Facebook va-t-il être le premier cas d'école du RGPD ? Le plus grand réseau social au monde, utilisé par 2,2 milliards d'utilisateurs, a divulgué vendredi dernier une cyberattaque de grande envergure. Les cybercriminels auraient pris le contrôle et accédé aux données personnelles d'environ 50 millions de comptes. Le piratage n'a toujours pas été attribué à une entité. Pour le moment, Facebook n'a toujours pas indiqué les pays touchés par le piratage. Le réseau social a tout de même réalisé un signalement auprès des autorités compétentes. Étant donné que son siège européen se trouve à Dublin, le réseau social s'est tourné dès jeudi soir vers la Cnil irlandaise, la Data Protection Commission.
Cette notification a été rendue obligatoire par l'article 33 du Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai dernier. En cas de violation du règlement, qui oblige les entreprises à protéger les données de ses utilisateurs, une notification doit être réalisée "dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance". A priori, le fleuron de la Silicon Valley aurait donc respecté le délai imposé par le RGPD.
Une amende potentielle de 1,63 milliard de dollars
Selon la DPC, la notification reçue "manque de détails". Dans un communiqué de presse, relayé sur Twitter, la Cnil irlandaise se dit "inquiète" que "Facebook (ne soit) pas capable de clarifier la nature de la faille et le risque pour les utilisateurs", alors qu'elle a été découverte mardi soir, et touche plusieurs millions de comptes. La DPC "presse" Facebook à fournir davantage d'informations. Elle cherche notamment à savoir si des citoyens européens sont concernés.
En cas de violation des droits sur les données de personnes physiques, le RGPD prévoit une amende jusqu'à 4% du chiffre d'affaires mondial réalisé l'année précédente. Facebook ayant réalisé un chiffre d'affaires de 40,7 milliards de dollars l'année dernière, l'amende potentielle pourrait atteindre 1,63 milliard de dollars. Depuis l'entrée en vigueur du RGPD, des failles de sécurité ont déjà été dévoilées - mais aucune n'atteint l'ampleur de celle dont Facebook a été la victime. Par exemple, la British Airways a annoncé début septembre avoir été la cible d'un piratage, pouvant affecter les données de 380.000 cartes de paiement.
Nouveau coup dur pour Facebook
Mark Zuckerberg, Pdg et co-fondateur, a déclaré vendredi dernier prendre cette faille "très au sérieux". Repérée mardi soir, elle aurait été réparée dès jeudi soir. La brèche est attribuée à la fonction "Voir en tant que", qui permet à un utilisateur de visualiser son compte comme peuvent le voir ses "amis". "À titre de précaution", la fonction est fermée jusqu'à la fin de l'enquête, a précisé Mark Zuckerberg. Les 50 millions de comptes affectés ont été déconnectés de force. Lors de la première reconnexion, les utilisateurs concernés recevront une notification d'information. En parallèle, 40 millions de comptes ont également été déconnectés "par précaution", souligne Mark Zuckerberg. Il s'agit des comptes ayant eu recours à la fonction au cours de l'année écoulée - la faille datant d'une mise à jour effectuée en juillet 2017.
L'année 2018 est décidément une année noire pour Facebook. L'entreprise de Mark Zuckerberg traverse la plus grande crise de son histoire depuis mars dernier, et l'explosion du scandale Cambridge Analytica. Le réseau social est accusé de laxisme pour avoir permis à Cambridge Analytica, cabinet d'analyse au service de Donald Trump pendant la campagne présidentielle américaine en 2016, de mettre la main sur les données personnelles de 87 millions d'utilisateurs. Depuis, le réseau social est en opération séduction pour reconquérir la confiance des utilisateurs.
Retraités : la volte-face des favorisés d'Emmanuel Macron (45)
Sujets les + commentés