Meta condamné à une amende de 91 millions d'euros pour ne pas avoir mis en place des mesures de sécurité appropriées concernant les mots de passe

Meta, la société mère de Facebook, a récemment dû s'acquitter d'une amende importante de 91 millions d'euros (75 millions de livres sterling) auprès de la Commission irlandaise de protection des données (la « DPC ») à la suite d'une enquête sur son stockage des mots de passe des utilisateurs. Cette enquête a débuté en avril 2019 lorsque Meta a révélé à la DPC qu'elle avait stocké par erreur certains mots de passe d'utilisateurs « en clair » sur ses systèmes internes, c’est-à-dire non cryptés.

L'enquête de la DPC a mis en évidence quatre violations du règlement général sur la protection des données (RGPD). En juin 2024, la DPC a soumis un projet de décision à d'autres autorités européennes de protection des données, lesquelles n'ont pas soulevé d'objections. La décision finale a été communiquée à Meta le 26 septembre : elle inclut un blâme ainsi qu’une amende substantielle.

Cette dernière sanction s'inscrit dans un contexte plus large d'amendes imposées à Meta pour mauvaise gestion des données. L'année dernière, l'entreprise a été condamnée à une amende de 1,2 milliard d'euros (c’est-à-dire 1 milliard de livres sterling) pour des transferts de données inappropriés entre l'Europe et les États-Unis, ce qui constitue la sanction la plus importante en vertu du RGPD de l'UE. En outre, en 2022, Meta a dû s'acquitter d'une amende de 265 millions d'euros (c’est-à-dire 220 millions de livres sterling) après la fuite de données sensibles de millions d'utilisateurs sur un forum de piratage.

 

9 points clés à retenir pour les entreprises

La décision de la DPC souligne l'importance de mettre en œuvre des mesures de sécurité rigoureuses pour les données à caractère personnel et d'assurer la conformité avec les réglementations du RGPD. Voici quelques points clés à retenir :

 

1. Prioriser la sécurité des données

Veillez à ce que les données sensibles, en particulier les mots de passe des utilisateurs, soient stockées en toute sécurité à l'aide d'un système de cryptage et d'autres mesures de protection. Le stockage des mots de passe en clair est inacceptable et présente des risques importants.

2. Comprendre la conformité au RGPD

 Familiarisez-vous avec les exigences du RGPD, notamment en ce qui concerne la notification des violations de données, la documentation et les mesures de sécurité. Le non-respect de ces exigences peut entraîner des sanctions sévères.

3. Mettre en œuvre des protocoles rigoureux de notification des violations

Établir des procédures claires pour identifier, documenter et signaler rapidement les violations de données aux autorités réglementaires. Les retards dans ce domaine peuvent aggraver les sanctions et nuire à la réputation de l'entreprise.

 

4. Réaliser des audits de sécurité réguliers

Évaluez et vérifiez régulièrement vos pratiques en matière de protection des données afin d'identifier les vulnérabilités. Cette approche proactive permet d'atténuer les risques liés au traitement des données et de renforcer la conformité.

 

5. Former les employés à la protection des données

Fournir une formation complète aux employés sur les protocoles de sécurité des données et les obligations liées au RGPD. La sensibilisation et l'éducation sont essentielles pour prévenir les violations involontaires.

 

6. Instaurer une culture de la protection de la vie privée

Favoriser une culture organisationnelle qui donne la priorité à la confidentialité et à la protection des données. La direction doit souligner l'importance de la protection des informations des utilisateurs en tant que valeur fondamentale de l'entreprise.

 

7. Se tenir informé des changements réglementaires

Tenez-vous informé des modifications apportées aux lois et réglementations en matière de protection des données afin de garantir une conformité permanente. Il s'agit notamment de savoir comment les autorités interprètent et appliquent les réglementations existantes.

 

8. Tenir compte de l'impact sur la réputation

Comprenez que les amendes et les violations de données peuvent gravement nuire à la réputation de votre entreprise. En accordant la priorité à la sécurité des données, vous vous protégez non seulement des sanctions, mais vous renforcez également la confiance de vos clients.

 

9.  Faire appel à des experts en droit et en conformité

Travaillez avec des professionnels du droit et de la conformité afin de vous assurer que vos stratégies de protection des données sont conformes aux exigences réglementaires. Leur expertise peut vous aider à naviguer dans des paysages complexes en matière de protection des données.

 

En prenant ces mesures, les entreprises peuvent non seulement éviter de lourdes amendes, mais aussi renforcer leur crédibilité et établir des relations plus solides avec leurs clients grâce à une gestion responsable des données.

 

Comment Gerrish Legal peut vous aider ?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle. 

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là vous vous aider, contactez-nous dès aujourd’hui pour plus d’informations.

 

Article de Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal

Previous
Previous

Que dois-je faire en cas de violation de données dans mon entreprise ?

Next
Next

L'IA dans le sport : L'effet sur la vie privée des athlètes