C’est un feu nourri que vient d’essuyer Facebook. Après une série de contrôles effectuée au printemps 2015 au sein des locaux de Facebook, la CNIL publie à long réquisitoire à charge contre la firme, relevant de graves et nombreux manquements.
La liste des reproches évoque aussi bien la collecte et le traitement des données à des fins publicitaires que le traçage des utilisateurs non-inscrits sur la plateforme.
La CNIL justifie la publicité qui est faite de ce réquisitoire au regard de la gravité des manquements constatés et en raison du nombre de personnes touchées : 30 millions d’utilisateurs sont inscrits en France.
— Tracage des internautes inscrits ET non-inscrits
La CNIL relève que Facebook « est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte » et ce, grâce à l’utilisation de cookies, « datr » en l’occurrence. En effet, lorsqu’un internaute se rend sur les pages publiques de Facebook (événements par exemple) ou la page d’un ami, Facebook le détecte et le “suit” lorsqu’il poursuit sa navigation.
Ces petits fichiers installés par un site sur le disque dur d’un internaute recueillent ses données de navigation, c’est-à-dire son activité en ligne (les sites visités, etc.) et certains paramètres (comme les mots de passe ou un panier d’achats), et ce, afin de faciliter sa navigation.
Cette pratique est facilitée dès lors qu’un plug-in Facebook est présent sur un site « J’aime » ou « se connecter ». Une pratique déjà dénoncée par la CNIL Belge et à laquelle Facebook rechigne à renoncer.
La Commission constate que le site dépose ces cookies « à finalité publicitaire » sur l’ordinateur des internautes sans information préalable, ni obtention de leur consentement.
— Collecte et traitement des données sensibles
Le régulateur pointe le fait que le réseau social ne recueille pas le consentement des internautes pour la collecte de certaines données personnelles sensibles comme leurs opinions politiques, religieuses ou leur orientation sexuelle.
Certains justificatifs d’identité, tels qu’un dossier médical, sont parfois demandés aux utilisateurs pour confirmer leur identité. Une demande jugée excessive, peu pertinente et pouvant porter atteinte à la leur vie privée.
« De même, aucune information n’est délivrée aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données sur le formulaire d’inscription au service », dénonce la CNIL.
— Charge contre la publicité ciblée
Facebook procède à la combinaison de toutes les données personnelles des internautes – « fournies par les internautes eux-mêmes, collectées par le site, par les autres sociétés du groupe ou transmises par des partenaires commerciaux » – sans aucune base légale puisque le réseau social ne propose aucun mécanisme permettant de s’y opposer, « ce qui méconnaît leurs droits et intérêts fondamentaux et porte atteinte au respect de leur vie privée », souligne la CNIL.
— Utilisation obsolète du Safe Harbor
La CNIL a remarqué que Facebook se basait encore sur le Safe harbor pour le transfert des données personnelles des utilisateurs aux États-Unis, alors même qu’il a été invalidé par la CJUE le 6 octobre dernier.
Son remplaçant, le Privacy Shield, adopté la semaine dernière par les États-Unis et la Commission européenne, suscite déjà la méfiance des régulateurs européens regroupés au sein du G29. La CNIL doit se prononcer sur l’accord dans les prochains jours, mais sa présidente, Isabelle Falque-Perrotin, avait déjà rappelé qu’« aujourd’hui, l’usage du Safe Harbor est illégal ».
Au chapitre des autres manquements constatés et dénoncés dans le réquisitoire figurent également l’obligation d’assurer la sécurité des données.
Sécurité non effective puisqu’un mot de passe de « plus de 6 caractères » ou ne comportant que 2 règles de complexité n’assure pas une sécurité et confidentialité des données suffisante. D’autant que le site accepte un mot de passe tel que « 1234567a ».
Au regard de tous ces manquements, la présidente de la CNIL met donc en demeure Facebook et la société qui la représente en Europe, Facebook Ireland, de se conformer à la loi Informatique et Libertés sous trois mois.
Au-delà de ce délai, la CNIL se réserve le droit d’entamer une procédure de sanction.
Si les pouvoirs de sanction de la CNIL prêtaient à sourire jusqu’ici, faisant dire à la secrétaire d’État au Numérique Axelle Lemaire que la CNIL c’est « cacahuète » face aux géants du web, ils devraient être revu à la hausse dans le cadre de la loi « Pour une République Numérique », et pas qu’un peu : jusqu’à 20 millions d’euros en cas de récidive ou 4% du chiffre d’affaires, contre 300 000 euros aujourd’hui.
Cacahuète pour Facebook…
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Ah bah c’est pas trop tôt!
Ils en mettent du temps pour se réveiller la CNIL… ^^
Se réveiller c’st bien, mais ils vont mettre encore plus longtemps avant d’agir. D’ailleurs que peuvent-ils faire ?