Un ex-ingénieur de Meta aurait exfiltré 30 000 photos Facebook : la menace interne au cœur du RGPD

20/4/26
👈 les autres actualités

Il n'a pas fallu une cyberattaque sophistiquée, ni un ransomware, ni une faille zero-day. Un ingénieur de Meta, désormais ancien salarié, aurait patiemment mis au point un programme maison pour contourner les contrôles de sécurité internes de Facebook et télécharger environ 30 000 photos privées d'utilisateurs. La Metropolitan Police de Londres a ouvert une enquête. Meta dit avoir détecté l'incident il y a plus d'un an, licencié le suspect et saisi les autorités. L'affaire, révélée par la BBC début avril 2026, rappelle brutalement que la menace qui pèse sur les données personnelles ne vient pas toujours de l'extérieur.

Ce qui s'est passé

D'après les informations relayées par DataBreaches.net et la BBC, l'ancien employé, basé à Londres, aurait conçu un outil interne capable d'accéder aux photos privées des utilisateurs en échappant aux mesures de sécurité mises en place par la plateforme. Le volume en cause est vertigineux : près de 30 000 clichés qui n'étaient jamais destinés à quitter les cercles privés de leurs propriétaires. Meta a découvert la brèche « il y a plus d'un an », selon son porte-parole, et indique avoir immédiatement licencié l'intéressé puis « transmis le dossier aux autorités ». La Metropolitan Police confirme qu'une enquête est en cours, sans communiquer de chef d'accusation à ce stade.

L'affaire touche un nerf sensible : celle des accès légitimes dévoyés. L'ingénieur, en tant que salarié, disposait manifestement d'un niveau de privilège technique suffisant pour bâtir un contournement des garde-fous censés protéger les données des utilisateurs. La violation est donc moins un échec du périmètre externe qu'un échec de la gouvernance interne des accès.

Pourquoi c'est important pour le RGPD

Cette affaire illustre l'exigence la plus structurante — et la plus souvent sous-estimée — du règlement européen : la sécurité du traitement prévue à l'article 32 du RGPD. Le texte n'impose pas seulement de chiffrer les données ou de construire un pare-feu : il oblige les responsables de traitement à mettre en place des mesures techniques et organisationnelles appropriées, compte tenu des risques. Cela inclut la gestion fine des habilitations, la traçabilité des accès, la séparation des environnements et, plus largement, une politique de sécurité informatique documentée et appliquée.

Le droit européen va plus loin. L'article 29 du RGPD pose un principe fondamental : les salariés, prestataires et sous-traitants ne peuvent traiter les données personnelles que sur instruction du responsable de traitement. Un employé qui développe un outil pour contourner les contrôles d'accès et aspirer des photos privées sort, par définition, de ce cadre. L'organisation n'est pas pour autant exonérée : elle doit démontrer qu'elle a pris les mesures nécessaires pour rendre ce comportement difficile, détectable et sanctionnable.

Enfin, dès lors qu'une exfiltration interne est avérée, les obligations de notification se déclenchent : notification à l'autorité de contrôle dans un délai de 72 heures et, en cas de risque élevé, communication aux personnes concernées. Meta relève ici de la juridiction britannique (UK GDPR) ; la logique européenne est strictement analogue.

Ce que ça change pour les organisations

Pour les DPO et RSSI, cet incident est un rappel opérationnel. La menace interne — qu'elle soit malveillante, opportuniste ou simplement négligente — reste l'un des angles morts les plus coûteux de la conformité. Quelques réflexes à revisiter sans tarder : revue des habilitations par profil (principe du moindre privilège), cloisonnement des environnements de production, journalisation et alertes sur les accès massifs ou anormaux, revue des droits lors des mobilités internes et départs, et formation continue des équipes techniques aux bonnes pratiques de traitement. Un audit RGPD régulier permet d'objectiver ces contrôles avant qu'une affaire ne les révèle publiquement.

Côté procédure, il faut aussi préparer le scénario « exfiltration interne détectée » : qui qualifie l'incident, qui déclenche la notification, comment on documente la violation de données, et comment on communique aux personnes concernées sans aggraver le préjudice.

Ce que Leto pense de cette affaire

La tentation est grande de lire cette histoire comme un fait divers techno-judiciaire : un salarié mal intentionné, un employeur qui fait le ménage, une enquête de police. C'est passer à côté du point essentiel. Les données de 30 000 personnes ont été exposées parce qu'un seul individu, déjà à l'intérieur, a pu écrire du code pour contourner les contrôles existants. Le RGPD ne demande pas aux organisations d'être invulnérables — il leur demande de concevoir leurs systèmes pour que ce scénario soit difficile, détectable et documenté. Tant que la menace interne sera traitée comme un angle mort, les sanctions européennes continueront de tomber sur des responsables de traitement qui pensaient, à tort, que la conformité s'arrêtait au firewall.

Sources :
DataBreaches.net — Ex-Meta worker investigated for downloading 30,000 private Facebook photos (9 avril 2026)
BBC News — enquête initiale (Laura Cress)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026