L’amende astronomique infligée à Meta Platforms Ireland Limited illustre de manière indiscutable que le non-respect du RGPD entraîne des conséquences financières significatives et que la protection des données personnelles demeure une priorité essentielle pour les autorités de régulation.
La Commission irlandaise de protection des données (DPC) a imposé une sanction de 91 millions d’euros à Meta en raison d’une série de manquements relatifs à la gestion des mots de passe des utilisateurs, qui avaient été conservés en clair.
L’affaire a débuté en mars 2019, lorsque Meta a informé la DPC que les mots de passe de certains utilisateurs avaient été, par inadvertance, stockés en clair dans ses systèmes internes. Bien que l’entreprise ait soutenu que ces mots de passe n’avaient pas été accessibles à des tiers, la DPC a ouvert une enquête approfondie pour évaluer si Meta avait mis en place les mesures de sécurité appropriées et respecté les obligations de notification des violations stipulées par le RGPD.
La décision finale, rendue publique le 26 septembre 2024, a établi que Meta n’avait pas adopté les mesures techniques et organisationnelles nécessaires pour garantir la sécurité des mots de passe des utilisateurs. L’amende de 91 millions d’euros résulte du fait que Meta n’a pas signalé l’incident dans les délais requis et a mal documenté l’événement.
Le RGPD impose aux responsables du traitement des données de mettre en œuvre des mesures de sécurité proportionnelles aux risques, en particulier pour des données sensibles telles que les mots de passe, et de notifier rapidement toute violation aux autorités compétentes.
Le DPC a mis en avant la nécessité pour les entreprises de garantir une protection adéquate des données des utilisateurs tout en respectant les réglementations strictes de l’Union européenne. Cette sanction sert de rappel significatif pour toutes les entreprises manipulant d’importantes quantités de données personnelles, surtout à une époque où les violations de la sécurité des données deviennent de plus en plus courantes.
Durant l’enquête, le DPC a collaboré étroitement avec d’autres autorités européennes, illustrant ainsi l’engagement de l’UE à défendre les droits numériques des citoyens. Bien que Meta ait affirmé que les mots de passe n’avaient pas été divulgués à des tiers, le stockage en clair a soulevé des préoccupations concernant la sécurité interne des données et la capacité de l’entreprise à gérer de tels incidents.
La décision sera prochainement publiée dans son intégralité et pourrait établir un précédent significatif pour d’autres affaires similaires, en indiquant clairement que les autorités ne toléreront pas la négligence dans la gestion de la sécurité des données.
