RGPD : quels sont les risques encourus par Facebook ?

Comptant plus de 2,27 milliards d’utilisateurs actifs par mois lors du troisième trimestre 2018, Facebook figure aujourd’hui dans la liste des réseaux sociaux les plus utilisés aussi bien par les particuliers que par les professionnels. Pourtant, malgré sa notoriété et son statut de réseau social numéro un au monde, la plateforme a récemment subi une cyberattaque de très grande envergure qui a affecté plus de 50 millions d’utilisateurs. Une faille qui expose le géant américain à des risques non négligeables…

Facebook risque une amende de 1,63 milliard de dollars

Le paiement d’une amende est sans aucun doute le premier risque encouru par le réseau social Facebook, suite au piratage dont il a été victime au mois de septembre dernier. Un manquement aux dispositions du RGPD en cas de piratage et de non protection des données des utilisateurs européens l’expose ainsi à une peine assez conséquente. Heureusement, après avoir déclaré la cyberattaque qui a touché plus de 50 millions d’utilisateurs, le réseau social a immédiatement notifié l’anomalie auprès de la Data Protection Commission. En effet, étant donné que le siège social du géant américain en Europe se trouve à Dublin, la “CNIL” irlandaise est donc automatiquement l’autorité compétente qu’il a fallu saisir en moins de 72 heures, et ce, conformément aux dispositions de l’article 33 du RGPD.

Pourtant, même si Facebook a prévenu la Data Protection Commission trois jours après la découverte de la faille, cette institution a tout de même précisé dans son communiqué de presse relayé par la presse sur Twitter que la notification émise par les responsables du réseau social américain manque de détails. Selon elle, au moment des faits Facebook n’a pas été en mesure de préciser la nature exacte de la faille, ni le risque auquel les utilisateurs concernés s’exposent. L’autorité irlandaise n’a donc pas manqué de demander des compléments d’information.

D’après les dispositions du RGPD, un cas de violation des droits sur les données de personnes physiques conduit généralement au paiement d’une amende pouvant aller jusqu’à 4 % du chiffre d’affaires réalisé lors de l’année précédente. Étant donné que Facebook a enregistré un chiffre d’affaires de 40,7 milliards de dollars en 2017, l’amende potentielle pourrait donc atteindre 1,63 milliard de dollars. Cependant, avant de prononcer la sanction de manière définitive, l’autorité irlandaise est tout de même tenue d’évaluer les mesures de sécurité qui ont été mises en place par Facebook suite à ce piratage, et d’estimer si celles-ci sont largement suffisantes pour assurer la protection des données des utilisateurs européens.

Les tarifs publicitaires revus à la baisse

Le paiement de l’amende de 4 % de son chiffre d’affaires réalisé l’année précédente n’est pas uniquement le risque auquel s’expose Facebook suite à la cyberattaque dont la plateforme a été victime. Ce piratage d’envergure internationale ayant touché plus de 5 millions de comptes européens risque également de revoir à la baisse les tarifs publicitaires pratiqués par la plateforme. En effet, compte tenu de l’application du RGPD, si un utilisateur accepte les conditions de mise à jour des services proposés par le réseau social, sans accepter pour autant de partager ses données personnelles avec les annonceurs, le profil en question sera alors considéré comme « moins pertinent » pour ces annonceurs par Facebook. Les annonces diffusées auprès de ces comptes sont « moins pertinentes », elles seront alors « moins efficaces », et risqueraient par conséquent de remettre en cause les tarifs pratiqués par Facebook. Pour éviter cette baisse des tarifs auprès des annonceurs, Facebook sera alors amené à afficher davantage d’annonces publicitaires ; ce qui risquerait par la suite de dégrader l’expérience utilisateur.