La multinationale de Mark Zuckerberg pourrait risquer une amende de plusieurs milliards de dollars, si la Cnil irlandaise détermine que Facebook a enfreint le RGPD. Mais l'histoire a montré que pour l'instant, très peu de sanctions ont été émises depuis l'entrée en application du RGPD en mai 2018.

Facebook fait l’objet d’une enquête lancée par l’équivalent de la Cnil en Irlande, comme l’a confirmé le gendarme de la vie privée lui-même, dans un communiqué sur son site officiel datant du 15 avril 2021.

La DPC (ou Data Protection Commission), est le seul organe européen qui puisse demander des comptes à Facebook au regard du RGPD, car le siège de la multinationale se trouve à Dublin.

« En prenant en compte les informations que Facebook Irlande nous a données, la DPC considère qu’une, ou plusieurs règles du RGPD et du Data Protection Act de 2018 ont pu être et/ou sont encore enfreintes, dans la manière dont Facebook a manié des données personnelles », peut-on lire.

Selon le Règlement général sur la protection des données, entré en application en mai 2018, en cas de « violation de données à caractère personnel », l’entreprise ou la personne responsable du traitement de ces données doit notifier l’existence de cette fuite à « l’autorité de contrôle compétent », au maximum dans les 72 heures à la suite de la constatation de la violation (sous peine de devoir s’expliquer du retard).

Or dans le cas qui nous occupe, Facebook n’a jamais prévenu ni la DPC, ni aucun autre organe. Interrogée par le Monde, la firme américaine a même assuré qu’elle ne comptait pas avertir les millions d’internautes dont le numéro de téléphone a fuité, car ces données ne proviendraient pas, selon eux, d’un piratage (mais d’un « scraping », une aspiration de données publiques) et auraient été des «  informations publiques ».

À Reuters, un porte-parole de Facebook a ensuite ajouté que l’entreprise n’était pas entièrement certaine d’avoir « toute la visibilité sur quels utilisateurs devraient être avertis ». Il a également souligné qu’entrait en jeu le fait que les internautes concernés n’aient pas la possibilité de réparer ce problème, et qu’il serait donc potentiellement inutile de les prévenir dans ce cas.

Le logo de Facebook, un peu coupé, pour faire une Une un peu plus stylée.

Que risque Facebook ?

S’il est établi que Facebook a enfreint les règles européennes, le réseau social risquerait une amende qui pourrait atteindre jusqu’à 4 % de son chiffre d’affaires mondial (qui s’élevait à 86 milliards de dollars dans le monde en 2020), selon Business Insider. « Avec le RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial », confirme le site de la Cnil.

Cela correspondrait potentiellement à une amende de 3,44 milliards de dollars (2,9 milliards d’euros).

La DPC, que la Cnil française a annoncé épauler dans ses démarches autant qu’elle le peut, doit désormais déterminer si Facebook :

  • A bien respecté ses obligations en tant que responsable du traitement des données personnelles de citoyens européen, «  en rapport avec Facebook Search, l’importateur de contacts de Facebook Messenger et l’importateur de contacts d’Instagram » ;
  • Aurait dû avertir les autorités européennes de contrôle compétentes ;
  • Aurait dû avertir les victimes ;
  • Aurait enfreint d’autres règles du RGPD.

L’une des défenses affichées de Facebook repose sur le fait que les données aspirées dateraient d’avant 2018, et donc que le RGPD ne s’appliquait pas encore en Europe à ce moment-là. La DPC soulignait pourtant déjà le 6 avril qu’elle allait enquêter sur ce point, considérant que la base de données de 500 millions d’entrées était visiblement constituée de « données originales de 2018 (pré-RGPD) et d’autres fichiers additionnels, qui peuvent provenir d’une période plus proche dans le temps. »

Va-t-il vraiment se passer quelque chose ? Les eurodéputés doutent

Évidemment, ce type d’enquêtes est très long à mener, et il est encore rare que les travaux de la DPC aient mené à des sanctions. En mars 2021, les députés européens ont même adopté en grande majorité une résolution, s’inquiétant «  particulièrement du fait que l’autorité irlandaise de protection des données clôture généralement la plupart des affaires par un règlement plutôt que par une sanction et que les affaires soumises à l’Irlande en 2018 n’ont même pas atteint le stade de projet de décision conformément à l’article 60, paragraphe 3, du RGPD ».

Selon le site Euractiv, sur 4 660 plaintes reçues en 2020 au titre du RGPD, il n’y a eu que 83 enquêtes réglementaires (dont 27 transfrontalières).

Que s’est-il passé avec ces 500 millions de numéros de téléphone dans Facebook ?

Pour tout comprendre à ce qu’il s’est passé, nous avons dédié un article complet à cette fuite de 2019 qui peut encore avoir des conséquences graves aujourd’hui. Si votre numéro se trouve dans la fuite (vous pouvez désormais le vérifier ici), voici ce que vous pouvez faire.

La majorité des médias (dont Numerama, au départ) ont parlé d’une base de données censée contenir 533 millions de numéros : dans les faits, comme nous l’a confirmé une source, il y en aurait plutôt approximativement 500 millions.

Partager sur les réseaux sociaux

La suite en vidéo