La CNIL irlandaise lance une enquête pour vérifier que Facebook a bien respecté le RGPD quand il a notifié un incident ayant conduit à stocker en clair des millions de mots de passe.
Les dossiers concernant Facebook s’accumulent sur le bureau de la Commission de protection des données personnelles — la CNIL irlandaise. Surtout depuis l’entrée en vigueur du RGPD. Déjà à l’œuvre sur le recours collectif engagé contre le réseau social et sur le projet flou de plateforme unifiée entre WhatsApp, Messenger et Instagram, le régulateur se penche maintenant sur une autre affaire.
Celle du stockage de millions de mots de passe en clair.
Rappel des faits. Le 21 mars, Facebook a annoncé avoir découvert une erreur dans la façon de conserver les mots de passe de sa communauté sur ses serveurs. L’incident a touché des membres de Facebook, mais aussi Instagram (dans des proportions équivalentes) et dans une moindre mesure celles et ceux utilisant Facebook Lite, qui est une version épurée du site pour limiter la consommation de données mobiles.
Il n’est pas établi que le stockage en clair de ces mots de passe, c’est-à-dire sans les couches de protection permettant de les rendre illisibles même en cas de piratage de l’infrastructure de Facebook, a été exploité à des fins malveillantes. L’enquête menée par Facebook n’a pas mis à jour une intrusion frauduleuse ni un mésusage en interne par un salarié.