La Commission irlandaise de protection des données inflige une amende de 91 millions d’euros à Meta Ireland

Senegal bernadette.
La Commission irlandaise de protection des données inflige une amende de 91 millions d’euros à Meta Ireland
La Commission irlandaise de protection des données inflige une amende de 91 millions d’euros à Meta Ireland

La Commission de protection des données (DPC) a annoncé aujourd’hui sa décision finale à la suite d’une enquête sur Meta Platforms Ireland Limited (MPIL). Cette enquête a été lancée en avril 2019, après que MPIL a notifié à la DPC qu’elle avait stocké par inadvertance certains mots de passe d’utilisateurs de réseaux sociaux en « texte clair » sur ses systèmes internes (c’est-à-dire sans protection cryptographique ni cryptage).

La DPC a soumis un projet de décision aux autres autorités de contrôle concernées dans l’ensemble de l’UE/EEE en juin 2024, comme l’exige l’article 60 du RGPD. Aucune objection au projet de décision n’a été soulevée par les autres autorités.

La décision, prise par les commissaires à la protection des données, le Dr Des Hogan et Dale Sunderland, et notifiée à MPIL hier 26 septembre, comprend un blâme et une amende de 91 millions d’euros.

La décision de la DPC enregistre les constats suivants de violation du RGPD :

  • Article 33, paragraphe 1 du RGPD, car MPIL n’a pas informé la DPC d’une violation de données personnelles concernant le stockage des mots de passe des utilisateurs en texte clair ;
  • Article 33, paragraphe 5 du RGPD, car MPIL n’a pas documenté les violations de données personnelles concernant le stockage des mots de passe des utilisateurs en texte clair ;
  • Article 5, paragraphe 1, point f) du RGPD, car MPIL n’a pas utilisé de mesures techniques ou organisationnelles appropriées pour garantir une sécurité appropriée des mots de passe des utilisateurs contre un traitement non autorisé ; et
  • Article 32, paragraphe 1, du RGPD, car MPIL n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris la capacité d’assurer la confidentialité continue des mots de passe des utilisateurs.

Le sous-commissaire de la DPC, Graham Doyle, a commenté : «Il est largement admis que les mots de passe des utilisateurs ne doivent pas être stockés en clair, compte tenu des risques d’abus liés à l’accès de personnes à ces données. Il faut garder à l’esprit que les mots de passe concernés dans ce cas sont particulièrement sensibles, car ils permettraient d’accéder aux comptes de réseaux sociaux des utilisateurs.

Le DPC publiera la décision complète et d’autres informations connexes en temps utile.

Arrière-plan

En mars 2019, MPIL a informé la DPC qu’elle avait stocké par inadvertance certains mots de passe d’utilisateurs de réseaux sociaux en « texte clair » sur ses systèmes internes (c’est-à-dire sans protection cryptographique ni cryptage). MPIL a également publié des informations concernant cet incident en mars 2019.[1]. Ces mots de passe n’ont pas été mis à la disposition de parties externes.

La portée de l’enquête, qui a débuté en avril 2019, a évalué la conformité de MPIL avec le Règlement Général sur la Protection des Données (RGPD), et en particulier, si MPIL a mis en œuvre des mesures pour assurer un niveau de sécurité approprié aux risques associés au traitement des mots de passe, et si MPIL a respecté ses obligations de documenter et d’informer la DPC des violations de données personnelles.

Cette Décision de la DPC concerne les principes d’intégrité et de confidentialité du RGPD. Le RGPD exige que les responsables du traitement mettent en œuvre des mesures de sécurité appropriées lors du traitement des données personnelles, en tenant compte de facteurs tels que les risques pour les utilisateurs du service et la nature du traitement des données. Afin de maintenir la sécurité, les responsables du traitement des données doivent évaluer les risques inhérents au traitement et mettre en œuvre des mesures pour atténuer ces risques. Cette décision souligne la nécessité de prendre de telles mesures lors du stockage des mots de passe des utilisateurs.

Le RGPD exige également que les responsables du traitement des données documentent correctement les violations de données personnelles et qu’ils informent les autorités de protection des données des violations qui se produisent. Une violation de données personnelles peut, si elle n’est pas traitée de manière appropriée et opportune, entraîner des dommages tels qu’une perte de contrôle sur les données personnelles. Par conséquent, lorsqu’un responsable du traitement se rend compte qu’une violation de données à caractère personnel a eu lieu, il doit en informer l’autorité de contrôle sans retard injustifié, de la manière prescrite par l’article 33 du RGPD.

La décision contient les pouvoirs correctifs suivants :

  1. Un blâme conformément à l’article 58, paragraphe 2, point b) du RGPD ; et
  2. Amendes administratives d’un montant total de 91 millions d’euros en vertu des articles 58, paragraphe 2, point i), et 83 du RGPD.

L’article 60 du RGPD régit la procédure de coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées.

[1]Disponible sur https://about.fb.com/news/2019/03/keeping-passwords-secure/

 
For Latest Updates Follow us on Google News
 

PREV Beyrouth secouée par des frappes aériennes, un responsable israélien affirme avoir ciblé le chef du Hezbollah
NEXT Les scores des stars du BVB

Related posts

programme, chaîne de télévision, où et comment regarder l’ATP de Pékin

Du jamais vu, Cristiano Ronaldo s’engage sur son dernier défi

Des organisations pro-palestiniennes prévoient de célébrer l’attaque du Hamas en Espagne

Steam lance 4 nouveaux jeux gratuits auxquels vous pouvez prétendre pour le coup d’envoi d’octobre