La Commission nationale de l'informatique et des libertés (Cnil), organisme chargé de veiller au respect de la vie privée, a annoncé le 16 mai avoir condamné Facebook à 150 000 euros d'amende, le montant maximal prévu. Selon la Cnil, la gestion des données des utilisateurs de Facebook par le groupe éponyme est en effet entachée par «de nombreux manquements à la Loi informatique et libertés».
«Il a notamment été constaté que Facebook procédait à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire», a déclaré la Cnil, précisant que «Facebook traçait [ou pistait] à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie [ou témoin de connexion]».
Concernant la combinaison de données dont font l'objet les utilisateurs de Facebook, la formation restreinte – le «tribunal» de la Cnil – a dénoncé une absence de base légale.
«En effet, si les utilisateurs disposent de moyens pour maîtriser l'affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s'y opposer, que ce soit lors de la création de leur compte ou a posteriori. Ils sont donc dépourvus de tout contrôle sur cette combinaison», a expliqué la Cnil.
Dans un message transmis au journal Le Monde le 16 mai, un porte-parole de Facebook a répondu que l’entreprise avait pris «acte de la décision de la Cnil» tout en indiquant être «respectueusement en désaccord».
«Chez Facebook, donner aux utilisateurs le contrôle sur la confidentialité de leurs données est au cœur de tout ce que nous faisons. […] Nous restons disponibles pour travailler avec la Cnil autour de ces questions, alors que nous nous préparons pour la nouvelle réglementation européenne sur la protection des données en 2018», a-t-il ajouté.
La sanction pécuniaire de 150 000 euros prononcée à l'encontre de Facebook est la plus élevée possible. Le groupe américain a désormais quatre mois pour faire appel devant le Conseil d'Etat.
La Cnil a dressé un véritable réquisitoire à l'encontre de Facebook
La formation restreinte de la Cnil a également estimé que la collecte massive de données effectuée par Facebook via le cookie «datr» était «déloyale, en l'absence d'information claire et précise».
Selon la Cnil, les internautes non-inscrits sur Facebook n'ont pas la possibilité «d'être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu'ils naviguent sur un site tiers comportant un module social».
Facebook, en outre, ne délivre d'après la Cnil aucune information immédiate aux internautes sur leurs droits et sur l'utilisation qui sera faite de leurs données notamment sur le formulaire d’inscription au service.
Il est aussi reproché au réseau social de ne pas recueillir le consentement exprès des internautes lorsqu'ils renseignent des données sensibles dans leurs profils, et en particulier leurs opinions politiques, leurs croyances religieuses ou leur orientation sexuelle.
La Cnil reproche enfin à Facebook de ne pas démontrer en quoi la conservation de l'intégralité des adresses internet ou «IP» des internautes pendant toute la durée de vie de leur compte est nécessaire.