La Commission de protection des données lance une enquête suite à la récente fuite de données de Facebook.
Bien que Facebook ait déclaré qu’il n’avait pas besoin d’informer les utilisateurs concernés, la Commission de protection des données pourrait ne pas être d’accord.
Suite à la nouvelle que plus d’un demi-million de données d’utilisateurs de Facebook étaient disponibles en ligne, le chien de garde irlandais de la protection des données a lancé une enquête.
Au cours du week-end de Pâques, le géant des médias sociaux est passé en mode de contrôle des dommages alors que la nouvelle d’une fuite massive de données faisait surface.
D’abord rapporté par Business Insider, il a été révélé qu’une énorme base de données d’informations sur 533 millions d’utilisateurs de 106 pays était disponible sur un forum de piratage.
Selon Facebook, l’incident a eu lieu avant l’introduction du RGPD et la société de technologie n’était donc pas tenue d’informer le chien de garde ou ses utilisateurs de la fuite.
Lorsque la nouvelle a éclaté pour la première fois, le DPC a commencé à établir des contacts avec Facebook pour «établir tous les faits» concernant l’ensemble de données et son apparition en ligne.
Malgré l’insistance de Facebook sur le fait que la fuite est antérieure au RGPD, le DPC a déclaré que «l’ensemble de données nouvellement publié semble comprendre l’ensemble de données original de 2018 (avant le RGPD) et combiné avec des enregistrements supplémentaires, qui peuvent provenir d’une période ultérieure.»
À présent, la Commission irlandaise de protection des données (DPC) a lancé une «enquête de son plein gré» sur la fuite de données.
Que signifie l’enquête DPC?
Dans une déclaration, la DPC a déclaré qu’elle estimait qu ‘«une ou plusieurs dispositions du RGPD et / ou de la loi de 2018 sur la protection des données peuvent avoir été, et / ou sont, enfreintes en ce qui concerne les données personnelles des utilisateurs de Facebook».
Les enquêtes sur la protection des données et même de lourdes amendes sont au rendez-vous pour Facebook. En fait, le dernier rapport DPC a montré que plus de la moitié de ses enquêtes transfrontalières en 2020 concernaient Facebook ou ses autres sociétés, WhatsApp et Instagram.
Cependant, dans ce cas, Facebook a minimisé la fuite de données, déclarant qu’il ne s’agissait pas vraiment d’un piratage mais plutôt d’un «grattage» de données, une tactique qui implique un logiciel automatisé qui récupère des informations publiques sur Internet.
Plus important encore, Facebook a déclaré qu’il s’agissait d’anciennes données rapportées pour la première fois en 2019, ce qui, à l’époque, selon la société, était lié au grattage de données survenu entre juin 2017 et avril 2018, juste avant l’entrée en vigueur du RGPD.
Non seulement Facebook a choisi de ne pas notifier le DPC, mais selon NPR, la société n’a pas non plus l’intention de notifier les utilisateurs qui ont été affectés.
Cependant, comme les données sont toujours partagées et diffusées en ligne gratuitement sur des forums de piratage et incluent des numéros de téléphone, qui ne sont pas souvent modifiés par les utilisateurs, la décision de Facebook de ne pas informer le DPC ou ses utilisateurs pourrait mettre l’entreprise dans l’eau chaude.
«Le DPC s’est engagé avec Facebook Ireland en relation avec ce problème signalé, soulevant des questions concernant la conformité au RGPD, auxquelles Facebook Ireland a fourni un certain nombre de réponses», a déclaré le DPC.
Sur la base des informations fournies par Facebook, le DPC estime que les règles du RGPD peuvent avoir été enfreintes
Alors que le DPC commence sa propre enquête sur ce qui s’est réellement passé, un certain nombre de questions subsistent quant à savoir exactement quand la fuite s’est produite et comment.
Et bien que seul le temps nous dira si Facebook s’est conformé à ses obligations en tant que contrôleur de données, l’enquête du DPC suggère que les affirmations de Facebook concernant l’ensemble de données ne sont peut-être pas la fin de l’histoire.
Auteur/autrice
