité-chef de file pour ce dossier. L’ouverture de cette enquête par l’autorité irlandaise n’est pas anodine : le commissaire européen Dider Reynders avait fait savoir lundi sur Twitter qu’il avait pris contact avec la dirigeante de l’autorité irlandaise de protection des données afin d’évoquer la question de cette fuite de données. L’autorité irlandaise est l’autorité de référence de nombreuses entreprises américaines des nouvelles technologies, qui choisissent d’installer leur siège social en Irlande. Mais celle-ci est connue pour sa lenteur à traiter les sujets et les plaintes. Le secrétaire d’État français Cedric O a également salué l’ouverture de cette enquête,
Facebook prêt à coopérer
La question se pose de savoir si Facebook était tenu de signaler cette fuite de données à la DPC ainsi que de savoir si le réseau social devait prévenir les utilisateurs affectés par cette fuite de données. Ce sont deux obligations prévues par le RGPD, qui réglemente les fuites de données de ce type.
Facebook a fait savoir qu’il ne considérait pas devoir se plier à ces exigences dans ce cas précis, mais a indiqué auprès de TechCrunch qu’il collaborerait avec l’autorité irlandaise dans le cadre de l’enquête sur cette fuite de données. « Nous coopérons pleinement avec l’IDPC dans son enquête, qui porte sur des fonctionnalités qui permettent aux gens de trouver et de se connecter plus facilement avec des amis sur nos services. Ces fonctionnalités sont communes à de nombreuses applications et nous sommes impatients de les expliquer ainsi que les protections que nous avons mises en place » a expliqué Facebook. En cas de manquement constaté, la DPC pourrait infliger une amende à Facebook pouvant s’élever jusqu’à 4 % du chiffre d’affaires de l’entreprise.
Selon le réseau social, les données de ses utilisateurs ont été récupérées dans le cadre d’une campagne de scraping des données publiques, ainsi qu’en exploitant un bug dans son outil permettant de retrouver les contacts via le numéro de téléphone. Ce bug a été résolu en 2019 selon Facebook. D’autres réseaux sociaux ont également été victimes de campagnes de récupération de données similaires, à l’instar de LinkedIn et de Clubhouse.
