Nouveau bras de fer en perspective pour Facebook en Europe. La Commission irlandaise pour la protection des données (DPC), l'équivalent de la Cnil française, ouvre une enquête sur l'immense fuite de données concernant plus de 533 millions de comptes, révélée la semaine dernière mais remontant à "avant septembre 2019" d'après Facebook et les experts qui ont eu accès à la fuite. Le régulateur irlandais, le seul habilité à mener l'enquête au nom de l'UE étant donné que Facebook a installé son siège européen en Irlande, veut vérifier si le réseau social américain a respecté ses obligations en matière de protection et de sécurité des données définies par le Règlement européen sur la protection des données (RGPD), en vigueur depuis 2018.
Facebook nie un piratage et plaide la négligence des utilisateurs
La DPC indique avoir échangé avec Facebook sur l'incident et estime qu'il est possible qu'il y ait pu avoir infraction au règlement général sur la protection des données (RGPD) de l'UE, ce que l'enquête devra déterminer. A cause de l'ampleur de la fuite, Facebook risque gros. Les sanctions pour non respect du RGPD peuvent monter jusqu'à 4% du chiffre d'affaires annuel mondial de l'entreprise, soit une amende qui pourrait se chiffrer à près de 3,5 milliards de dollars pour Facebook (86 milliards de dollars de revenus en 2020).
"Nous coopérons complètement avec l'enquête de la DPC", a réagi un porte-parole de Facebook, assurant que les fonctions en cause, permettant de trouver plus facilement les utilisateurs, étaient "fréquentes pour de nombreuses applications" et que le groupe comptait "expliquer les protections mises en place".
Dans le détail, samedi 3 avril, un internaute a mis en vente pour un prix dérisoire, sur un forum régulièrement fréquenté par des cybercriminels dans le dark net (ou Internet non référencé sur les moteurs de recherche), une base de données contenant les informations liées à plus de 533 millions de comptes Facebook. Le numéro de téléphone, l'activité professionnelle et le statut marital étaient notamment disponibles. Ces données sont issues d'une fuite qui remonte, d'après les experts qui ont eu accès au fichier, à 2019.
Immédiatement, Facebook a mis en place une ligne de défense visant à minimiser sa responsabilité. Le réseau social a confirmé la chronologie établie par les experts en indiquant que les données avaient été collectés "avant septembre 2019" et que la fuite "a été résolue". Mais pour Facebook, il ne s'agit pas d'un piratage -ce qui impliquerait d'avoir trouvé une brèche de sécurité dans les infrastructures et serait donc sa responsabilité- mais un simple "scraping", c'est-à-dire la constitution d'une base de données grâce à un logiciel capable de récolter uniquement les informations publiques, c'est-à-dire celles que les membres acceptent de partager à tout le monde sur leur profil.
D'après l'entreprise, il n'y a pas eu piratage mais exploitation frauduleuse d'une fonctionnalité du réseau social, qui permettait, sur l'application mobile, d'importer son carnet d'adresses pour trouver ses connaissances sur Facebook. Il suffisait donc à des "acteurs malveillants" d'importer une très grande quantité de numéros pour voir lesquels correspondaient à un profil Facebook, puis, à partir de là, collecter les informations disponibles publiquement sur ces profils et les regrouper dans une vente de données. Ce qui explique le prix très faible demandé par les hackers, les informations publiques ayant moins de valeur.
Dans son communiqué de presse, Facebook enjoint ainsi ses membres à mieux protéger leurs comptes des "acteurs malveillants", sous-entendant ainsi que la fuite provient davantage d'une négligence des utilisateurs que d'un manquement de Facebook à ses obligations de protection des données personnelles.
L'option recherche imposée par Facebook sans recueil du consentement ?
Mais ce n'est pas si simple. Publiques ou privées, les données collectés restent des données personnelles et ont été regroupées via une utilisation frauduleuse, à grande échelle, des propres outils du réseau social.
De plus, la notion de données publiques ou privées est plus complexe qu'il n'y paraît. L'une des questions à laquelle devront répondre les enquêteurs de la DPC est la suivante : les utilisateurs avaient-ils le choix ? Facebook affirme dans son communiqué qu'il est possible, aujourd'hui, de désactiver l'option qui permet à ceux qui disposent de votre numéro de téléphone de vous trouver sur le réseau social. Mais en 2019, ce n'était pas le cas d'après le site américain TechCrunch. Dans un article publié en mars 2019, le site spécialisé dans la tech dénonçait le paramétrage par défaut de cette option et l'impossibilité pour les utilisateurs de la désactiver complètement. A peine était-il possible de la limiter aux "amis d'amis" ou aux "amis seulement". Or, si les utilisateurs n'avaient pas d'autre choix que d'accepter cette option, est-ce vraiment de la négligence de leur part si des cybercriminels ont détourné cette fonctionnalité pour collecter des données personnelles ?
La DPC devra également déterminer si Facebook a respecté ou non ses obligations liées au RGPD. Et notamment celle d'avertir le régulateur et les victimes en cas de fuite de données. Car le RGPD oblige le responsable de traitement des données personnelles, à avertir les autorités de contrôle compétence de l'existence d'une fuite de données dans les 72 heures après sa découverte par l'entreprise. Mais Facebook ne l'a pas fait dans ce cas, et a même indiqué cette semaine au journal Le Monde qu'il ne comptait pas prévenir les utilisateurs concernés par la fuite, au motif qu'il ne s'agirait pas d'un piratage mais de l'exploitation de données publiques. Reste donc à savoir si cette raison sera suffisante pour la DPC.
Les leçons manquées de Cambridge Analytica
Ce n'est pas la première fois que des données de millions d'utilisateurs du premier réseau social, qui compte aujourd'hui près de 2,8 milliards d'utilisateurs mensuels, se trouvent mises en ligne.
Révélé en 2018, le scandale Cambridge Analytica, un cabinet britannique ayant détourné les données personnelles de dizaines de millions d'utilisateurs de Facebook à des fins de propagande politique, avait durablement terni la réputation du réseau social sur la questions de la confidentialité des données. La même année, Facebook avait été victime d'un piratage massif concernant plus de 50 millions de comptes.
Mais loin d'agir comme un électrochoc, l'affaire Cambridge Analytica n'a pas engrangé de changements de pratiques notables pour Facebook, dont le modèle économique repose sur l'exploitation des données personnelles de ses membres à des fins publicitaires. Depuis, de nombreux autres scandales ont surgi, révélant des pratiques jusqu'alors enfouies, comme le fait que Facebook utilise des applications tierces pour collecter des données parfois très sensibles (jusqu'au cycle menstruel des femmes ou le rythme cardiaque de certaines applis de running) afin d'affiner son ciblage publicitaire.
Sujets les + commentés