Une organisation de défense du respect de la vie privée poursuit Meta et le régulateur irlandais des données

Digital Rights Ireland intente une action en Justice contre Meta et le régulateur irlandais de la confidentialité. Selon l’organisation, ces derniers n’en ont pas fait assez, après qu’en 2021, les données de centaines de millions d’utilisateurs de Facebook aient été divulguées.

L’affaire porte sur les données de 530 millions d’utilisateurs de Facebook, dont quelque 110 millions de citoyens de l’UE parmi lesquels trois millions de Belges. Ces données furent collectées illégalement durant l’été de 2018, avant de se retrouver sur internet. Il ne s’agissait certes pas d’un piratage chez Facebook, mais il n’empêche que l’entreprise s’était montrée négligente et s’est vu infliger pour cette raison récemment encore une amende de 265 millions d’euros par le Data Protection Commissioner (DPC) irlandais.

Mais cela ne suffit pas, selon Digital Rights Ireland, qui va en appel du jugement du DPC, selon lequel la divulgation des données en question n’était ‘pas une fuite au sens de la définition de l’article 4(12)’ du GDPR. Le régulateur estimait que les principes de la loi avaient certes été violés, mais qu’il ne s’agissait pas à proprement parler d’une fuite de données.

Indépendamment de l’amende, cela a eu aussi des effets sur la façon dont Facebook devait réagir, tout spécialement à propos des informations à fournir aux victimes: ‘Facebook a laissé la porte ouverte, mais la décision du DPC signifie que l’entreprise n’est pas jugée responsable du vol des données qui en est résulté. Vis-à-vis des victimes, le DPC nia qu’il y ait eu une fuite, ce qui signifie qu’elles ne devaient pas en être informées’, déclare le Dr. TJ McIntire, président de Digital Rights Ireland.

L’affaire semble porter sur un détail, mais Digital Rights Ireland estime que les millions d’Européens, dont les données ont été collectées via Facebook, n’ont pas été traités correctement sur le plan juridique en raison du jugement relativement clément du DPC irlandais.

Abus ou piètre concept?

L’énorme vol de données est une affaire qui traîne depuis des années déjà et qui concerne aussi des Belges. Facebook était en effet au courant du problème bien avant que les données ne soient collectées, mais n’a rien fait.

La fuite, qui a eu lieu au printemps de 2021, incluait des données probablement collectées en août 2018. Il s’agissait d’informations en partie publiques, mais aussi de données qu’on ne peut en théorie voir que si on est ami de quelqu’un sur Facebook. Mais l’étanchéité n’est ici pas toujours au rendez-vous.

C’est ainsi que le hacker éthique belge Inti De Ceukelaire a découvert en 2017 déjà qu’il était possible de découvrir énormément de numéros de téléphone via Facebook, après que la plate-forme révèle à quel profil un numéro appartient. De Ceukelaire le signala à Facebook, mais celle-ci lui répondit que cette option n’était pas vraiment un problème de sécurité et ne serait par conséquent pas corrigé.

Un an plus tard, les données furent collectées par des hackers, après quoi Facebook déclara ne savoir que depuis 2019 que l’extraction automatique d’informations (‘scraping’) était possible et ce, alors qu’elle avait été mise au courant en 2017 déjà, sans qu’elle juge bon de prendre des mesures.

Facebook n’a jamais confirmé cette négligence. Suite à la fuite de 2021, Data News lui demanda des explications sur la manière dont cela s’était passé, mais en vain. L’entreprise envoya à l’époque par inadvertance un mail interne, dans lequel on pouvait lire que le vol de données en question serait considéré comme un problème sectoriel, le tout nappé d’une sauce PR en vue d’échapper à toute responsabilité.

Le fait qu’un procès soit à présent intenté, parce que l’incident n’a pas été classé comme une fuite de données, est donc dû en partie à la difficulté de définir cette dernière. D’un point de vue purement théorique, personne ne s’est certes introduit dans le réseau de Facebook pour y dérober des données. Mais dans la pratique, il était bien question d’informations qui, en théorie, ne pouvaient être visionnées par n’importe qui. Il en résulte que Facebook a effectivement laissé pas mal de portes dérobées ouvertes et a ignoré les avertissements en la matière, ce qui a provoqué la fuite des données de contact d’un demi-milliard de personnes.