Et voilà la première sanction pour Facebook dans l’affaire Cambridge Analytica. L’Information Commissioner Office britannique vient de condamner l’entreprise à une douloureuse de 500 000 livres. Il s’agit du montant maximal de l’amende que peut infliger l’ICO en vertu de la précédente réglementation, toutefois bien moindre que celle prévue par le RGPD.
Comme annoncé, l’Information Commissioner’s Office britannique estime Facebook coupable d’atteintes à la législation sur la protection des données dans l’affaire Cambridge Analytica. Dans le détail, le réseau social s’est rendu responsable pendant plus de sept ans d’un traitement « injuste » des données personnelles de ses utilisateurs en permettant aux développeurs tiers d’accéder à leurs informations sans consentement suffisamment « explicite et éclairé » et en autorisant l’accès aux données d’ « Amis » qui eux-même n’avaient pas téléchargé les applications en cause.
En outre, Facebook a échoué à sécuriser ces données personnelles en ne parvenant pas à mettre en place les « contrôles appropriés » quant aux applications proposées par ces développeurs tiers. « Facebook n'a pas suffisamment protégé la vie privée de ses utilisateurs avant, pendant et après le traitement illicite de ces données. Une entreprise de sa taille et de son expertise aurait dû mieux savoir et mieux faire » écrit Elisabeth Denham, l’Information Commissioner.
Et pourtant, Facebook évite le pire
Au final, les données de 87 millions de personnes avaient été collectées et partagées par Aleksandr Kogan. Et même après la découverte du pot au rose en décembre 2015, Facebook n’avait pas pris les mesures nécessaires pour fermer les vannes. En conséquence de quoi l’entreprise de Mark Zuckerberg écope d’une amende de 500 000 livres (soit 570K€) : il s’agit là de la sanction maximale pouvant être infligée par l’autorité britannique de protection des données en vertu de la législation en vigueur au moment des faits.
Pas de quoi ébranler les finances du géant, mais la douloureuse se veut avant tout symbolique. « Nous avons jugé ces infractions si graves que nous avons imposé la peine maximale prévue par la loi précédente » ajoute Elisabeth Denham. L’Information Commissioner précise néanmoins que l’amende aurait été ô combien plus élevée dans le cadre du RGPD.