Décidément cette semaine ne se montre pas très favorable à Facebook, avec de nouvelles erreurs de mesure des campagnes admises par le réseau social (lire ici et ici), le constat que ses initiatives contre les fake news ne suffisent pas (voir ici) et surtout avec la sanction de 150 000 euros que le réseau social a reçue de la CNIL pour « de nombreux manquements à la loi informatique et libertés ».
Ces manquements sont cités par la CNIL dans un communiqué publié hier. Nous en reproduisons ici deux parmi les six décrits par l’autorité française :
– la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire ;
– le traçage à leur insu des internautes, avec ou sans compte, sur des sites tiers via un cookie.
Concernant le premier point, sur la combinaison de données, la CNIL argumente que Facebook le fait sans s’appuyer sur une base légale : « si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori. Ils sont donc dépourvus de tout contrôle sur cette combinaison », indique l’autorité française dans un communiqué.
Concernant le traçage des utilisateurs de Facebook sur des sites tiers, « l’information dispensée via le bandeau d’information relatif aux cookies est imprécise », informe la CNIL, ce qui « ne permet pas aux internautes d’être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social ».
D’autres manquements sont cités, comme le fait que Facebook ne délivre « aucune information immédiate aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données notamment sur le formulaire d’inscription au service » ou que le réseau social n’obtient pas « le consentement exprès des internautes lorsqu’ils renseignent des données sensibles dans leurs profils » (pour les connaître tous cliquez ici ou ici).
Dans une déclaration publiée par le journal Le Monde, un représentant de Facebook nom nommé affirme que l’entreprise a pris acte de la décision de la CNIL avec laquelle Facebook n’est pas d’accord. L’entreprise déclare qu’elle « respecte depuis longtemps la loi européenne sur la protection des données », sans faire allusion à la loi française (lire ici les déclarations de Facebook sur lemonde.fr).
Perspectives
Cette décision de la CNIL a une très grande portée, à deux titres : d’abord parce qu’elle concerne la plus grosse machine mondiale de la publicité digitale avec Google ; mais aussi parce que Facebook est loin d’être le seul à pratiquer la combinaison de données à des fins de ciblage publicitaire et le suivi sur des sites tiers et on peut s’interroger sur si tous les autres acteurs de la publicité le pratiquant seraient redevables ou au contraire conformes aux exigences de la loi d’après la CNIL – par exemple en affichant une information claire et précise aux utilisateurs sur ce qu’ils font de leurs données.
Ces manquements ont été constatés par la CNIL lors de contrôlés réalisés à partir de 2015 suite à la modification par Facebook de sa politique d’utilisation des données. Suite à sa mise en demeure en janvier 2016, Facebook avait répondu et argumenté (lire ici), mais ses réponses n’ont pas suffit. La CNIL informe que ces contrôles rentrent dans un cadre plus large d’une démarche européenne à laquelle participent cinq autres autorités de protection des utilisateurs en ligne, celles de Belgique, de l’Espagne, de la région d’Hambourg en Allemagne et des Pays-Bas. Facebook disposerait de quatre mois pour faire appel.
Luciana Uchôa-Lefebvre
(Images: Shutterstock.)