La CNIL a décidé de prononcer une sanction de 150.000 € rendue publique à l’encontre des sociétés FACEBOOK INC et FACEBOOK IRELAND.
Selon l’autorité, le montant et la publicité de cette sanction se justifient par le nombre des manquements (6 au total), leur gravité et le nombre important d’utilisateurs en France (33 millions).
Suite à la modification de la politique d’utilisation des données de Facebook en 2015, la CNIL en coopération avec d’autres autorités européennes (France, Belgique, Pays-Bas, Espagne, Land d’Hambourg) a décidé d’effectuer des contrôles sur place, sur pièces et en ligne.
1.La Cnil a notamment relevé les manquements suivants:
- Combinaison massives de données personnelles à des fins de ciblages publicitaires: les internautes peuvent s’opposer au ciblage publicitaire mais ne peuvent ni consentir ni s’opposer a posteriori à la combinaison massive de leur données.
- Traçage à l’insu des internautes (avec ou sans compte) sur des sites tiers via un cookie (“datr”) : l’information sur le bandeau cookies ne permet pas de comprendre que les données sont systématiquement collectées dès lors que les utilisaeurs naviguent sur un site tiers comportant un module social.
La Cnil avait mis en demeure Facebook Ireland et Facebook France de se mettre en conformité avec la loi informatique et libertés. Et au vu des réponses qu’elle considère insatisfaisantes, la CNIL a décidé de sanctionner Facebook d’une amende administrative de 150 000 euros soit le montant maximum des sanctions prévue par la loi au moment des faits (aujourd’hui le montant maximum est de 3 millions d’euros et sera de 4% du CA mondial à partir de mai 2017).
2.Autres manquements relevés
La Cnil a également relevé les manquements suivants:
- aucune information immédiate aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données notamment sur le formulaire d’inscription au service.
- pas de consentement exprès des internautes lorsqu’ils renseignent des données sensibles dans leurs profils (ex : leurs opinions politiques, religieuses ou leur orientation sexuelle).
- En renvoyant au paramétrage du navigateur, les sociétés ne permettent pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.
- Les sociétés ne démontrent pas en quoi la conservation de l’intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte est nécessaire.
Les autres autorités européennes devraient également sanctionner Facebook sur la base de constats similaires.
Pour plus de détails : Décision de la Cnil
Cette publication est également disponible en en_GB.