La Cnil, le gendarme français de la protection des données et de la vie privée, a condamné mardi Facebook à la plus haute sanction financière existante : 150 000 euros.

La Cnil a jugé déloyale la collecte massive de données réalisée par Facebook à des fins publicitaires, entre autres manquements.
La Cnil a jugé déloyale la collecte massive de données réalisée par Facebook à des fins publicitaires, entre autres manquements. © AFP / LIONEL BONAVENTURE

Pour la Commission nationale de l'informatique et des libertés (Cnil), c'est l'amende maximale. Pour Facebook, de l'argent de poche. Le réseau social a été condamné mardi à verser 150 000 euros, une somme qui sanctionne "de nombreux manquements à la Loi informatique et libertés" dans sa gestion des données des utilisateurs.

La Cnil justifie le niveau de sanction, le plus élevé possible, par " le nombre des manquements (6 au total), leur gravité et le nombre important d'utilisateurs en France (33 millions)".

Collecte déloyale et traçage des internautes à leur insue

Un an après avoir condamné Google, la Cnil reproche à Facebook de "procéder à la combinaison massive de données personnelles" de ses utilisateurs "à des fins de ciblage publicitaire". Mais ses utilisateurs ne sont pas les seuls concernés. Grâce à un cookie, Facebook "traçait, à leur insu, les internautes", qu'ils soient inscrits ou non sur le réseau social, "sur des sites tiers".

La Commission avait donné en janvier 2016 trois mois à Facebook Inc., la maison mère, et sa filiale européenne Facebook Ireland, pour se mettre en conformité avec la Loi informatique et libertés, un délai renouvelé une fois à la demande du groupe américain.

Pourtant, malgré des délais rallongés, la Cnil a jugé les réponses "insatisfaisantes" face "à un certain nombre de manquements de cette mise en demeure". Et lancé en novembre, sous la houlette d'Isabelle Falque-Pierrotin, présidente de la Commission, une procédure de sanction.

Vide juridique

Concernant la combinaison de données dont font l'objet les utilisateurs de Facebook, la formation restreinte de la Cnil a dénoncé son "absence de base légale".

La formation restreinte a également estimé que la collecte massive de données effectuée via le cookie "datr" était "déloyale, en l'absence d'information claire et précise". Les internautes non-inscrits sur Facebook n'ont pas la possibilité "d'être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu'ils naviguent sur un site tiers comportant un module social", pointe-t-elle.

Facebook, en outre, ne délivre, selon la Cnil, aucune information immédiate aux internautes sur leurs droits et sur l'utilisation qui sera faite de leurs données. Il est aussi reproché au réseau social de ne pas recueillir le consentement exprès des internautes lorsqu'ils renseignent des données sensibles dans leurs profil(opinions politiques, croyances religieuses, orientation sexuelle, etc.).

En renvoyant au paramétrage du navigateur, Facebook ne permet pas aux utilisateurs, juge la Cnil, de "s'opposer valablement" aux cookies déposés sur leur terminal. La Cnil reproche enfin à Facebook de ne pas démontrer en quoi la conservation de l'intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte est nécessaire.

Facebook fera-t-il appel ?

En réaction, l'AFP rapporte un commentaire du réseau social dans lequel celui-ci affirme prendre "acte de la décision de la Cnil" mais s'affirme également "respectueusement en désaccord" avec celle-ci. "Donner aux utilisateurs le contrôle sur la confidentialité de leurs données est au coeur de tout ce que nous faisons", a ajouté Facebook, assurant respecter "depuis longtemps la loi européenne sur la protection des données".

Facebook n'a cependant pas précisé s'il compte faire appel devant le Conseil d'État. Le géant du web a quatre mois pour y recourir..

Facebook est, depuis l'annonce de la révision de sa politique d'utilisation des données et des cookies, en novembre 2014, dans le collimateur d'un groupe de contact composé de la Cnil et de ses homologues de Belgique, d'Espagne, des Pays-Bas et du Land allemand de Hambourg. Ses membres ont entrepris des investigations nationales portant, entre autres, sur la qualité des informations fournies aux utilisateurs, la validité du consentement et le traitement des données personnelles à des fins publicitaires.

Autre mastodonte américain du net, Google avait été condamné par la Cnil en mars 2016 à 100.000 euros d'amende, pour n'avoir pas accepté de déréférencer des informations concernant des particuliers sur toutes les extensions de son moteur de recherche. Le groupe a fait appel et la procédure est toujours en cours.

Ce contenu n'est pas ouvert aux commentaires.