Fuite de données sur Facebook : négligence des utilisateurs ou faute du réseau social ?

La Cnil irlandaise a annoncé mercredi l'ouverture d'une enquête visant Facebook pour le compte de l'UE, après la révélation d'une fuite de données concernant plus de 533 millions d'utilisateurs et remontant à 2019. Facebook risque une amende jusqu'à 4% de son chiffres d'affaires mondial au titre du RGPD.
Sylvain Rolland

6 mn

A cause de l'ampleur de la fuite, Facebook risque gros. Les sanctions pour non respect du RGPD peuvent monter jusqu'à 4% du chiffre d'affaires annuel mondial de l'entreprise, soit une amende qui pourrait se chiffrer à près de 3,5 milliards de dollars.
A cause de l'ampleur de la fuite, Facebook risque gros. Les sanctions pour non respect du RGPD peuvent monter jusqu'à 4% du chiffre d'affaires annuel mondial de l'entreprise, soit une amende qui pourrait se chiffrer à près de 3,5 milliards de dollars. (Crédits : Dado Ruvic)

Nouveau bras de fer en perspective pour Facebook en Europe. La Commission irlandaise pour la protection des données (DPC), l'équivalent de la Cnil française, ouvre une enquête sur l'immense fuite de données concernant plus de 533 millions de comptes, révélée la semaine dernière mais remontant à "avant septembre 2019" d'après Facebook et les experts qui ont eu accès à la fuite. Le régulateur irlandais, le seul habilité à mener l'enquête au nom de l'UE étant donné que Facebook a installé son siège européen en Irlande, veut vérifier si le réseau social américain a respecté ses obligations en matière de protection et de sécurité des données définies par le Règlement européen sur la protection des données (RGPD), en vigueur depuis 2018.

Lire aussi : Facebook : les leçons manquées de Cambridge Analytica

Facebook nie un piratage et plaide la négligence des utilisateurs

La DPC indique avoir échangé avec Facebook sur l'incident et estime qu'il est possible qu'il y ait pu avoir infraction au règlement général sur la protection des données (RGPD) de l'UE, ce que l'enquête devra déterminer. A cause de l'ampleur de la fuite, Facebook risque gros. Les sanctions pour non respect du RGPD peuvent monter jusqu'à 4% du chiffre d'affaires annuel mondial de l'entreprise, soit une amende qui pourrait se chiffrer à près de 3,5 milliards de dollars pour Facebook (86 milliards de dollars de revenus en 2020).

"Nous coopérons complètement avec l'enquête de la DPC", a réagi un porte-parole de Facebook, assurant que les fonctions en cause, permettant de trouver plus facilement les utilisateurs, étaient "fréquentes pour de nombreuses applications" et que le groupe comptait "expliquer les protections mises en place".

Dans le détail, samedi 3 avril, un internaute a mis en vente pour un prix dérisoire, sur un forum régulièrement fréquenté par des cybercriminels dans le dark net (ou Internet non référencé sur les moteurs de recherche), une base de données contenant les informations liées à plus de 533 millions de comptes Facebook. Le numéro de téléphone, l'activité professionnelle et le statut marital étaient notamment disponibles. Ces données sont issues d'une fuite qui remonte, d'après les experts qui ont eu accès au fichier, à 2019.

Immédiatement, Facebook a mis en place une ligne de défense visant à minimiser sa responsabilité. Le réseau social a confirmé la chronologie établie par les experts en indiquant que les données avaient été collectés "avant septembre 2019" et que la fuite "a été résolue". Mais pour Facebook, il ne s'agit pas d'un piratage -ce qui impliquerait d'avoir trouvé une brèche de sécurité dans les infrastructures et serait donc sa responsabilité- mais un simple "scraping", c'est-à-dire la constitution d'une base de données grâce à un logiciel capable de récolter uniquement les informations publiques, c'est-à-dire celles que les membres acceptent de partager à tout le monde sur leur profil.

D'après l'entreprise, il n'y a pas eu piratage mais exploitation frauduleuse d'une fonctionnalité du réseau social, qui permettait, sur l'application mobile, d'importer son carnet d'adresses pour trouver ses connaissances sur Facebook. Il suffisait donc à des "acteurs malveillants" d'importer une très grande quantité de numéros pour voir lesquels correspondaient à un profil Facebook, puis, à partir de là, collecter les informations disponibles publiquement sur ces profils et les regrouper dans une vente de données. Ce qui explique le prix très faible demandé par les hackers, les informations publiques ayant moins de valeur.

Dans son communiqué de presse, Facebook enjoint ainsi ses membres à mieux protéger leurs comptes des "acteurs malveillants", sous-entendant ainsi que la fuite provient davantage d'une négligence des utilisateurs que d'un manquement de Facebook à ses obligations de protection des données personnelles.

Lire aussi : Le « RGPD californien », une loi modèle, exportable au reste des États-Unis

L'option recherche imposée par Facebook sans recueil du consentement ?

Mais ce n'est pas si simple. Publiques ou privées, les données collectés restent des données personnelles et ont été regroupées via une utilisation frauduleuse, à grande échelle, des propres outils du réseau social.

De plus, la notion de données publiques ou privées est plus complexe qu'il n'y paraît. L'une des questions à laquelle devront répondre les enquêteurs de la DPC est la suivante : les utilisateurs avaient-ils le choix ? Facebook affirme dans son communiqué qu'il est possible, aujourd'hui, de désactiver l'option qui permet à ceux qui disposent de votre numéro de téléphone de vous trouver sur le réseau social. Mais en 2019, ce n'était pas le cas d'après le site américain TechCrunch. Dans un article publié en mars 2019, le site spécialisé dans la tech dénonçait le paramétrage par défaut de cette option et l'impossibilité pour les utilisateurs de la désactiver complètement. A peine était-il possible de la limiter aux "amis d'amis" ou aux "amis seulement". Or, si les utilisateurs n'avaient pas d'autre choix que d'accepter cette option, est-ce vraiment de la négligence de leur part si des cybercriminels ont détourné cette fonctionnalité pour collecter des données personnelles ?

La DPC devra également déterminer si Facebook a respecté ou non ses obligations liées au RGPD. Et notamment celle d'avertir le régulateur et les victimes en cas de fuite de données. Car le RGPD oblige le responsable de traitement des données personnelles, à avertir les autorités de contrôle compétence de l'existence d'une fuite de données dans les 72 heures après sa découverte par l'entreprise. Mais Facebook ne l'a pas fait dans ce cas, et a même indiqué cette semaine au journal Le Monde qu'il ne comptait pas prévenir les utilisateurs concernés par la fuite, au motif qu'il ne s'agirait pas d'un piratage mais de l'exploitation de données publiques. Reste donc à savoir si cette raison sera suffisante pour la DPC.

Lire aussi : Facebook soupçonné de "racisme systémique" à l'embauche

Les leçons manquées de Cambridge Analytica

Ce n'est pas la première fois que des données de millions d'utilisateurs du premier réseau social, qui compte aujourd'hui près de 2,8 milliards d'utilisateurs mensuels, se trouvent mises en ligne.

Révélé en 2018, le scandale Cambridge Analytica, un cabinet britannique ayant détourné les données personnelles de dizaines de millions d'utilisateurs de Facebook à des fins de propagande politique, avait durablement terni la réputation du réseau social sur la questions de la confidentialité des données. La même année, Facebook avait été victime d'un piratage massif concernant plus de 50 millions de comptes.

Mais loin d'agir comme un électrochoc, l'affaire Cambridge Analytica n'a pas engrangé de changements de pratiques notables pour Facebook, dont le modèle économique repose sur l'exploitation des données personnelles de ses membres à des fins publicitaires. Depuis, de nombreux autres scandales ont surgi, révélant des pratiques jusqu'alors enfouies, comme le fait que Facebook utilise des applications tierces pour collecter des données parfois très sensibles (jusqu'au cycle menstruel des femmes ou le rythme cardiaque de certaines applis de running) afin d'affiner son ciblage publicitaire.

Lire aussi : WhatsApp veut partager plus de données avec Facebook... et c'est son concurrent Signal qui en profite

Sylvain Rolland

6 mn

Sujets les + lus

|

Sujets les + commentés

Commentaires 7
à écrit le 15/04/2021 à 16:21
Signaler
On ne parle que d’amende mais qu’en est-il pour les utilisateurs envahis maintenant d’invitations tendancieuses et autres impacts avec nos données perso !?

le 16/04/2021 à 1:20
Signaler
Ce qui est important ce n'est pas le bétail mais la gestion du bétail. Comme le disait les guignols, L'information c'est vous qui la vivez, c'est nous qui en vivons ... Il s'agit d'établir les grands équilibres qui font vivre les élites ou nom...

à écrit le 15/04/2021 à 13:56
Signaler
Désabonnez vous de Face de Bouc. Je l'ai fait depuis plus de 2 ans, et...rien! Les réseaux dits "sociaux" sont des "couillonades" (Eh oui, j'aime bien le mot que je trouve représentatif des nouveautés du Monde connecté).

le 25/04/2021 à 17:51
Signaler
Et les contacts ? C'est super difficile de dire adieu à Facebook si mes amis le sont encore ?

à écrit le 15/04/2021 à 13:43
Signaler
J'aimerais bien savoir le pourcentage de gens qui cliquent au plus rapide avec toutes ces pages nous demandant toutes ces autorisations avant de pouvoir enfin aller où l'on veut. Et comment leur en vouloir ? Donc ni la faute aux uns ni aux autres seu...

le 15/04/2021 à 18:04
Signaler
Réponse sans fondement. Croyez-vous que l'État ne fait rien pour vous protéger contre cet abus de harcèlement publicitaire. Le CNIL a déposé des conditions drastiques pour empêcher la domination abusive des publicitaires, avec, à la clé, des sanction...

le 16/04/2021 à 9:34
Signaler
@ multipseudos: "Réponse sans fondement." C'est gentil de prévenir, c'est honnête au moins, mais je sais pas trop à quoi ça te sert. "Réponse sans fondement" signalée donc. ET si je peux pas et-c... je sais c'est vendredi.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.