La Cnil (Commission nationale de l’informatique et des libertés) met publiquement en demeure Facebook de se conformer à la loi Informatique et Libertés, dans un délai de trois mois à compter du 8 février. La mise en demeure s’adresse aux sociétés FACEBOOK INC. et FACEBOOK IRELAND.
Collecter loyalement les données
Facebook se voit intimé l’ordre de collecter loyalement les données de navigation des internautes ne disposant pas de comptes Facebook. La Cnil demande également que les membres du réseau social puissent s’opposer à « la combinaison de l’ensemble de leurs données à des fins publicitaires. » En France, Facebook compte 30 millions de membres.
La CNIL a constaté que le site Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte chez Facebook.
En effet, le site dépose un cookie sur le terminal de chaque internaute qui visite une page Facebook publique, sans l’en informer. C’est le cas des pages d’un événement public ou d’un ami par exemple. Ce cookie permet au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton Facebook de type « J’aime » ou « Se connecter » par exemple.
Orientation sexuelle
Il apparaît que le réseau social ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle. De même, aucune information n’est délivrée aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données sur le formulaire d’inscription au service.
La Cnil rappelle que Facebook dépose sur l’ordinateur des internautes des cookies à finalité publicitaire, et estime que le site ne les en pas au préalable correctement informés ni n’a recueilli leur consentement.
Pour afficher de la publicité ciblée à ses membres, Facebook procède ensuite à la combinaison de toutes les données personnelles qu’il détient sur eux (fournies par les internautes eux-mêmes, collectées par le site, par les autres sociétés du groupe ou transmises par des partenaires commerciaux).
Absence d’opposition
Mais la Cnil relève que Facebook ne propose pas aux internautes de mécanisme leur permettant de s’opposer à la combinaison de l’ensemble de ces données à des fins publicitaires, ce qui méconnaît leurs droits et leurs intérêts fondamentaux et porte atteinte au respect de leur vie privée.
Enfin, la Cnil souligne que Facebook transfère les données personnelles de ses membres français aux Etats-Unis sur la base du Safe harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015.
Facebook a encore du temps devant lui
Les sanctions devraient mettre du temps à tomber sur Facebook. La mise en demeure actuelle n’est pas une sanction. Si Facebook ne s’exécute pas dans les délais impartis, la Présidente de la Cnil rappelle qu’elle pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant de prononcer une sanction à l’égard de Facebook. Ce rapport sera proposé à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés.