Mots de passe en clair: Meta condamné à 91 M€ d'amende

La Cnil irlandaise vient d'infliger une amende de 91 M€ à Meta pour une affaire datant de 2019. La société américaine avait stocké des mots en passe en clair, ne respectant ainsi pas ses obligations de sécurité au titre du RGPD.

La maison-mère de Facebook, Instagram et WhatsApp commence à bien connaître la DPC irlandaise. Cette dernière inflige régulièrement des amendes à Meta (dont une record de 1,2 Md€ en 2023) pour ses manquements au RGPD. Le régulateur vient encore de frapper la firme dirigée par Mark Zuckerberg avec une amende de 91 M€ pour ne pas avoir pris des mesures de sécurité appropriées.

L’affaire remonte à mars 2019 où Meta notifie à la Cnil irlandaise un incident de sécurité. En l’occurrence, la société « avait stocké par inadvertance certains mots de passe d'utilisateurs de médias sociaux en « texte clair » sur ses systèmes internes (c'est-à-dire sans protection, ni chiffrement) », explique la DPC. Dans un entretien avec l’AFP, un porte-parole du régulateur souligne que le problème a touché 36 millions d’utilisateurs de Facebook et Instagram en Europe.

Des mesures de sécurité non prises et un long délai de notification

Il a mené une enquête pour savoir si Meta a mis en œuvre des mesures visant à garantir un niveau de sécurité adapté aux risques associés au traitement des mots de passe. En l’espèce, le niveau de sécurité n’était pas conformé à celui exigé par le RGPD. La question du délai de notification de l’incident était aussi posée. Meta a mis près de 3 mois pour avertir la DPC, un délai jugé trop tardif.

Dans un communiqué à l’AFP, la firme américaine reconnait avoir « temporairement enregistrés dans un format lisible dans nos systèmes de données internes » et d’avoir « pris des mesures immédiates pour corriger cette erreur ». Si elle estime avoir été proactive et aidant dans l’enquête, la société n’a pas dit si elle faisait appel de la décision.