La Corée du Sud a déclaré que Meta mettait en danger la vie privée des utilisateurs de Facebook en ne mettant pas en œuvre des mesures de sécurité de base.
L’organisme sud-coréen de surveillance de la vie privée a infligé mardi une amende de 21,6 milliards de wons (14 millions d’euros) à la société de médias sociaux Meta pour avoir collecté illégalement des informations personnelles sensibles auprès des utilisateurs de Facebook, y compris des données sur leurs opinions politiques et leur orientation sexuelle, et les avoir partagées avec des milliers d’annonceurs.
Il s’agit de la dernière d’une série de sanctions prononcées contre Meta par les autorités sud-coréennes ces dernières années, alors qu’elles renforcent leur surveillance de la manière dont l’entreprise, qui possède également Instagram et WhatsApp, traite les informations privées.
À la suite d’une enquête de quatre ans, la Commission sud-coréenne de protection des informations personnelles a conclu que Meta avait collecté illégalement des informations sensibles sur environ 980 000 utilisateurs de Facebook, y compris leur religion, leurs opinions politiques et leur appartenance ou non à des unions de même sexe, de juillet 2018 à mars 2022.
La société a déclaré que la société partageait les données avec environ 4 000 annonceurs.
« Pas de consentement spécifique »
La loi sud-coréenne sur la confidentialité assure une protection stricte des informations liées aux convictions personnelles, aux opinions politiques et au comportement sexuel, et interdit aux entreprises de traiter ou d’utiliser ces données sans le consentement spécifique de la personne concernée.
La commission a déclaré que Meta avait collecté des informations sensibles en analysant les pages que les utilisateurs de Facebook aimaient ou les publicités sur lesquelles ils cliquaient.
La société a catégorisé les publicités pour identifier les utilisateurs intéressés par des thèmes tels que les religions spécifiques, les questions homosexuelles et transgenres, ainsi que les questions liées aux évadés nord-coréens, a déclaré Lee Eun Jung, directeur de la commission qui a mené l’enquête sur Meta.
« Bien que Meta ait collecté ces informations sensibles et les ait utilisées pour des services individualisés, ils n’ont fait que de vagues mentions de cette utilisation dans leur politique de données et n’ont pas obtenu de consentement spécifique », a déclaré Lee.
Lee a également déclaré que Meta mettait en danger la vie privée des utilisateurs de Facebook en ne mettant pas en œuvre des mesures de sécurité de base telles que la suppression ou le blocage des pages inactives. En conséquence, les pirates ont pu utiliser des pages inactives pour forger des identités et demander la réinitialisation des mots de passe des comptes d’autres utilisateurs de Facebook. Meta a approuvé ces demandes sans vérification appropriée, ce qui a entraîné des violations de données affectant au moins 10 utilisateurs sud-coréens de Facebook, a déclaré Lee.
En septembre, les régulateurs européens ont infligé à Meta une amende de plus de 100 millions de dollars (91 millions d’euros) pour une faille de sécurité en 2019 au cours de laquelle les mots de passe des utilisateurs ont été temporairement exposés sous une forme non cryptée.
Le bureau sud-coréen de Meta a déclaré qu’il « examinerait attentivement » la décision de la commission, mais n’a pas immédiatement fourni davantage de commentaires.
En 2022, la commission a infligé une amende combinée de 100 milliards de wons (66 millions d’euros) à Google et Meta pour avoir suivi le comportement en ligne des consommateurs sans leur consentement et utilisé leurs données pour des publicités ciblées, dans le cadre des sanctions les plus lourdes jamais imposées en Corée du Sud pour violations de la loi sur la vie privée.
La commission a alors déclaré que les deux sociétés n’avaient pas clairement informé les utilisateurs ni obtenu leur consentement pour collecter des données les concernant lorsqu’ils utilisaient d’autres sites Web ou services en dehors de leurs propres plateformes. Il a ordonné aux entreprises de fournir un processus de consentement « simple et clair » pour donner aux gens plus de contrôle sur l’opportunité de partager des informations sur ce qu’ils font en ligne.
