La fuite des données de 533 millions d’utilisateurs a eu lieu avant le RGPD, se défend Facebook

Au cours du week-end (3-4 avril), les données personnelles de millions d’utilisateurs de Facebook sont apparues sur un forum de piratage en ligne, notamment des numéros de téléphone, des identifiants Facebook, des informations biographiques et des lieux. [Shutterstock]

Facebook a déclaré à la Commission irlandaise de protection des données (DPC) qu’une violation impliquant les informations personnelles de 533 millions d’utilisateurs dans le monde entier a eu lieu avant l’entrée en vigueur du Règlement général sur la protection des données de l’UE en 2018, et que l’entreprise a donc « choisi de ne pas notifier » la violation aux autorités.

Au cours du week-end (3-4 avril), les données personnelles de millions d’utilisateurs de Facebook sont apparues sur un forum de piratage en ligne, notamment des numéros de téléphone, des identifiants Facebook, des informations biographiques et des lieux. Certaines adresses électroniques semblent également avoir été récupérées.

Les chiffres précisent qu’environ 100 millions de citoyens de l’UE pourraient avoir été touchés par la fuite de données, dont 36,6 millions d’utilisateurs en Italie, 10,9 millions en Espagne et six millions en Allemagne.

En réponse à la nouvelle, le service de communication de Facebook a déclaré que les données « ont été précédemment signalées en 2019″ et que l’entreprise « a trouvé et corrigé ce problème en août 2019« .

Cependant, s’adressant à la commission irlandaise de protection des données mardi (6 mars) – l’organe compétent pour traiter les violations de l’entreprise contre la loi européenne sur la protection des données – Facebook a déclaré avoir « comblé une vulnérabilité dans sa fonctionnalité de recherche de téléphone » en avril 2018.

Le règlement général sur la protection des données (RGPD) de l’UE, qui est entré en vigueur en mai 2018, aurait imposé à Facebook des obligations légales de notifier l’autorité compétente en matière de protection des données dans un délai de 72 heures, ainsi que de notifier potentiellement les utilisateurs sans retard excessif.

Mais, « parce que l’incident a eu lieu avant le RGPD, Facebook a choisi de ne pas notifier cela comme une violation de données personnelles en vertu du RGPD », peut-on lire dans la déclaration de l’organisme irlandais de surveillance des données.

La déclaration à la CPD irlandaise est donc en contradiction avec la position antérieure de Facebook, qui avait noté que la vulnérabilité avait été corrigée en août 2019 – ce qui aurait imposé des obligations légales supplémentaires à l’entreprise en vertu du RGPD de l’UE.

Faille dans l’importation de contacts

Il semblerait que la violation à laquelle Facebook fait référence est une faille dans la fonction d’importation de contacts de la plateforme, qui permettait aux utilisateurs de trouver directement d’autres personnes à l’aide de numéros de téléphone, sur Facebook et Instagram.

Une faille dans le système permettait aux pirates d’imiter les administrateurs de Facebook pour jumeler des utilisateurs à des numéros de téléphone.

EURACTIV remarque qu’un échantillon des données postées sur les forums de pirates ce week-end correspond à celles qui avaient déjà fait surface dans le cadre de la vulnérabilité de l’importateur de contacts qui a été corrigée fin août 2019.

De son côté, Facebook a tenu à informer l’organisme irlandais de protection des données qu’une « enquête approfondie » est en cours pour faire toute la lumière sur cette fuite.

« Les données en cause semblent avoir été rassemblées par des tiers et proviennent potentiellement de sources multiples », a rapporté Facebook à l’organisme irlandais de protection des données. « Elles nécessitent donc une enquête approfondie pour établir leur provenance avec un niveau de confiance suffisant pour fournir à votre bureau et à nos utilisateurs des informations supplémentaires. »

Désinformation et haine en ligne : Reporters sans frontières porte plainte contre Facebook

Reporters sans frontières a déposé plainte lundi (22 mars) contre Facebook pour « pratiques commerciales trompeuses ». Ils reprochent à la plateforme en ligne de ne pas respecter ses engagements en matière de lutte contre la désinformation et de modération de la haine en ligne, visant notamment les journalistes.

Subscribe to our newsletters

Subscribe
Contribuer