La CNIL sanctionne Facebook pour de multiples manquements sur la vie privée

Le gardien français des données personnelles pointe des combinaisons de données sans consentement, le suivi discret de la navigation web ainsi que la conservation sans limite des adresses IP liées à un compte. Elle inflige à l'entreprise son amende maximale (150 000 euros), alors que d'autres autorités travaillent en parallèle en Europe.

Le montant affectera peu Facebook, contrairement à l'annonce. La CNIL a prononcé une sanction de 150 000 euros à l'encontre du réseau social, soit le maximum que la commission peut aujourd'hui infliger. Une valeur qui changera dès l'année prochaine puisqu'il sera alors question de 20 millions d'euros ou 4% du CA mondial.

La raison de cette décision ? Six manquements à la loi Informatique et libertés. De la combinaison de données au dépôt de cookies sans consentement, les pratiques de l'entreprise sont passées au crible. L'enquête, menée par les autorités de la Belgique, de l'Espagne, de la France, des Pays-Bas et du Land d’Hambourg, suit la modification de la politique d'utilisation des données de Facebook en 2015. Après de nombreux échanges infructueux, la commission a donc décidé de sévir.

Un ciblage publicitaire sans base légale

Le premier reproche concerne la combinaison massive de données d'internautes pour le ciblage publicitaire, « en l'absence de base légale ». Les utilisateurs peuvent s'opposer à l'affichage des publicités ciblées, mais pas au traitement des données en toile de fond. 

« Aucun des documents mis à la disposition des utilisateurs [...] ne mentionne expressément la combinaison de données » reproche d'ailleurs la commission dans sa délibération. « Ils sont donc dépourvus de tout contrôle sur cette combinaison » écrit l'institution. « Facebook Ireland a insisté sur le fait que la gratuité du service était subordonnée à l’affichage de publicités personnalisées » note l'autorité dans sa délibération.

Le second problème est l'utilisation d'un cookie tiers (datr) pour suivre les internautes sur les sites tiers sans qu'ils ne le sachent. Quand les boutons sociaux traquent l'internaute, celui-ci n'en sait donc rien. Aucune information précise n'est fournie via le bandeau de cookies, ni de réglage simple, Facebook préférant renvoyer vers les paramètres du navigateur. Une mesure insuffisante pour un choix libre, tacle la commission française.

Des adresses IP conservées sans limite de durée

Le réseau social ne propose aucune information immédiate sur les droits et l'utilisation des données, notamment à l'inscription. Il ne fournit pas non plus d'indication du caractère sensible de certaines données (opinions politiques, religieuse et orientation sexuelle) quand les internautes les fournissent, alors que la page devrait au moins contenir une case à cocher.

Les membres devraient aussi être informés sur la nature des données exportées hors de l'Union européenne, sans qu'elles ne soient effectuées sur la base de l'accord Safe Harbor (depuis remplacé par le Privacy Shield) vers les États-Unis. L'entreprise était appelée à renforcer la robustesse des mots de passe... et à ne plus conserver indéfiniment toutes les adresses IP associées à un compte. Un comportement qu'elle n'a pas su justifier.

33 millions d'internautes français affectés

En janvier 2016, Facebook et Facebook Irlande ont été mis en demeure de se conformer sous trois mois. La période a été renouvelée en mai, jusqu'à août de la même année. Malgré plusieurs réunions, notamment en juillet 2016, « la société Facebook Inc. n’a pour sa part apporté aucune réponse à la mise en demeure ».

Face à ces « réponses insatisfaisantes », la formation restreinte a décidé le 23 mars d'appliquer la sanction maximale au groupe, au vu nombre de manquements et de personnes concernées (33 millions en France).

Le montant, de 150 000 euros aujourd'hui, aurait pu aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial si la mesure avait été prononcée après le 25 mai 2018. C'est à ce moment qu'entrera en vigueur le règlement européen sur la protection des données (RGPD), qui renforce notamment l'armement des autorités européennes.

D'autres suites prévues en Europe

Facebook est sur la sellette ailleurs dans l'Union pour ses pratiques. Il y a quelques jours, l'autorité italienne de la concurrence a prononcé une sanction de trois millions d'euros au groupe, pour avoir forcé les membres de WhatsApp à partager leurs données avec le réseau social. Une combinaison que l'entreprise disait impossible au rachat du service de messagerie en 2014, facilitant l'accord des autorités.

L'enquête européenne aura sûrement d'autres conséquences pour Facebook. Dans un communiqué commun (PDF), les cinq autorités concernées détaillent les changements. En Belgique, elle a envoyé le dossier devant le tribunal de première instance de Bruxelles, qui doit entendre les parties en octobre.

Aux Pays-Bas, elle vérifie les modifications apportées par Facebook, avant d'éventuellement décider d'une sanction. Dans le Land d'Hambourg en Allemagne, la justice a donné son blanc-seing aux autorités, qui ont demandé l'arrêt des combinaisons de données de WhatsApp. L'enquête est toujours en cours en Espagne.

Elles affirment que Facebook a nié la validité des lois nationales dans chaque pays. Toutes lui ont rétorqué qu'elles le sont bien. Un point sur lequel la CNIL elle-même a bien insisté dans sa délibération, balayant les arguments de Facebook sur le rôle limité de sa branche française. En réponse à la sanction de la CNIL, le réseau social réaffirme respecter le droit européen.