Les dossiers concernant Facebook s’accumulent sur le bureau de la Commission de protection des données personnelles la CNIL irlandaise. Surtout depuis l’entrée en vigueur du RGPD.
Déjà à l’œuvre sur le recours collectif engagé contre le réseau social et sur le projet flou de plateforme unifiée entre WhatsApp, Messenger et Instagram, le régulateur se penche maintenant sur une autre affaire.
Celle du stockage de millions de mots de passe en clair.
Rappel des faits. Le 21 mars, Facebook a annoncé avoir découvert une erreur dans la façon de conserver les mots de passe de sa communauté sur ses serveurs. L’incident a touché des membres de Facebook, mais aussi Instagram (dans des proportions équivalentes) et dans une moindre mesure celles et ceux utilisant Facebook Lite, qui est une version épurée du site pour limiter la consommation de données mobiles.
Il n’est pas établi que le stockage en clair de ces mots de passe, c’est-à-dire sans les couches de protection permettant de les rendre illisibles même en cas de piratage de l’infrastructure de Facebook, a été exploité à des fins malveillantes. L’enquête menée par Facebook n’a pas mis à jour une intrusion frauduleuse ni un mésusage en interne par un salarié.
Facebook a-t-il bien respecté le RGPD ?
Ici, ce que cherche à savoir la Commission de protection des données personnelles, c’est le degré de conformité au RGPD de la procédure de notification suivie par Facebook. Les autorités irlandaises indiquent en effet avoir été alertées par le réseau social.
Elles entendent désormais s’assurer que toutes les dispositions en la matière ont bien été suivies par l’entreprise de Mark Zuckerberg.
Dans le cadre du RGPD, il existe par exemple une obligation de notification à l’autorité compétente dans un délai de 72 heures en cas de violation des données personnelles.
Sinon, une amende administrative peut être prononcée. Celle-ci est variable selon le degré de la gravité de l’infraction au RGPD, avec un plafond fixé à 4 % de son chiffre d’affaires mondial.
L’enquête menée par les autorités irlandaises ne signifie pas qu’il y aura effectivement une sanction administrative en bout de course. Et même dans ce cas de figure, le régulateur tiendra certainement compte de l’absence apparente de dommages pour les internautes et du fait que Facebook l’a quand même alerté. Des éléments qui joueront en sa faveur si une peine doit quand même être prononcée.
La CNIL irlandaise est généralement compétente sur les dossiers ayant trait à Facebook et à la plupart des autres géants du net opérant sur le Vieux Continent, car c’est dans ce pays qu’ont été installés la majorité des quartiers généraux européens de ces grands groupes.
De par sa position, elle est naturellement plus susceptible d’être désignée comme autorité chef de file sur un dossier relevant du RGPD.
Source : Cette information et actualité qui a suscité notre intérêt, a été publiée sur le site numerama.com que nous remercions. il nous a semblé pertinent de vous en faire profiter.
