Facebook obtient de la Cnil un sursis de trois mois pour respecter la loi Informatique et Libertés

Après sa collecte des données des non-membres

En février 2015, un rapport commandité par l’autorité de la protection des données de la Belgique (DPA) avait relevé plusieurs ambiguïtés dans la politique de la confidentialité du réseau social Facebook. Les problèmes soulevés mettaient en avant le manque de transparence dans la collecte des données sur les utilisateurs et l’utilisation de ces données.

Un autre rapport, initié à nouveau par la commission confidentialité de l’Union européenne, s’est attaqué à la politique de confidentialité de Facebook. Les résultats consignés dans un rapport de 23 pages ont été menés par des chercheurs de l’université de Louvain et ceux du centre de recherche iMinds et dénoncent ouvertement les techniques mises en œuvre par le réseau social pour suivre les abonnés Facebook et ceux qui ne le sont pas.

La commission de protection de la vie privée belge (CPVP) a alors souligné que « Facebook se trouve ainsi dans une position unique, étant donné qu'elle peut facilement relier les habitudes de navigation de ses utilisateurs à leur identité réelle, à leurs interactions sur les réseaux sociaux et à des données sensibles telles que des informations médicales, des préférences religieuses, sexuelles et politiques. Cela implique que le traçage par Facebook est plus invasif que la plupart des autres cas de ce qu'on appelle le "third-party tracking" ».

À la suite de l’annonce par Facebook de la modification de sa politique de confidentialité, un groupe composé des cinq autorités de protection ayant décidé de mener des investigations (France, Belgique, Pays-Bas, Espagne et Land d’Hambourg) a été créé au sein du G29 (groupe des CNIL européennes) en mars 2015 pour mener une série de vérifications qui ont permis de relever de nombreux manquement à la loi Informatique et Libertés, notamment :

• la CNIL a constaté que le site Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte Facebook. En effet, le site dépose un cookie sur le terminal de chaque internaute qui visite une page Facebook publique, sans l’en informer (pages d’un événement public ou d’un ami par exemple). Ce cookie permet alors au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton Facebook (« J’aime » ou « Se connecter » par exemple) ;
• il apparaît que le réseau social ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle. De même, aucune information n’est délivrée aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données sur le formulaire d’inscription au service ;
• le site dépose sur l’ordinateur des internautes des cookies à finalité publicitaire, sans les en avoir au préalable correctement informés ni avoir recueilli leur consentement ;
• pour afficher de la publicité ciblée à ses membres, le site Facebook procède à la combinaison de toutes les données personnelles qu’il détient sur eux (fournies par les internautes eux-mêmes, collectées par le site, par les autres sociétés du groupe ou transmises par des partenaires commerciaux). Toutefois, le site ne propose pas aux internautes de mécanisme leur permettant de s’opposer à la combinaison de l’ensemble de ces données à des fins publicitaires, ce qui méconnaît leurs droits et intérêts fondamentaux et porte atteinte au respect de leur vie privée ;
• Facebook transfère les données personnelles de ses membres aux États-Unis sur la base du Safe harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union européenne du 6 octobre 2015.

Aussi, le 8 février dernier, la Présidente de la CNIL a donc décidé de mettre en demeure Facebook qui était sommé de se conformer à la loi dans un délai de 3 mois. C’est donc le 9 mai que Facebook France aurait dû présenter ses réponses. Cependant, comme l’a expliqué Laurent Solly, le directeur général de Facebook France, au Journal du Net, l’entreprise a demandé un délai de trois mois supplémentaires, délai qui a finalement été accepté par la CNIL. Facebook a donc jusqu’au 9 août 2016 pour se mettre en conformité.

Facebook a annoncé qu’il utiliserait bien des cookies pour suivre des internautes non membres à des fins publicitaires. «  Ce n’est pas contradictoire », avait assuré Laurent Solly au Journal du Net. « Tout se fait en totale transparence avec les autorités européennes et la CNIL. À l’époque des faits, nous n’utilisions absolument pas ces données à des fins publicitaires. Nous allons bientôt le faire, mais en toute transparence. L’utilisateur gardera le contrôle sur toutes les publicités auxquelles il est exposé via un gestionnaire de préférence des publicités ».

Source : Cnil