- Administratif
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Statuts particuliers
- > Temps de travail
- > Travailleurs handicapés
- Avocat
Article

Meta (enfin) sanctionnée par l’autorité de protection des données irlandaise
Meta (enfin) sanctionnée par l’autorité de protection des données irlandaise
La Data Protection Commission a infligé à Meta une amende de 265 millions d’euros sur le fondement de l’article 25 du RGPD, en raison de la possibilité de recourir à des techniques de web scraping via les fonctions de recherche et d’importation de contacts.
par Cécile Crichtonle 12 janvier 2023
En avril 2021, la presse généraliste fait état d’une fuite de données de millions d’utilisateurs du réseau social Facebook, y incluant notamment numéro de téléphone, identifiant Facebook, nom, adresse, courriel, ou informations de localisation (v. not. A. Holmes, 533 million Facebook users’ phone numbers and personal data have been leaked online, Business Insider, 3 avr. 2021). Cette révélation mène à l’autosaisine de l’autorité nationale de protection des données irlandaise, la Data Protection Commission (DPC), considérée comme autorité de contrôle chef de file. En effet et conformément à l’article 56, § 1, du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD), la DPC est compétente pour les traitements transfrontaliers effectués par la société Meta, dans la mesure où son établissement principal est situé en Irlande.
Il ressort de l’enquête de la DPC que l’extraction massive de données personnelles en cause provenait de l’utilisation de la fonction de recherche de contacts (Facebook Search). Cette fonction offrait aux utilisateurs la possibilité de retrouver le profil de leurs proches en saisissant leur numéro de téléphone ou leur adresse courriel, étant précisé que tous les profils autorisaient par défaut la possibilité de les retrouver grâce à cette fonction. À l’aide de faux comptes et de bots utilisant une liste de numéros de téléphone, il était ainsi possible d’extraire automatiquement de nombreux profils pour y associer informations du profil et coordonnées téléphoniques. Afin de minimiser ce risque, Meta limitait déjà l’utilisation de son service à un débit maximal. Au cours d’une évaluation sur l’intégrité de la fonction Facebook Search, Meta a observé une utilisation anormalement élevée de son service. Il s’est avéré que pour contourner les programmes de détection des fraudes, les bots malveillants limitaient volontairement le siphonnage de données (web scraping) sous le seuil du débit maximal autorisé. En réaction, Meta a supprimé la fonctionnalité.
Il est apparu que la désactivation de ce service a entraîné une augmentation anormale de l’utilisation d’une autre fonction : celle de récupération de compte (Contact Importer), qui permettait de récupérer un compte à l’aide du numéro de téléphone ou de l’adresse courriel, et qui faisait également l’objet d’une mesure de limitation de débit. Cette fonction a alors été limitée par Meta aux cas où l’utilisateur ne disposait pas d’un appareil associé au compte. Une équipe consacrée à la détection du web scraping a ensuite été constituée. Finalement, Meta avait également décidé de supprimer la fonction Contact Importer entre août et septembre 2019, restreignant le champ temporel de l’enquête de la DPC entre le 25 mai 2018 – date de l’entrée en vigueur du RGPD – et septembre 2019.
Au...
Sur le même thème
-
Pour rester indépendants avec l’IA, l’indispensable « maîtrise des outils » (table ronde)
-
Le juge pénal : meilleur allié des titulaires de droit de propriété intellectuelle ?
-
Quel usage de l’IA générative par les clients des avocats ?
-
Panorama rapide de l’actualité « Propriété intellectuelle » des semaines 1er juin au 30 juin 2025
-
Après plusieurs années à retenir son souffle, Decathlon obtient confirmation de la validité de son modèle de masque de plongée
-
Intelligence artificielle : le ministère table sur un premier assistant IA pour 2025
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 16 juin 2025
-
L’intelligence artificielle à la Cour de cassation : les cas d’usage
-
[PODCAST] « Quid Juris » – Pornhub, Youporn : protection des mineurs contre protection de la vie privée
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 9 juin 2025
Sur la boutique Dalloz
Code de la protection des données personnelles 2025, annoté et commenté
11/2024 -
7e édition
Auteur(s) : Alexandra Guérin-François, Jean Lessi, Jessica Eynard, Elodie Rançon