Dans un communiqué de presse publié le 28 novembre 2022, la Data Protection Commission (« DPC »), autorité irlandaise de protection des données, a indiqué avoir adopté une décision de sanction à l’encontre de l’entité irlandaise du groupe Meta.
Le 14 avril 2021 la DPC avait annoncé l’ouverture d’une enquête contre Meta (à l’époque « Facebook ») suite à l’apparition sur un forum de piratage en ligne de données à caractère personnel concernant près de 533 millions d’utilisateurs en avril 2019.
Il s’est avéré que les données n’avaient pas été piratées mais collectées sur des applications de Meta par des techniques de « scraping » consistant à extraire massivement des données par l’exécution de scripts informatiques. Les investigations menées par la DPC ont permis de révéler que cette collecte avait été rendue possible par une sécurisation insuffisante des données de la part de Meta.
La DPC a ainsi considéré que Meta a violé les obligations de sécurisation des données qui lui incombent en application de l’article 25 du Règlement Général sur la Protection des Données. Cet article énonce un principe de « privacy by design and privacy by default » en application duquel le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles de protection des données dès la conception du système de traitement de données et tout au long de sa mise en œuvre.
En réaction à ces manquements, la DPC a indiqué avoir sanctionné Meta en lui imposant de prendre une série de mesures correctrices et en lui infligeant une amende administrative d’un montant de 265 millions d’euros. La décision n’a pas encore été publiée à ce jour.
