- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- > Travailleurs handicapés
- Avocat
Article

Meta (enfin) sanctionnée par l’autorité de protection des données irlandaise
Meta (enfin) sanctionnée par l’autorité de protection des données irlandaise
La Data Protection Commission a infligé à Meta une amende de 265 millions d’euros sur le fondement de l’article 25 du RGPD, en raison de la possibilité de recourir à des techniques de web scraping via les fonctions de recherche et d’importation de contacts.
par Cécile Crichtonle 12 janvier 2023
En avril 2021, la presse généraliste fait état d’une fuite de données de millions d’utilisateurs du réseau social Facebook, y incluant notamment numéro de téléphone, identifiant Facebook, nom, adresse, courriel, ou informations de localisation (v. not. A. Holmes, 533 million Facebook users’ phone numbers and personal data have been leaked online, Business Insider, 3 avr. 2021). Cette révélation mène à l’autosaisine de l’autorité nationale de protection des données irlandaise, la Data Protection Commission (DPC), considérée comme autorité de contrôle chef de file. En effet et conformément à l’article 56, § 1, du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD), la DPC est compétente pour les traitements transfrontaliers effectués par la société Meta, dans la mesure où son établissement principal est situé en Irlande.
Il ressort de l’enquête de la DPC que l’extraction massive de données personnelles en cause provenait de l’utilisation de la fonction de recherche de contacts (Facebook Search). Cette fonction offrait aux utilisateurs la possibilité de retrouver le profil de leurs proches en saisissant leur numéro de téléphone ou leur adresse courriel, étant précisé que tous les profils autorisaient par défaut la possibilité de les retrouver grâce à cette fonction. À l’aide de faux comptes et de bots utilisant une liste de numéros de téléphone, il était ainsi possible d’extraire automatiquement de nombreux profils pour y associer informations du profil et coordonnées téléphoniques. Afin de minimiser ce risque, Meta limitait déjà l’utilisation de son service à un débit maximal. Au cours d’une évaluation sur l’intégrité de la fonction Facebook Search, Meta a observé une utilisation anormalement élevée de son service. Il s’est avéré que pour contourner les programmes de détection des fraudes, les bots malveillants limitaient volontairement le siphonnage de données (web scraping) sous le seuil du débit maximal autorisé. En réaction, Meta a supprimé la fonctionnalité.
Il est apparu que la désactivation de ce service a entraîné une augmentation anormale de l’utilisation d’une autre fonction : celle de récupération de compte (Contact Importer), qui permettait de récupérer un compte à l’aide du numéro de téléphone ou de l’adresse courriel, et qui faisait également l’objet d’une mesure de limitation de débit. Cette fonction a alors été limitée par Meta aux cas où l’utilisateur ne disposait pas d’un appareil associé au compte. Une équipe consacrée à la détection du web scraping a ensuite été constituée. Finalement, Meta avait également décidé de supprimer la fonction Contact Importer entre août et septembre 2019, restreignant le champ temporel de l’enquête de la DPC entre le 25 mai 2018 – date de l’entrée en vigueur du RGPD – et septembre 2019.
Au...
Sur le même thème
-
Petite pause
-
Affaire Rolex : le Tribunal judiciaire de Paris remet-il les pendules à l’heure sur l’usage des marques renommées par des tiers dans le pop art ?
-
Panorama rapide de l’actualité « Technologies de l’information » des semaines du 12 mai 2025
-
[PODCAST] Journalisme vs désinformation : les apports de la recherche en source ouverte
-
Constat d’achat : le stagiaire du cabinet d’avocat peut décidément être tiers acheteur !
-
Le rôle du Comité européen de la protection des données, entre avis consultatifs et décisions contraignantes : nouvel épisode de la saga « Consent or pay »
-
Quelles perspectives pour la liberté de la presse ? Entretien avec le professeur Evan Raschel
-
Affaire Thaler : confirmation de l’absence de protection par le copyright américain d’une œuvre présentée comme générée uniquement par l’intelligence artificielle
-
Panorama rapide de l’actualité « Technologies de l’information » des semaines des 5 au 11 mai 2025
-
L’obligation d’exploitation permanente et suivie suppose un effort continu de diffusion et de promotion
Sur la boutique Dalloz
Code de la protection des données personnelles 2025, annoté et commenté
11/2024 -
7e édition
Auteur(s) : Alexandra Guérin-François, Jean Lessi, Jessica Eynard, Elodie Rançon