Protection des mots de passe : Meta condamné à une amende de 91 millions d'euros

L'entreprise américaine Meta a été condamnée à une amende de 91 millions d'euros par la Data Protection Commission (DPC) pour ne pas avoir suffisamment protégé les mots de passe des utilisateurs, a annoncé vendredi l'organisme irlandais de protection de la vie privée.

L'enquête a été lancée en avril 2019, après que Meta a informé l'autorité irlandaise qu'elle avait stocké par inadvertance certains mots de passe d'utilisateurs de ses réseaux sociaux en "texte clair" - c'est-à-dire sans cryptage - sur ses systèmes internes.

Le règlement général sur la protection des données (RGPD) de l'UE, exige des entreprises qu'elles mettent en œuvre des mesures de sécurité appropriées dans leur traitement des données personnelles.

"Il est communément admis que les mots de passe des utilisateurs ne doivent pas être stockés en clair, compte tenu des risques d'abus liés à l'accès à ces données", déclare Graham Doyle, commissaire adjoint à la DPC irlandaise, dans un communiqué.

"Les mots de passe examinés dans cette affaire sont particulièrement sensibles, car ils permettraient d'accéder aux comptes de réseaux sociaux des utilisateurs", ajoute-t-il.

L'organisme de régulation irlandais a soumis un projet de décision aux autres autorités de contrôle nationales de l'UE en juin 2024, comme l'exigent les règles européennes en matière de protection des données. Aucune objection n'a été soulevée quant au montant de l'amende.

Meta n'en est pas à sa première sanction.

En 2023, l'entreprise américaine a été condamnée à une amende record d'1,2 milliard d'euros par la DPC pour avoir "continué à transférer les données personnelles" d'utilisateurs européens vers les États-Unis après l'annulation d'un accord transatlantique de transfert de données pour des raisons de surveillance.

En 2022, Meta s'est également vu infliger une amende de 265 millions d'euros après que les données de plus de 533 millions d'utilisateurs ont été retrouvées en ligne.