La Commission irlandaise de protection des données (CPD) a annoncé le 28 novembre qu’elle avait infligé une amende de 265 millions d’euros (274,8 millions de dollars) à Meta, le promoteur de Facebook, pour avoir enfreint le Règlement général sur la protection des données (RGPD) de l’Union européenne. Concrètement, la Commission a déclaré qu’elle avait infligé une amende à Meta pour ne pas avoir conçu Facebook de manière à protéger les utilisateurs contre les violations de données.

Cette annonce fait suite à une enquête de plus d’un an qui a débuté en avril 2021. La violation elle-même s’est produite plus tôt, à la fin de 2019.

La Commission de protection des données annonce sa décision dans l’enquête sur la « Collecte de données » de Facebook : https://t.co/xW9nVqiJ2Y pic.twitter.com/6iDYnyVk5R- Commission de protection des données d’Irlande (@DPCIreland) 28 novembre 2022

La violation des données a été découverte lorsqu’un rapport de Tech Crunch a révélé que des centaines de millions de numéros de téléphone d’utilisateurs de Facebook étaient répertoriés dans une base de données accessible au public en ligne. Bien que la base de données ait ensuite été retirée par l’hébergeur, son existence a révélé que les données de Facebook avaient été violées.

En avril 2021, la CPD a commencé à enquêter sur cette violation. À l’époque, Meta a publié une déclaration sur la violation intitulée « Les faits sur les rapports d’actualité concernant les données de Facebook ». Meta a affirmé qu’un pirate avait utilisé son outil d’importation de contacts pour inonder le serveur de numéros de téléphone, afin de voir lesquels étaient associés à des comptes Facebook.

Chaque fois que le pirate obtenait une réponse, il était en mesure d’obtenir les données personnelles de l’utilisateur, et de les faire correspondre au numéro de téléphone de ce dernier. En conséquence, les données personnelles des utilisateurs ont été transmises à des acteurs malveillants.

Dans sa déclaration, Meta a affirmé qu’elle avait corrigé la vulnérabilité de l’importateur de contacts après la découverte de la brèche, et que l’outil était désormais sûr.

Selon la nouvelle déclaration de la CPD, elle a constaté « une violation des articles 25 (1) et 25 (2) du RGPD » en raison de cet incident, et « a imposé des amendes administratives d’un montant total de 265 millions d’euros ».

L’utilisation de données personnelles dans les applications de médias sociaux est sujette à la polémique ces dernières années, les violations de données étant devenues un phénomène courant.

Plusieurs entreprises de blockchain ont tenté de résoudre le problème en créant des applications de médias sociaux blockchain, qui ne demandent pas aux utilisateurs de donner leur adresse e-mail ou leur numéro de téléphone. Par exemple, Bitclout et Blockster sont des applications de médias sociaux qui permettent aux utilisateurs de se connecter avec un simple portefeuille Ethereum.

Les développeurs d’Ethereum ont également présenté une proposition appelée EIP-4361 visant à normaliser le processus de connexion du portefeuille dans toutes les applications. Les partisans de cette proposition estiment qu’il ne serait plus nécessaire de demander aux utilisateurs des informations personnelles sensibles dans les applications de médias sociaux, ce qui permettrait d’éviter des violations de ce type à l’avenir.