Commission nationale de l’informatique et des libertés a mis en demeure Facebook, accusé de nombreux manquements à la loi « informatique et libertés », qui concernent 30 millions de Français.
Facebook a trois mois pour se conformer à la loi française. Dans un rapport publié lundi 8 février au soir, la CNIL (Commission nationale de l’informatique et des libertés) a mis en demeure la multinationale, accusée de nombreux manquements à la loi du 6 janvier 1978 dite « informatique et libertés » en matière de récolte de données personnelles en ligne.
{"type":"Pave-Haut2-Desktop"}
« Il a été décidé de rendre public cette mise en demeure notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées par le service Facebook (plus de 30 millions d’utilisateurs en France) », continue le communiqué.
La CNIL détaille six problèmes de taille.
1. Facebook traque les internautes qui n’ont pas de comptes Facebook
C’est une des informations les plus étonnantes. Si un internaute consulte une page publique sur Facebook (par exemple celle des Inrockuptibles), la firme pourra ensuite traquer (grâce à un cookie) tous ses déplacement sur n’importe quel autre site qui comportent un bouton Facebook (un « like », un « partager », un « se connecter »). Et ce, même si l’internaute n’est pas connecté au réseau social ou n’a jamais eu de compte.
2. Facebook collecte les données des internautes « sans leur consentement exprès »
Lorsqu’un utilisateur remplit sa « biographie » sur Facebook, le réseau social ne lui précise pas explicitement que les informations qu’il ou elle donne sont gardées et utilisées. « Il apparaît que le réseau social ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle », affirme la Cnil. La commission préconise la mise en place d’une « case à cocher » pour « recueillir le consentement de la personne« .
3. Des publicités « ciblées » impossibles à éviter
Sur Google, il est possible de désactiver l’affichage de publicité « ciblées » en fonction de ses « intérêts ». Sur Facebook en revanche, la CNIL note que « le site ne propose pas aux internautes de mécanisme leur permettant de s’opposer à la combinaison de l’ensemble [des données personnelles] à des fins publicitaires, ce qui méconnaît leurs droits et intérêts fondamentaux et porte atteinte au respect de leur vie privée. »
En d’autres termes, Facebook, à l’image de Google, collecte énormément de données sur ses utilisateurs. Parmi ces données, il y a les informations remplies dans la petite « biographie » que chacun peut compléter, mais aussi le comportement de ses utilisateurs une fois connectés au site.
En 2013, le site DylanDoes avait relevé quelques unes de ces données récoltées : les articles que vous commentez, les vidéos regardées, les pages que vous « aimez » mais aussi les commentaires que vous « likez » parfois un peu mécaniquement, les contacts que vous avez retirés de votre liste d’amis, le temps passé sur le réseau social, le taux de rebond (si vous cliquez sur une autre page à l’intérieur de Facebook ou fermez le site après avoir consulté la home), etc.
Dans les conditions d’utilisations, Facebook précise à ses membres que leurs données pourront être collectées à des fins publicitaires. Toutefois, la Cnil considère que cette précision est insuffisante, comme le souligne le Monde.fr, et que le site devrait explicitement demander, à part, l’approbation des internautes.
4. Facebook peut demander le dossier médical d’un utilisateur
Avec sa politique « anti-pseudo », qui pousse les internautes à s’inscrire sous leur vrai nom, il arrive que le réseau social demande à certains utilisateurs d’envoyer des justificatifs d’identité pour prouver qu’il s’agit bien de leur vrai nom. Un « dossier médical » peut ainsi être demandé, ce que la CNIL considère n’être pas « pertinent » :
« Un tel document comporte de nombreuses données pouvant porter atteinte à la vie privée des personnes concernées et de nombreux autres documents pourraient permettre aux inscrits de justifier de leur identité », écrit le rapport de la Cnil.
5. Facebook ne donne pas assez de précisions sur le transfert des données à caractère personnel « aux Etats-Unis »
Dans les Politiques d’utilisation de Facebook, il est inscrit que « les informations recueillies au sein de l’Espace Economique Européen (EEE) peuvent être transmises à d’autres pays en dehors de l’EEE » et notamment aux Etats-Unis. Mais selon la Cnil, les internautes ne sont pas informés de la nature des données qui sont transférées, ni de la destination finale du transfert, ni du « niveau de protection offert par les pays destinataires ». La personne morale « responsable » (ici, Facebook), encoure une peine d’amende pouvant aller jusqu’à 7500€ par utilisateur concerné (soit, pour la France, 30 millions d’internautes).
De plus, le transfert des données vers les Etats-Unis s’appuie sur un accord appelé « Safe Harbor », qui a été invalidé par une décision de la Cour de Justice de l’Union européenne (CJUE) en octobre 2015, car les Etats-Unis ne protègeraient pas assez bien ces données. Aussi, la Commission demande à Facebook de ne plus se fonder sur le Safe Harbor pour les transférer.
6. Facebook conserve les données personnelles trop longtemps
Sur le réseau social, il est possible de télécharger une « copie » de toutes les données archivées d’une page ou d’un compte Facebook, sur plusieurs années. Or, la Cnil établit qu’il « n’apparait pas proportionné de les conserver pendant une durée supérieure à 6 mois ». Si une personne morale conserve des données sur une période plus longue, « en application des articles 226-20 et 226-24 du code pénal », elle risque une amende qui peut aller jusqu’à 1,5 million d’euros.
{"type":"Banniere-Basse"}
