La CNIL et Facebook : réquisitoire sur les données personnelles

17 février 2016 à 14h59
- Mis à jour le 16 janvier 2019 à 18h35 -

La CNIL (Commission Nationale de l'Informatique et des Libertés) et la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) ont toutes deux mis en demeure Facebook.

A travers un long réquisitoire, les deux institutions se sont prononcées contre l’exploitation et la collecte des données faites par le réseau social.

Tanguy de Coatpont, directeur général du spécialiste de la cyber sécurité Kaspersky Lab France explique : « Les géants du Web ont très mauvaise presse en matière de protection de la vie privée des utilisateurs, et c’est globalement mérité. […] Mais les entreprises européennes ne font pas mieux» .

Les reproches de la DGCCRG

La DGCCRG a enjoint Facebook à modifier certaines clauses des conditions d’utilisation du réseau social, qu’elle juge abusives. En particulier, la possibilité pour le réseau social de retirer des « contenus ou informations publiés par l’internaute sur le réseau » . D’autres clauses sont également concernées comme la modification des conditions d’utilisation ou du service de paiement sans en informer l’internaute au préalable.

Que reproche la CNIL à Facebook ?

icone CNIL

Le suivi des internautes qui n’ont pas de compte Facebook

Grâce à un cookie, la firme américaine peut traquer un internaute qui n’a pas de compte sur le réseau social, mais qui s’est rendu sur une page publique de Facebook, sur les pages qui disposent d’un bouton Facebook (j’aime, partage, connexion), soit désormais une grande majorité des sites ! Or la loi Informatique et Libertés (article 32-II) impose le consentement préalable de l’utilisateur pour la mise en place de cookies, ce qui n’est pas le cas ici.

Collecte de données sans consentement

Les utilisateurs peuvent renseigner sur Facebook leur orientation sexuelle, leurs opinions politiques ou religieuses, sans que le réseau social ne précise ce qu’il fait ou compte faire de ces données, ni que celles-ci seront conservées. Selon la CNIL, Facebook devrait mettre en place une case à cocher pour obtenir le consentement de l’utilisateur.

parametres et outils confidentialité



Sensibilité de certaines données

De la même manière, Facebook réclame des documents personnels pour permettre l’identification d’un utilisateur (et éviter les multicomptes ou les faux noms), en particulier, ce dernier peut transmettre un dossier médical, jugé trop sensible par la CNIL qui souhaite que Facebook ne l’accepte plus, d’autant plus que de nombreux autres documents peuvent permettre de justifier une identité.

Les publicités ciblées

Sur Facebook, il n’est pas possible de désactiver les publicités ciblées. En effet, de nombreuses données sont collectées pour permettre ce ciblage : commentaires, likes, mais aussi vidéos regardées, amis avec lesquels vous êtes tagués, adresse IP, localisation, fréquence de connexion, etc etc…Ces données ne se limitent donc pas au simple profil ou posts partagés sur son mur.

Or, selon la CNIL, l’internaute ne donne aucun consentement pour l’exploitation de ces données. Même si Facebook explicite l’exploitation des données en vue de publicité ciblée dans ses conditions d’utilisation, la CNIL trouve cela insuffisant car la collecte des données est jugée trop intrusive et n’entre pas dans le cadre de l’article 7 de la loi Informatique et Libertés qui donne le contexte dans lequel le traitement de ces données peut être fait sans consentement de la personne. Un consentement devrait donc être demandé spécifiquement pour l’utilisation de ces données.

publicité facebook



Le transfert des données aux Etats-Unis

Facebook indique dans ses conditions d’utilisations que des données de ses utilisateurs européens peuvent être transmises à d’autres pays en dehors de l’Europe et s’appuie pour ce faire de l’accord Safe Harbor, qui permettait le libre transfert des données d’entreprises comme Facebook vers les Etats-Unis. Cet accord a été invalidé en octobre 2015 par la Cour de justice de l’Union Européenne. Néanmoins comme l’explique Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC, le G29 a déclaré que « les entreprises pourraient, dans l’attente de l’ « EU-US Privacy Shield » continuer à exporter les données des citoyens européens vers les Etats-Unis sans être inquiétées ».

icone confidentialité

La conservation des données personnelles est trop longue

Facebook est capable de fournir les données archivées d’un compte sur plusieurs années. Or la CNIL estime que la conservation de ces données ne devrait pas dépasser six mois. Google avait déjà subi une sanction de la CNIL suite à ces mêmes reproches.

Facebook a trois mois pour se mettre en conformité

La CNIL a mis en demeure Facebook de se conformer à la loi sous trois mois. Cette mise en demeure a été rendue publique, car la CNIL juge les manquements constatés graves et que le nombre de personnes concernées est particulièrement important (Facebook compte 30 millions d’utilisateurs en France).

La CNIL rappelle que cette « mise en demeure n’est pas une sanction ». Néanmoins, si Facebook ne s’y conformait pas dans les délais impartis, la CNIl pourrait à terme prononcer une sanction.

D’autres procédures ont également été lancées en Belgique, en Allemagne, aux Pays-Bas et en Espagne, par les CNIL locales, qui pourraient à leur tour mettre en demeure et sanctionner le réseau social.

L’Interactive Advertising Bureau en France estime que cette mise en demeure est « un signal important pour l’industrie car elle pourrait avoir des implications plus large » et se déclare pour la mise en place d’un dialogue entre la CNIL, les pouvoirs publics et les associations professionnelles.

Le Monde rapporte les déclarations d’une porte-parole de Facebook : « La protection de la vie privée est une priorité pour Facebook.[…]Nous prendrons contact avec la CNIL pour discuter des points soulevés » .