- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Société et association
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Toute la matière
- > Bien - Propriété
- > Citoyenneté - Nationalité - Étranger
- > Contrat et obligations - Responsabilité
- > Convention - Traité - Acte
- > Droit économique
- > Droit public
- > Environnement - Agriculture
- > Famille - Personne
- > Pénal
- > Principes - Généralités
- > Procédure
- > Propriété intellectuelle
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Propriété intellectuelle
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Droit international et communautaire
- > Etrangers
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- Avocat
Article
Meta (enfin) sanctionnée par l’autorité de protection des données irlandaise
Meta (enfin) sanctionnée par l’autorité de protection des données irlandaise
La Data Protection Commission a infligé à Meta une amende de 265 millions d’euros sur le fondement de l’article 25 du RGPD, en raison de la possibilité de recourir à des techniques de web scraping via les fonctions de recherche et d’importation de contacts.
par Cécile Crichtonle 12 janvier 2023
En avril 2021, la presse généraliste fait état d’une fuite de données de millions d’utilisateurs du réseau social Facebook, y incluant notamment numéro de téléphone, identifiant Facebook, nom, adresse, courriel, ou informations de localisation (v. not. A. Holmes, 533 million Facebook users’ phone numbers and personal data have been leaked online, Business Insider, 3 avr. 2021). Cette révélation mène à l’autosaisine de l’autorité nationale de protection des données irlandaise, la Data Protection Commission (DPC), considérée comme autorité de contrôle chef de file. En effet et conformément à l’article 56, § 1, du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD), la DPC est compétente pour les traitements transfrontaliers effectués par la société Meta, dans la mesure où son établissement principal est situé en Irlande.
Il ressort de l’enquête de la DPC que l’extraction massive de données personnelles en cause provenait de l’utilisation de la fonction de recherche de contacts (Facebook Search). Cette fonction offrait aux utilisateurs la possibilité de retrouver le profil de leurs proches en saisissant leur numéro de téléphone ou leur adresse courriel, étant précisé que tous les profils autorisaient par défaut la possibilité de les retrouver grâce à cette fonction. À l’aide de faux comptes et de bots utilisant une liste de numéros de téléphone, il était ainsi possible d’extraire automatiquement de nombreux profils pour y associer informations du profil et coordonnées téléphoniques. Afin de minimiser ce risque, Meta limitait déjà l’utilisation de son service à un débit maximal. Au cours d’une évaluation sur l’intégrité de la fonction Facebook Search, Meta a observé une utilisation anormalement élevée de son service. Il s’est avéré que pour contourner les programmes de détection des fraudes, les bots malveillants limitaient volontairement le siphonnage de données (web scraping) sous le seuil du débit maximal autorisé. En réaction, Meta a supprimé la fonctionnalité.
Il est apparu que la désactivation de ce service a entraîné une augmentation anormale de l’utilisation d’une autre fonction : celle de récupération de compte (Contact Importer), qui permettait de récupérer un compte à l’aide du numéro de téléphone ou de l’adresse courriel, et qui faisait également l’objet d’une mesure de limitation de débit. Cette fonction a alors été limitée par Meta aux cas où l’utilisateur ne disposait pas d’un appareil associé au compte. Une équipe consacrée à la détection du web scraping a ensuite été constituée. Finalement, Meta avait également décidé de supprimer la fonction Contact Importer entre août et septembre 2019, restreignant le champ temporel de l’enquête de la DPC entre le 25 mai 2018 – date de l’entrée en vigueur du RGPD – et septembre 2019.
Au...
Sur le même thème
-
Réguler l’IA et protéger les créateurs : point de vue après la conférence de Namur des 8 et 9 avril 2024
-
Panorama rapide de l’actualité « Technologies de l’information » des semaines des 1er au 8 avril 2024
-
Panorama rapide de l’actualité « Propriété intellectuelle » des semaines du 25 mars au 15 avril 2024
-
Droit voisin des éditeurs de presse : Google de nouveau sanctionné par l’Autorité de la concurrence
-
Possibilité d’obtenir en référé la constatation de la résiliation de plein droit d’un contrat d’édition, faute d’exploitation permanente et suivie de l’ouvrage
-
Petite pause printanière
-
Panorama rapide de l’actualité « Propriété intellectuelle » des semaines du 18 au 25 mars 2024
-
Panorama rapide d’actualité « Technologies de l’information » de la semaine du 25 mars 2024
-
Statut d’artiste européen : la Commission se positionne enfin sur la résolution du Parlement européen
-
Loi sur les ingérences : l’Assemblée mise sur la surveillance et la transparence
Sur la boutique Dalloz
Code de la protection des données personnelles 2024, annoté et commenté
11/2023 -
6e édition
Auteur(s) : Collectif