Six mois après la mise en demeure de Facebook, la CNIL nous confirme avoir reçu la réponse formelle du réseau social, épinglé sur le consentement des internautes et la combinaison de données.
Les pratiques de Facebook en matière de vie privée sont-elles maintenant conformes au droit français ? Telle est la question à laquelle devra bientôt répondre la CNIL, qui a reçu la réponse formelle de Facebook à sa mise en demeure, nous confirme-t-elle. C'était la dernière échéance pour le groupe américain, qui a déjà obtenu une extension de trois mois de la période pour se mettre en conformité, initiée le 9 février dernier.
Manque de consentement et combinaisons de données
La procédure, lancée l'an dernier par cinq CNIL européennes (Belgique, Espagne, France, Land allemand d'Hambourg et Pays-Bas) concernait ainsi un changement de la politique du réseau social sur la vie privée. Les enquêtes avaient ainsi débouché sur une mise en demeure en France, après une victoire en justice en première instance contre Facebook en Belgique. Les investigations espagnoles et néerlandaises sont toujours en cours.
La procédure concerne plusieurs points sur lequel le réseau social se passait d'un consentement suffisant de l'utilisateur (voir notre analyse). Il s'agit entre autres du ciblage publicitaire, de la collecte de données sensibles (religion, sexe...), l'envoi de données aux États-Unis ou encore l'installation de cookies. « Nous ne sommes pas contre le tracking, il faut simplement qu'il soit consenti et accepté » tient à rappeler la CNIL.
Sur ce sujet, l'usage d'un cookie « datr » qui enregistre l'activité web d'un internaute sans qu'il le sache, ni qu'il n'ait de compte chez Facebook, avait reçu un carton rouge de la part des cinq autorités européennes en décembre. Cela sans oublier l'usage du Safe Harbor pour transférer les données outre-Atlantique, un texte invalidé par la CJUE l'an dernier (car peu protecteur) et récemment remplacé par le Privacy Shield.
Pas de date pour le verdict de la CNIL
Hier, Facebook avait donc dû s'être mis en conformité avec le droit actuel, sur les points notés par la CNIL. Il n'est, par contre, pas dit si l'entreprise a anticipé les futures évolutions du droit européen en matière de données personnelles, encore en plein chantier. La coopération des autorités nationales, elle, préfigure bien de ce qu'amènera l'évolution du droit européen, qui permettra des enquêtes communes avec « un chef de file » désigné.
La lecture française de la réponse de Facebook risque de prendre du temps. « Il y a un nombre de manquements assez important, donc l'analyse de la réponse est conséquente à réaliser » nous explique la commission, qui ne s'avance pas sur une éventuelle date pour son verdict.
Bien entendu, l'issue de cette instruction ne sera pas officiellement connue avant sa conclusion. Si les évolutions éventuellement consenties par Facebook conviennent au gendarme des données personnelles, l'enquête sera clôturée publiquement. Mais si des soucis subsistent, le dossier pourra alors faire l'objet d'une procédure de sanction.
