La situation commence à sérieusement s’envenimer pour Facebook. Après la publication de données personnelles de 533 millions d’utilisateurs Facebook sur Internet, l’association de défense des droits citoyens Digital Rights Ireland (DRI) a porté plainte contre le réseau social auprès de la Cnil irlandaise. Elle veut également porter l’affaire devant les tribunaux et représenter toutes les victimes européennes qui souhaitent se faire indemniser. Pour rejoindre cette « action de masse », il suffit de remplir un formulaire en ligne, après avoir vérifié que l’on figure bien parmi les victimes.
Entre 300 et 12 000 euros par victime
Interrogée par The Irish Times, l’association DRI estime que cette indemnisation pourrait se situer entre 300 et 12 000 euros par victime. D’après les chiffres publiés par le chercheur en sécurité Alon Gal, plus de 95 millions de citoyens de l’Union européenne figurent dans ce fameux fichier en accès libre, dont 19 millions rien qu’en France. Avec 300 euros par victime, on arrive déjà à plus de 28 milliards d’indemnités à payer ! De quoi certainement donner des sueurs froides aux juristes de Facebook.
La base légale sur laquelle ce procès pourrait se tenir est celle du RGPD, qui oblige les entreprises de mettre en place des mesures de protection et d’alerter les autorités et les victimes en cas de violation. Selon DRI, Facebook n’aurait respecté ni l’un ni l’autre. L’autorité irlandaise de protection des données personnelles a officiellement démarré une enquête sur le sujet. Il faut dire que la Commission européenne l’y a poussé. Lundi dernier, le commissaire à la justice Didier Reynders s’est entretenu avec Helen Dixon, présidente de cette instance nationale assez peu connue pour sa réactivité. Interrogé par TechCrunch, un porte-parole de la Commission explique que le but de cet appel était de souligner les enjeux de cette affaire et qu’il fallait clarifier rapidement la situation.
https://twitter.com/dreynders/status/1381663631981617163
A ce stade, il est évidemment difficile de prévoir l’issue de cette enquête. Dans un communiqué, Facebook a confirmé qu’il allait « totalement coopérer » avec l’autorité irlandaise. Toute l’attention se portera évidemment sur cette fonctionnalité d’import de contacts qui a permis à des hackers de collecter en masse des données personnelles sur les utilisateurs du réseau social. Dans un premier temps, le réseau social avait tenté de minimiser cet incident en la qualifiant de « scraping », et non pas de « hacking ». Dans le premier cas, les données sont extraites par un abus d’une fonctionnalité d’accès licite. Dans le second, les données sont volées au travers d’une intrusion illicite.
A découvrir aussi en vidéo :
Avec cette distinction, Facebook a peut-être tenté de se dédouaner. Mais la CNIL a rapidement clos le débat en affirmant que cet incident constituait bel et bien une violation de données. Le calendrier de cet évènement va être déterminant. Dans une note de blog, Facebook dit avoir eu connaissance de cette collecte en 2019 et produit un correctif de sa fonctionnalité en septembre de cette année. Comme le RGPD est entré en vigueur en mai 2018, le réseau social aurait probablement dû alerter les autorités et notifier les utilisateurs affectés.
Sources: The Irish Times
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.