Facebook appelé à ne plus tracer les internautes européens non-inscrits

Facebook appelé à ne plus tracer les internautes européens non-inscrits

Ça sent le Facebook

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

07/12/2015 4 minutes
26

Facebook appelé à ne plus tracer les internautes européens non-inscrits

Après avoir été condamné par la justice belge à ne plus glaner les données personnelles des internautes non-inscrits sur son réseau social (sauf à obtenir préalablement leur consentement), Facebook est désormais prié d’appliquer cette décision au profit de l’ensemble des citoyens européens.

C’est un sérieux coup de semonce à l’encontre de l'entreprise américaine. Suite à la décision prise le 9 novembre dernier par le tribunal de première instance de Bruxelles, les autorités de protection des données personnelles française, néerlandaise, espagnole, belge et hambourgeoise ont enjoint aujourd’hui le célèbre réseau social à se conformer à ce jugement « sur tout le territoire de l’Union européenne ». Au nom du G29 (groupe des CNIL européennes), les cinq institutions ont adopté une déclaration commune imposant à Facebook de suivre cet arrêt et de cesser de ce fait :

  1. De déposer le cookie « datr » lorsque des internautes non membres de Facebook visitent la page du site facebook.com « sans les informer, au préalable et de manière suffisante et adéquate, quant à ce dépôt et à l’utilisation que fait le réseau social du cookie par le biais des plug-ins ».
  2. De collecter le cookie « datr » par le biais de plug-ins sociaux placés sur des sites Internet de tiers.

Une ingérence inacceptable dans la vie privée des internautes européens

La CNIL et ses homologues estiment que les pratiques de Facebook constituent une « ingérence dans la vie privée des internautes » qui « n’est pas acceptable ». L’institution française résume en ces termes la situation :

« Concrètement, Facebook dépose un cookie (« datr ») sur le terminal (ordinateur ou mobile) de tout internaute qui se rend sur une page du site facebook.com (pour visiter la page publique d’un événement, par exemple), et ce, même si cette personne n’a pas de compte (utilisateur passif).

Une fois ce cookie déposé, à chaque fois que l’internaute visite une page contenant un plug-in Facebook (un site d’actualités, par exemple), la société Facebook lit le cookie et est ainsi informée qu’il se trouve sur ce site. Facebook indique que ce cookie est utilisé pour assurer la sécurité de son service et de ses utilisateurs, mais il lui permet également de suivre la navigation, hors de son site, d’internautes n’ayant pas de comptes Facebook. »

Un accès à Facebook coupé aux non-inscrits en Belgique

La déclaration souligne que le célèbre réseau social est appelé à rentrer dans le rang quand bien même il a décidé de faire appel du jugement rendu en référé par le tribunal de première instance de Bruxelles. Pour mémoire, celui-ci est applicable à compter du lundi 14 décembre, sous peine d’une astreinte de 250 000 euros par jour. Facebook a toutefois pris les devants en coupant l’accès de son site à tous les internautes belges non-inscrits.

Une sorte de pied de nez qui a manifestement irrité la CNIL belge. « Ce n’est pas ce que nous avions demandé. Nous souhaitions que Facebook cesse de suivre les gens qui ne sont pas sur le réseau social. Point à la ligne. Cela semble être un jeu pour eux » a ainsi tonné la semaine dernière le numéro un de la Commission vie privée, Willem Debeuckelaere, dans les colonnes du Vif. L'entreprise américaine justifie de son côté sa position en affirmant que le cookie datr présente d'intéressantes garanties en termes de sécurité (voir ici).

Les cinq autorités de protection des données personnelles en profitent quoi qu'il en soit pour insister sur le fait que leur déclaration commune est publiée «  sans préjudice des investigations nationales en cours [notamment en France, ndlr] et des mesures qui pourraient en conséquence être imposées à Facebook ». Une façon de faire comprendre que de nouvelles sanctions pourraient prochainement tomber si l’entreprise américaine ne changeait pas de comportement ?

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une ingérence inacceptable dans la vie privée des internautes européens

Un accès à Facebook coupé aux non-inscrits en Belgique

Commentaires (26)


Il faut se relire avant de publier ! Il y a beaucoup de coquilles pour un article aussi court, e.g. si l’entreprise américaine ne changeait pas comportement.


Ce sont des clowns chez Facebook ! Prétendre que le cookie sert de protection contre les hackers, quel culot. Il suffirait donc d’effacer le cookie (chose beaucoup plus facile pour un bot que pour un utilisateur légitime, d’ailleurs), pour passer au travers de leurs protections ? Pfiou !

 


Facebook font les beaux, mais vous verrez qu’au 14 décembre ils se seront mis en conformité.


Moi je ne suis pas sur Facebook et aucun de mes modestes sites (14.000 mille visiteurs différencés par mois pour le plus gros) ne l’utilise. Mais 1 milliard (paraît-il) de gens l’utilisent. Cessez de l’utiliser et la bête crèvera. :) Sinon, à quoi sert de se plaindre dans les commentaires aussi bien que dans les articles  : d’ailleurs  en haut à droite de la page de NEXTINPACT, il y a bien un bouton Facebook (une URL en fait, pas de script semble-t-il, ce qui est bien).


Moi je n’ai pas le bouton Facebook en haut à droite de NXI ;-)

 



Ah mais parfait, perso je jouerai le jeu de Facebook en disant “Ok, vous coupez la visibilité aux non-inscrits, dans ce cas sur la page blanche/message d’erreur, obligation d’indiquer que l’accès est coupé pour des fins de vie privée car “Nous Facebook” utilisions des cookies pour vous traquer… sans votre consentement tout au long de votre navigation suite à la la consultation d’une de nos pages blablabla” <img data-src=" />








millcaj a écrit :



(…) Sinon, à quoi sert de se plaindre dans les commentaires aussi bien que dans les articles  : d’ailleurs  en haut à droite de la page de NEXTINPACT, il y a bien un bouton Facebook (une URL en fait, pas de script semble-t-il, ce qui est bien).







Pourquoi Next INpact a décidé de prendre en compte le signal Do Not Track

Il n’y a pas que la NSA qui vous surveille

Next Inpact - 27/11/2015





Next INpact v6 : un premier bilan sur les options utilisées par nos lecteurs - Next Inpact - 27/11/2014 :

« La gestion des trackers est une fonctionnalité très utilisée, mais rarement proposée







La seconde option la plus utilisée concerne les modules sociaux. En effet, depuis un peu plus d’un an nous avons fait le choix de permettre à nos lecteurs de retirer tous les trackers issus de Facebook, Google+ ou Twitter. Dans la v6, nous avons d’ailleurs retiré tous les boutons natifs (à l’exception du bloc auteur pour Twitter, mais cela va être changé) et nous n’utilisons les API des réseaux sociaux que pour une fonctionnalité où cela est obligatoire : le calcul du nombre de partages.



C’est donc d’abord cela que cette option désactive, mais aussi l’apparition de certains logos. Ceux-ci ne sont que des images, mais l’expérience nous a montré que certains sont allergiques à la présence de la moindre représentation de Facebook par exemple. Et le succès est au rendez-vous puisque vous êtes 23,3 % à les désactiver. Mais là encore, une large majorité ne change rien. »



Ça me donnerait presque envie de me désinscrire… Pour une fois que les choses se font vite et bien.


DE ce que j’ai compris, ca permet en réalité de différencier les robots des humains. Grâce au tracking, si tu as un comportement normal, Facebook te repère en tant qu’humain alors que si tu n’as pas le cookie ou si le tracking montre des comportements suspect… sécurité maximale ! Évidement çà c’est le coté gentil mignon tout plein des braves de chez Facebook.



Si finalement ca passe, je vais demander à pouvoir avoir la position de tous mes voisins et passants dans le quartier pour savoir si je peux simplement rabattre ma porte ou la verrouiller à double tour.


Ce serait pour moi un magnifique cadeau de noel !


Sauf que comme dit l’article, potentiellement les autres milliards de gens sont déjà connus de cette bête. En cherchant, on peut lire des articles à propos des comptes “fantômes” de Facebook et autres.



Il m’est arrivé de recevoir des mails de Facebook à cause d’inscrits qui me connaissaient et ont permis à Facebook d’avoir mon adresse. Vu qu’aujourd’hui le plus gros des mails requiert l’aide d’un navigateur pour l’affichage, il est probable que le cookie ait été renseigné et qu’il connaisse maintenant mon profil de navigation alors que je ne mets pas un pied sur leur site.



Et même en supposant que le milliard d’inscrits redécouvre la réalité des relations sociales et l’abandonne, le monstre ne mourra pas sans cracher tout ce qu’il a à d’autres sociétés.



Dans un sens, on peut dire qu’il est déjà trop tard.








CryoGen a écrit :



DE ce que j’ai compris, ca permet en réalité de différencier les robots des humains. Grâce au tracking, si tu as un comportement normal, Facebook te repère en tant qu’humain alors que si tu n’as pas le cookie ou si le tracking montre des comportements suspect… sécurité maximale ! Évidement çà c’est le coté gentil mignon tout plein des braves de chez Facebook.



Si finalement ca passe, je vais demander à pouvoir avoir la position de tous mes voisins et passants dans le quartier pour savoir si je peux simplement rabattre ma porte ou la verrouiller à double tour.







Je refuse systématiquement les cookies de FB, et pourtant je n’ai aucun soucis pour accéder à des pages publiques sur FB.



Donc au final, dans son explication, FB nous explique que les dangereux hackeurs chinois du FBI ne savent pas effacer un cookie…. Vraiment hyper crédible comme explication ^^









eliumnick a écrit :



Je refuse systématiquement les cookies de FB, et pourtant je n’ai aucun soucis pour accéder à des pages publiques sur FB.



Donc au final, dans son explication, FB nous explique que les dangereux hackeurs chinois du FBI ne savent pas effacer un cookie…. Vraiment hyper crédible comme explication ^^







C’est plus la présence du cookie qui importe. Et ce n’est pas pour la consultation mais pour lutter contre les faux comptes + spam. En gros si tu n’as pas ce cookie, ou si tu l’as mais que le tracking rapporte que tu n’as pas de vie sur le net -&gt; probabilité d’être un bot spammeur en hausse.









CryoGen a écrit :



C’est plus la présence du cookie qui importe. Et ce n’est pas pour la consultation mais pour lutter contre les faux comptes + spam. En gros si tu n’as pas ce cookie, ou si tu l’as mais que le tracking rapporte que tu n’as pas de vie sur le net -&gt; probabilité d’être un bot spammeur en hausse.







Justement! Je n’ai pas ce cookie, je le bloque, et pourtant, jamais eu le moindre problème (même truc genre captcha ou je sais pas quoi).



J’espère qu’au fond nous sommes d’accord tous les 2 pour convenir que leur argumentaire est totalement bidon et ne tient pas la route.





Facebook a toutefois pris les devants en coupant l’accès de son site à tous les internautes belges non-inscrits.





Ce chantage de cour de récré… Franchement, vu comment Facebook se moque des CNIL européennes, je rentrerai dans leur jeu : allez hop, 3 jour du coupure en Europe (inscrits ou pas) avec une page unique qui explique la raison, et menace de 10 jours s’ils n’obéissent pas ! Ras-le-bol de ces sociétés qui se croient au dessus du droit et râlent quand on leur demande de respecter les règles ! <img data-src=" />



Et ras-le-bol d’être tracké par ce site sans être inscrit… et sans y mettre les pieds ! Ils ont pourri le web avec leur script à la con qu’on retrouve partout (et Google aussi) <img data-src=" /><img data-src=" />



(et ne me parlez pas de uBlock, Ghostery et autres, c’est un remède qui ne soigne pas le mal)








eliumnick a écrit :



Je refuse systématiquement les cookies de FB, et pourtant je n’ai aucun soucis pour accéder à des pages publiques sur FB.



Donc au final, dans son explication, FB nous explique que les dangereux hackeurs chinois du FBI ne savent pas effacer un cookie…. Vraiment hyper crédible comme explication ^^





Le traçage ce n’est pas que les&nbsp; cookies ! Les boutons FB cachent des scripts capables de te profiler à partir de ton IP ou de l’ID de ton navigateur et vu qu’on les rencontres presque partout sur le web, ils te suivent à la trace.



Le seul moyen d’être vraiment tranquille c’est de bloquer les domaines de facebook et ses équivalents.



C’est sûr que l’amende maximum que peut infliger la CNIL va faire peur à Facebook (150 000 €).


C’est sur que pour une société qui brasse autant d’argent…150K, ils peuvent considérer ça comme de banals frais de fonctionnement. <img data-src=" />


Bonjour,



Je vous rappelle que FB a accès à tous les contacts d’un téléphone dès l’installation de son appli, ceci depuis le 27 janvier 2014. Pas étonnant donc qu’il puisse relancer des gens pour inscription ou corréler ça avec ses infos de tracking pour comptes fantômes.

Je vous rappelle aussi qu’un simple pouce sur une page, s’il s’affiche, renvoie directement un certain nombre de données à FB (dont la navig et le user agent + ip), même si vous n’êtes pas membre.



Dans l’autre sens, je vous rappelle aussi que AB+ permet de s’abonner à une liste “antisocial”, que ghostery peut arrêter le tracking non lié à un affichage de logo et que le fichier hosts satisfera les radicaux en plus.








Jarodd a écrit :



(et ne me parlez pas de uBlock, Ghostery et autres, c’est un remède qui ne soigne pas le mal)





Ben c’est tentant quand même. Parce que l’un, l’autre ou les 2; ou self destructed cookies en plus devrait te convenir.

Et&nbsp;

facebook.com 127.0.0.1

dans ton fichier hosts encore plus…



Merci pour l’info. Est-ce que je comprends bien disant que si sur mon pseudo blog je n’affiche pas le bouton social FB cela empêche la récolte de certaines informations par Facebook? Je suppose qu’il en va de même avec les boutons G+, Twitter…? Si c’est le cas, faudra que je songe à les virer si le simple fait de ne pas les afficher empêche bien cela <img data-src=" />








DotNerk a écrit :



Merci pour l’info. Est-ce que je comprends bien disant que si sur mon pseudo blog je n’affiche pas le bouton social FB cela empêche la récolte de certaines informations par Facebook? Je suppose qu’il en va de même avec les boutons G+, Twitter…? Si c’est le cas, faudra que je songe à les virer si le simple fait de ne pas les afficher empêche bien cela <img data-src=" />





Si tu ne les affiche pas, rien n’est récolté évidemment. Je parle des logos officiels que les sites te proposent en “embed”, c.a.d. en mettant le lien de FB ou autre vers le logo hébergé chez eux.

&nbsp;Si toi tu crées ton logo gif ou png machin que tu hébérges chez toi et que tu lies le visu au clic vers une page FB, ça ne devrait pas interagir (mais on est parfois surpris de la fourberie).

Parallèlement, tu peux refuser que FB précisément laisse un cookie sur ta machine en l’indiquant dans les préférences de ton navigateur (mais si toi tu vas sur FB, ça risque de te poser un pb), en tous cas sur Fx que je connais.&nbsp;



Quel est le pourcentage d’utilisateurs utilisant ces extensions ?

Bien peu AMHA, tous les autres continueront à se faire sucer les infos par Facebook sans le savoir.


Dans mon cas, il s’agit des icônes qu’on peut afficher ou non, depuis la partie d’administration de Wordpress. Je vais les retirer. Encore merci pour l’info <img data-src=" />








Jarodd a écrit :



Quel est le pourcentage d’utilisateurs utilisant ces extensions ?

Bien peu AMHA, tous les autres continueront à se faire sucer les infos par Facebook sans le savoir.





Oui, certainement, mais je n’ai fait que répondre à ta question. Et une très large frange s’en fout de se faire extirper ces infos. Pour s’en défaire, c’est une combinaison assez simple… AB+ ou uBlock et une liste “antisocial”, c’est une partie de cette réponse. Combien ? 164 000 000 à mes dernières nouvelles pour AB+, dont 20% en France, mais c’est vrai que beaucoup se contentent de la “Easylist” proposée par défaut.

Ghostery est plus ciblé scripts donc convient mieux encore.

Mais un firewall inversé où tu n’autorise que ce que tu veux en connexions sortantes ou toujours le fichier hosts sont radicaux dans leurs domaines.