Entre la CNIL et Facebook, on est loin de l'entente cordiale. La Commission nationale de l'informatique et des libertés a en effet dans son collimateur le poids-lourd des réseaux sociaux depuis janvier 2016. L'année dernière, l'institution avait en effet mis la société en demeure en lui demandant de ne plus placer de cookiers indésirables sur les postes des utilisateurs et d'arrêter le transfert des données personnelles de ses membres vers les Etats-Unis.
« Les deux sociétés [Facebook Inc et Facebook Ireland] ayant adressé à la CNIL des réponses insatisfaisantes à un certain nombre de manquements de cette mise en demeure, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à leur encontre », a indiqué la commission dans un communiqué publié ce matin. La commission a ainsi considéré que Facebook ne permet pas aux utilisateurs de s'opposer à la combinaison massive de leurs données aussi bien lors de la création de compte qu'a posterioriet que l'information dispensée via le bandeau d'information relatif aux cookies concernant la collecte des données de navigation des internautes est imprécise.
Aucun consentement demandé concernant les données sensibles de profils
Outre ces deux manquements, la CNIL considère également que les internautes n'ont aucune information sur l'utilisation faite de leurs données notamment sur le formulaire d'inscription au service, que leur consentement exprès au moment de renseigner des données sensibles de profils (politiques, religieuses et orientation sexuelle) n'est pas demandé, qu'il n'est pas permis de s'opposer valablement aux cookies déposés sur leur équipement terminal ou encore qu'il n'est pas démontré pourquoi la conservation de l'intégralité des adresses IP des internautes est conservée pendant toute la durée de vie de leurs comptes.
« En conséquence, la formation restreinte de la CNIL a décidé de prononcer une sanction de 150 000 € rendue publique à l'encontre des sociétés Facebook Inc et Facebook Ireland », a fait savoir la commission. « Le montant et la publicité de cette sanction se justifient par le nombre des manquements (6 au total), leur gravité et le nombre important d’utilisateurs en France (33 millions). » Le montant demandé par la CNIL à Facebook peut paraître quand même peu élevé au regard de la taille de cette société. Mais l'adoption de la GDPR dans un an, permettant d'infliger une amende allant jusqu'à 4% du chiffre d'affaires, devrait se montrer beaucoup plus dissuasive et contraindre les grands groupes à ne pas se mettre hors la loi numérique comme beaucoup actuellement.
Facebook respectueusement en désaccord avec la CNIL
La France n'est actuellement pas le seul pays à mener une enquête à l'encontre de Facebook comme en témoigne la déclaration commune des autorités de protection des données personnelles en Europe. C'est également le cas pour la Belgique, les Pays-Bas, l'Allemagne et l'Espagne, même si à ce jour seul la France a condamné la société à une amende.
Suite à l'annonce de la CNIL, un porte-parole de Facebook nous a poussé la réaction suivante : « Chez Facebook, donner aux utilisateurs le contrôle sur la confidentialité de leurs données est au cœur de tout ce que nous faisons. Au cours des dernières années, nous avons simplifié nos politiques afin d'aider les personnes à comprendre comment nous utilisons les données chez Facebook. Nous avons mis en place des équipes dédiées à la protection de la confidentialité – incluant des ingénieurs et des designers – et des outils qui donnent le choix et le contrôle aux personnes. Nous prenons acte de la décision de la CNIL, avec laquelle nous sommes respectueusement en désaccord. Nous avons apprécié les opportunités que nous avons eues de dialoguer avec celle-ci et de souligner notre engagement en faveur de la confidentialité de nos utilisateurs. Facebook respecte depuis longtemps la loi européenne sur la protection des données, depuis que nous avons choisi de nous établir en Irlande. Nous restons disponibles pour travailler avec la CNIL autour de ces questions, alors que nous nous préparons pour la nouvelle réglementation européenne sur la protection des données en 2018. »