La Commission de Protection des Données (DPC) d’Irlande a annoncé sa décision finale après une enquête sur Meta Platforms Ireland Limited (MPIL). L’enquête, lancée en avril 2019, s’est conclue par une amende de 91 millions d’euros et une réprimande à l’entreprise.
Contexte de l’enquête
En mars 2019, MPIL a informé la DPC qu’elle avait accidentellement stocké certaines mots de passe d’utilisateurs de réseaux sociaux en « texte clair » dans ses systèmes internes, c’est-à-dire sans protection cryptographique ni chiffrement. Bien que ces mots de passe n’aient pas été mis à disposition de tierces parties, l’incident représentait un risque significatif pour la sécurité des données des utilisateurs.
Infractions détectées
La décision de la DPC enregistre les infractions suivantes du Règlement Général sur la Protection des Données (RGPD) :
- Manquement à l’article 33(1) du RGPD, pour ne pas avoir notifié à la DPC une violation de données personnelles relative au stockage des mots de passe d’utilisateurs en texte clair.
- Manquement à l’article 33(5) du RGPD, pour ne pas avoir documenté les violations de données personnelles liées au stockage des mots de passe d’utilisateurs en texte clair.
- Manquement à l’article 5(1)(f) du RGPD, pour ne pas avoir utilisé des mesures techniques ou organisationnelles appropriées pour garantir la sécurité adéquate des mots de passe des utilisateurs contre le traitement non autorisé.
- Manquement à l’article 32(1) du RGPD, pour ne pas avoir mis en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat au risque, y compris la capacité d’assurer la confidentialité continue des mots de passe des utilisateurs.
Déclarations officielles
Graham Doyle, Commissaire adjoint de la DPC, a commenté : « Il est largement accepté que les mots de passe des utilisateurs ne devraient pas être stockés en texte clair, compte tenu des risques d’abus qui surviennent lorsque des personnes accèdent à de telles données. Il faut tenir compte que les mots de passe en question dans ce cas sont particulièrement sensibles, car ils permettraient l’accès aux comptes de réseaux sociaux des utilisateurs ».
Mesures correctives
La décision contient les mesures correctives suivantes :
- Une réprimande conformément à l’article 58(2)(b) du RGPD.
- Des amendes administratives pour un total de 91 millions d’euros conformément aux articles 58(2)(i) et 83 du RGPD.
Conclusion
Cette affaire souligne l’importance de mettre en œuvre des mesures de sécurité appropriées lors du traitement des données personnelles, surtout lorsqu’il s’agit d’informations sensibles comme les mots de passe des utilisateurs. Elle met également en évidence la nécessité de documenter et notifier correctement les violations de données personnelles aux autorités de protection des données.
La DPC a annoncé qu’elle publiera la décision complète et plus d’informations à ce sujet en temps opportun.
via : Data Protection