Meta (enfin) sanctionnée par l’autorité de protection des données irlandaise

En avril 2021, la presse généraliste fait état d’une fuite de données de millions d’utilisateurs du réseau social Facebook, y incluant notamment numéro de téléphone, identifiant Facebook, nom, adresse, courriel, ou informations de localisation (v. not. A. Holmes, 533 million Facebook users’ phone numbers and personal data have been leaked online, Business Insider, 3 avr. 2021). Cette révélation mène à l’autosaisine de l’autorité nationale de protection des données irlandaise, la Data Protection Commission (DPC), considérée comme autorité de contrôle chef de file. En effet et conformément à l’article 56, § 1, du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD), la DPC est compétente pour les traitements transfrontaliers effectués par la société Meta, dans la mesure où son établissement principal est situé en Irlande.

Il ressort de l’enquête de la DPC que l’extraction massive de données personnelles en cause provenait de l’utilisation de la fonction de recherche de contacts (Facebook Search). Cette fonction offrait aux utilisateurs la possibilité de retrouver le profil de leurs proches en saisissant leur numéro de téléphone ou leur adresse courriel, étant précisé que tous les profils autorisaient par défaut la possibilité de les retrouver grâce à cette fonction. À l’aide de faux comptes et de bots utilisant une liste de numéros de téléphone, il était ainsi possible d’extraire automatiquement de nombreux profils pour y associer informations du profil et coordonnées téléphoniques. Afin de minimiser ce risque, Meta limitait déjà l’utilisation de son service à un débit maximal. Au cours d’une évaluation sur l’intégrité de la fonction Facebook Search, Meta a observé une utilisation anormalement élevée de son service. Il s’est avéré que pour contourner les programmes de détection des fraudes, les bots malveillants limitaient volontairement le siphonnage de données (web scraping) sous le seuil du débit maximal autorisé. En réaction, Meta a supprimé la fonctionnalité.

Il est apparu que la désactivation de ce service a entraîné une augmentation anormale de l’utilisation d’une autre fonction : celle de récupération de compte (Contact Importer), qui permettait de récupérer un compte à l’aide du numéro de téléphone ou de l’adresse courriel, et qui faisait également l’objet d’une mesure de limitation de débit. Cette fonction a alors été limitée par Meta aux cas où l’utilisateur ne disposait pas d’un appareil associé au compte. Une équipe consacrée à la détection du web scraping a ensuite été constituée. Finalement, Meta avait également décidé de supprimer la fonction Contact Importer entre août et septembre 2019, restreignant le champ temporel de l’enquête de la DPC entre le 25 mai 2018 – date de l’entrée en vigueur du RGPD – et septembre 2019.

Au...