Data
Suite à une enquête de 2015, concernant les données personnelles, la Cnil vient de condamner Facebook à payer 150 000 euros d’amende. Une paille ! Mais avec la nouvelle réglementation européenne, qui sera appliquée en mai 2018, l’amende aurait pu être beaucoup plus salée. Pour sa part, Facebook "prend acte" de la décision de la Cnil avec qui il estime être "respectueusement en désaccord".

L’amende s’élève à 0,0019% de son chiffre d’affaires… trimestriel! Autant dire une pécadille. La Commission nationale de l'informatique et des libertés (Cnil) a annoncé mardi 16 mai avoir condamné Facebook à 150 000 euros d'amende (le montant maximal prévu pour l'instant) pour «de nombreux manquements à la Loi informatique et libertés» dans sa gestion des données des utilisateurs. «Il a notamment été constaté que Facebook procédait à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire. Il a aussi été constaté que Facebook traçait à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie», a expliqué la Cnil.

L’amende correspond au plafond prévu par la législation aujourd'hui pour ce type d'infraction. Il évoluera en 2018, avec le nouveau règlement sur les données personnelles. Le montant maximal pourra s’élever à 4% du chiffre d’affaires annuel mondial. Ce qui pour Facebook aurait pu représenter 1 milliard d’euros. Une somme qui aurait été plus dissuasive pour le groupe...

Concernant la combinaison de données dont font l'objet les utilisateurs de Facebook, la formation restreinte - le tribunal  de la Cnil – a dénoncé son «absence de base légale». «En effet, si les utilisateurs disposent de moyens pour maîtriser l'affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s'y opposer, que ce soit lors de la création de leur compte ou a posteriori. Ils sont donc dépourvus de tout contrôle sur cette combinaison», a jugé la Cnil. Le groupe américain a désormais quatre mois pour faire appel devant le Conseil d'Etat.

Défaut d'information

La formation restreinte a également estimé que la collecte massive de données effectuée via le cookie « datr », était «déloyale, en l'absence d'information claire et précise» . En cause: l’information des internautes. Lorsqu’ils sont non-inscrits sur Facebook, ils n'ont pas la possibilité «d'être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu'ils naviguent sur un site tiers comportant un module social» , pointe la Cnil. Facebook, en outre, ne délivre selon la Cnil aucune information immédiate aux internautes sur leurs droits et sur l'utilisation qui sera faite de leurs données notamment sur le formulaire d'inscription au service.

Il est aussi reproché au réseau social de ne pas recueillir le consentement exprès des internautes lorsqu'ils renseignent des données sensibles dans leurs profils, et en particulier leurs opinions politiques, leurs croyances religieuses ou leur orientation sexuelle. En renvoyant au paramétrage du navigateur, Facebook ne permet pas aux utilisateurs, juge la Cnil, de «s'opposer valablement» aux cookies déposés sur leur terminal. La Cnil reproche enfin à Facebook de ne pas démontrer en quoi la conservation de l'intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte est nécessaire. Encore une fois, la prochaine réglementation, prévue pour l’été 2018, mettra de l’ordre dans tout cela.

«Désaccord respectueux»

De son côté, un porte-parole de Facebook assure que «donner aux utilisateurs le contrôle sur la confidentialité de leurs données est au cœur de tout ce que nous faisons. Au cours des dernières années, nous avons simplifié nos politiques afin d'aider les personnes à comprendre comment nous utilisons les données chez Facebook. Nous avons mis en place des équipes dédiées à la protection de la confidentialité – incluant des ingénieurs et des designers – et des outils qui donnent le choix et le contrôle aux personnes.» 

Le réseau social assure, tout en euphémisme, « [qu'il] prend acte de la décision de la Cnil, avec laquelle nous sommes respectueusement en désaccord. Nous avons apprécié les opportunités que nous avons eues de dialoguer avec celle-ci et de souligner notre engagement en faveur de la confidentialité de nos utilisateurs.»

Il estime pour sa part, qu'il « respecte depuis longtemps la loi européenne sur la protection des données, depuis que nous avons choisi de nous établir en Irlande. Nous restons disponibles pour travailler avec la Cnil autour de ces questions, alors que nous nous préparons pour la nouvelle réglementation européenne sur la protection des données en 2018.» 

Suivez dans Mon Stratégies les thématiques associées.

Vous pouvez sélectionner un tag en cliquant sur le drapeau.