Dans un communiqué de presse publié vendredi 27 septembre, la Commission irlandaise de protection des données (DPC) a condamné Meta à une amende de 91 millions d’euros pour avoir stocké « par inadvertance » des mots de passe d’utilisateurs sans protection cryptographique ou chiffrement, clôturant ainsi une affaire vieille de cinq ans.
Meta avait découvert, lors d’un examen de sécurité en janvier 2019, qu’elle avait stocké les mots de passe d’utilisateurs de ses réseaux sociaux en texte clair, dans ses bases de données internes. Ce qui signifie qu’ils étaient accessibles à des milliers d’employés, affectant des millions d’utilisateurs, rapportait CNN à l’époque.
La branche irlandaise de Meta en avait alors informé les autorités chargées de réguler la société mère de Facebook et d’Instagram au sein de l’Union européenne (UE), et l’enquête de la DPC a débuté en avril 2019.
La Commission irlandaise de protection des données a soumis son ébauche de décision à d’autres autorités de l’UE et de l’Espace économique européen (EEE) en juin de cette année et n’a reçu aucune objection.
« Il est largement admis que les mots de passe des utilisateurs ne devraient pas être stockés en texte clair, compte tenu des risques d’abus qui découlent des personnes accédant à ces données », a déclaré Graham Doyle, le commissaire adjoint à la DPC, dans un communiqué de presse.
Meta a donc été reconnue coupable de violation du règlement général sur la protection des données (RGPD), notamment pour ne pas avoir sécurisé ces mots de passe et de ne pas avoir notifié l’autorité de régulation.
[Édité par Anna Martino]