Facebook épinglé par la CNIL pour de multiples manquements à la loi Informatique et Libertés

 

Alors que l’autorité italienne garante de la concurrence vient de condamner Facebook à une amende de 3 millions d’euros pour avoir fait croire aux utilisateurs de WhatsApp qu’ils ne pourraient plus utiliser l’application de messagerie s’ils refusaient l’accès aux données de leurs comptes Facebook. En France, la formation restreinte de la CNIL a prononcé une sanction de 150.000 €, rendue publique, à l’encontre des sociétés FACEBOOK INC et FACEBOOK IRELAND.
 
Les contrôles conduits par la CNIL ont permis de relever l’existence de nombreux manquements à la loi Informatique et Libertés. Il a notamment été constaté que FACEBOOK procédait à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire et qu’il traçait à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie (cookie « datr »).
 
Concernant la combinaison de données dont font l’objet les utilisateurs de FACEBOOK, les sociétés FACEBOOK INC. et FACEBOOK IRELAND effectuent ce traitement en l’absence de base légale. La collecte massive de données effectuée via le cookie « datr » est, elle, considérée comme déloyale en l’absence d’information claire et précise.
 
Sur les autres manquements, la formation restreinte considère que :
 
  • Les sociétés ne délivrent aucune information immédiate aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données notamment sur le formulaire d’inscription au service.
  • Les sociétés ne recueillent pas le consentement exprès des internautes lorsqu’ils renseignent des données sensibles dans leurs profils (ex : leurs opinions politiques, religieuses ou leur orientation sexuelle). En effet, aucune information spécifique sur leur caractère sensible n’est délivrée lorsque les internautes complètent leurs profils et renseignent de telles données.
  • En renvoyant au paramétrage du navigateur, les sociétés ne permettent pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.
  • Les sociétés ne démontrent pas en quoi la conservation de l’intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte est nécessaire.
 
En conséquence, la formation restreinte de la CNIL a décidé de prononcer une sanction de 150.000 € rendue publique à l’encontre des sociétés FACEBOOK INC et FACEBOOK IRELAND.
 
Le montant et la publicité de cette sanction se justifient par le nombre des manquements (6 au total), leur gravité et le nombre important d’utilisateurs en France (33 millions).
 
La décision de la formation restreinte s’inscrit dans le prolongement des travaux conduits de manière concertée avec les autorités de protection des données de Belgique, d’Allemagne (Land d’Hambourg), d’Espagne, et des Pays-Bas. Ces autorités partagent de nombreux constats même si que leurs procédures portent sur des périmètres parfois différents et s’inscrivent dans des calendriers distincts.