Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La CNIL sanctionne Facebook pour de multiples manquements sur la vie privée

Une sanction symbolique
Internet 4 min
La CNIL sanctionne Facebook pour de multiples manquements sur la vie privée

Le gardien français des données personnelles pointe des combinaisons de données sans consentement, le suivi discret de la navigation web ainsi que la conservation sans limite des adresses IP liées à un compte. Elle inflige à l'entreprise son amende maximale (150 000 euros), alors que d'autres autorités travaillent en parallèle en Europe.

Le montant affectera peu Facebook, contrairement à l'annonce. La CNIL a prononcé une sanction de 150 000 euros à l'encontre du réseau social, soit le maximum que la commission peut aujourd'hui infliger. Une valeur qui changera dès l'année prochaine puisqu'il sera alors question de 20 millions d'euros ou 4% du CA mondial.

La raison de cette décision ? Six manquements à la loi Informatique et libertés. De la combinaison de données au dépôt de cookies sans consentement, les pratiques de l'entreprise sont passées au crible. L'enquête, menée par les autorités de la Belgique, de l'Espagne, de la France, des Pays-Bas et du Land d’Hambourg, suit la modification de la politique d'utilisation des données de Facebook en 2015. Après de nombreux échanges infructueux, la commission a donc décidé de sévir.

Un ciblage publicitaire sans base légale

 

Le premier reproche concerne la combinaison massive de données d'internautes pour le ciblage publicitaire, « en l'absence de base légale ». Les utilisateurs peuvent s'opposer à l'affichage des publicités ciblées, mais pas au traitement des données en toile de fond. 

« Aucun des documents mis à la disposition des utilisateurs [...] ne mentionne expressément la combinaison de données » reproche d'ailleurs la commission dans sa délibération. « Ils sont donc dépourvus de tout contrôle sur cette combinaison » écrit l'institution. « Facebook Ireland a insisté sur le fait que la gratuité du service était subordonnée à l’affichage de publicités personnalisées » note l'autorité dans sa délibération.

Le second problème est l'utilisation d'un cookie tiers (datr) pour suivre les internautes sur les sites tiers sans qu'ils ne le sachent. Quand les boutons sociaux traquent l'internaute, celui-ci n'en sait donc rien. Aucune information précise n'est fournie via le bandeau de cookies, ni de réglage simple, Facebook préférant renvoyer vers les paramètres du navigateur. Une mesure insuffisante pour un choix libre, tacle la commission française.

Des adresses IP conservées sans limite de durée

Le réseau social ne propose aucune information immédiate sur les droits et l'utilisation des données, notamment à l'inscription. Il ne fournit pas non plus d'indication du caractère sensible de certaines données (opinions politiques, religieuse et orientation sexuelle) quand les internautes les fournissent, alors que la page devrait au moins contenir une case à cocher.

Les membres devraient aussi être informés sur la nature des données exportées hors de l'Union européenne, sans qu'elles ne soient effectuées sur la base de l'accord Safe Harbor (depuis remplacé par le Privacy Shield) vers les États-Unis. L'entreprise était appelée à renforcer la robustesse des mots de passe... et à ne plus conserver indéfiniment toutes les adresses IP associées à un compte. Un comportement qu'elle n'a pas su justifier.

33 millions d'internautes français affectés

En janvier 2016, Facebook et Facebook Irlande ont été mis en demeure de se conformer sous trois mois. La période a été renouvelée en mai, jusqu'à août de la même année. Malgré plusieurs réunions, notamment en juillet 2016, « la société Facebook Inc. n’a pour sa part apporté aucune réponse à la mise en demeure ».

Face à ces « réponses insatisfaisantes », la formation restreinte a décidé le 23 mars d'appliquer la sanction maximale au groupe, au vu nombre de manquements et de personnes concernées (33 millions en France).

Le montant, de 150 000 euros aujourd'hui, aurait pu aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial si la mesure avait été prononcée après le 25 mai 2018. C'est à ce moment qu'entrera en vigueur le règlement européen sur la protection des données (RGPD), qui renforce notamment l'armement des autorités européennes.

D'autres suites prévues en Europe

Facebook est sur la sellette ailleurs dans l'Union pour ses pratiques. Il y a quelques jours, l'autorité italienne de la concurrence a prononcé une sanction de trois millions d'euros au groupe, pour avoir forcé les membres de WhatsApp à partager leurs données avec le réseau social. Une combinaison que l'entreprise disait impossible au rachat du service de messagerie en 2014, facilitant l'accord des autorités.

L'enquête européenne aura sûrement d'autres conséquences pour Facebook. Dans un communiqué commun (PDF), les cinq autorités concernées détaillent les changements. En Belgique, elle a envoyé le dossier devant le tribunal de première instance de Bruxelles, qui doit entendre les parties en octobre.

Aux Pays-Bas, elle vérifie les modifications apportées par Facebook, avant d'éventuellement décider d'une sanction. Dans le Land d'Hambourg en Allemagne, la justice a donné son blanc-seing aux autorités, qui ont demandé l'arrêt des combinaisons de données de WhatsApp. L'enquête est toujours en cours en Espagne.

Elles affirment que Facebook a nié la validité des lois nationales dans chaque pays. Toutes lui ont rétorqué qu'elles le sont bien. Un point sur lequel la CNIL elle-même a bien insisté dans sa délibération, balayant les arguments de Facebook sur le rôle limité de sa branche française. En réponse à la sanction de la CNIL, le réseau social réaffirme respecter le droit européen.

35 commentaires
Avatar de Vorphalax Abonné
Avatar de VorphalaxVorphalax- 16/05/17 à 11:39:01

Je note ce passage croustillant ", pour avoir forcé les  membres de WhatsApp à partager leurs données avec le réseau social. Une combinaison que l'entreprise disait impossible au rachat du service de messagerie en 2014".

C'est bien dès le rachat par FB que j'ai desinstallé whatsapp. Alors oui FB jurait qu'il ne croiserait pas les données et oui je jouais les Cassandre en me disant qu'il le ferait un jour ou l'autre. Et vu le prix du rachat de Whatsapp c'etait tout vu.

 Pour le reste 150 000 euros d'amende c'est ridicule. Et une condamnation pour le fait de traquer les utilisateurs n'ayant pas FB ? et les shadow profiles ?

Édité par David_L le 16/05/2017 à 11:54
Avatar de Dedrak Abonné
Avatar de DedrakDedrak- 16/05/17 à 11:50:36

La surveillance des utilisateurs n'ayant pas FB est citée ici je pense :
"Le second problème est l'utilisation d'un cookie tiers (datr) pour suivre les internautes sur les sites tiers sans qu'ils ne le sachent. Quand les boutons sociaux traquent l'internaute, celui-ci n'en sait donc rien. Aucune information précise n'est fournie via le bandeau de cookies, ni de réglage simple, Facebook préférant renvoyer vers les paramètres du navigateur. Une mesure insuffisante pour un choix libre, tacle la commission française."

La CNIL ne peut pas donner d'amende significative, c'est un problème récurrent. Mais si l'an prochain la situation est la même je pense qu'ils vont devoir payer les 4% du CA.

Avatar de DjabberZ INpactien
Avatar de DjabberZDjabberZ- 16/05/17 à 11:52:03

De toute façon Facebook est devenu le lobby du divertissement ... Ils sont intouchables maintenant et quand bien même ils brassent tellement que ce que la justice peut leur infliger est une pacotille ...

Bienvenue dans l'air "réseaux sociaux et télé-réalités" ... jamais internet n'aura fait brassé autant de fric ...

Avatar de dmann INpactien
Avatar de dmanndmann- 16/05/17 à 11:54:02

150 000 euros pour une boite qui pèse plus de 300 milliards  :reflechis:

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 16/05/17 à 11:54:17
  1. La valorisation d'une entreprise web dépend de sa capacité à générer des revenus pubs.

    1. Les annonceurs accordent une plus grande valeurs au ciblage publicitaire.

    Faut donc pas s'étonner si les entreprises web collecte des informations sur les visiteurs.

Avatar de David_L Équipe
Avatar de David_LDavid_L- 16/05/17 à 11:55:07

Gaffe à la mise en page des commentaires, sauter de ligne tous les 6 mots, ça rend le truc insupportable à lire :)

Avatar de FunnyD INpactien
Avatar de FunnyDFunnyD- 16/05/17 à 11:56:43

Oo un bug d'affichage ? Su mon poste, il n'y a pas de sauts de ligne superflu

dmann a écrit :

150 000 euros pour une boite qui pèse plus de 300 milliards  :reflechis:

Et c'est pour ça que la loi va changer

Avatar de bloossom INpactien
Avatar de bloossombloossom- 16/05/17 à 12:09:01

la CNIL a utilisé sa capacité à mettre des amendes au maximum. Elle a fait ce qu'elle pouvait.

Elle considère donc que les manquements de facebook sont très graves.
bien sûr, il est hasardeux de dire que FB aurait été sanctionné à hauteur de 20m ou de 4% de leur chiffre d'affaire si le règlement était déjà en vigueur.

Par contre, il semble que de nombreuses autorités de protection des données de l'UE soient sur le coup, ce qui peut multiplier l'amende totale, la législation étant harmonisée.

Il faut aussi prendre en compte le potentiel dégât à l'image de marque de FB. C'est difficile à quantifier, mais ça a souvent un impact non négligeable.

Avatar de bloossom INpactien
Avatar de bloossombloossom- 16/05/17 à 12:12:39

S'étonner du principe non.

Par contre il est tout à fait légitime de s'étonner qu'une si grosse boite, aussi portée sur les bénéfices soit elle, viole les règles posées par le législateur afin d'encadrer la collecte et l'utilisation des données personnelles.

Il est encore plus légitime d'apprécier l'attitude des autorités de protection des données qui ne baissent pas les bras parce que ça "rapporte".

Avatar de jhenno INpactien
Avatar de jhennojhenno- 16/05/17 à 12:22:01

"une sanction de 150 000 euros à l'encontre du réseau social, soit le maximum que la commission peut aujourd'hui infliger"

Petite rectification : la loi République numérique du 7 octobre 2016 a porté le montant maximum de la sanction CNIL à 3 millions d'euros (article 47 de la loi Informatique et Libertés modifiée). 

En l'espèce, la procédure avait été engagée en janvier 2016, c'est donc le droit en vigueur à l'époque qui s'applique (sanction max de 150 000 euros).

Voilà c'est tout pour moi.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4
  • Introduction
  • Un ciblage publicitaire sans base légale
  • Des adresses IP conservées sans limite de durée
  • 33 millions d'internautes français affectés
  • D'autres suites prévues en Europe
S'abonner à partir de 3,75 €