Trois autorités de contrôle de protection des données ont encore condamné certaines pratiques de Facebook et sa politique en matière de cookies. France, Belgique, Pays-Bas en tir groupé ! Leur constat est unanime : Facebook enfreindrait toujours les lois nationales sur la protection des données. Selon Facebook, seule la loi irlandaise serait applicable et seul le DPA irlandais serait compétente pour délivrer une sanction. Cela n’a pas empêché la CNIL de prononcer une sanction et condamner Facebook à 150.000 euros d’amende.
Contexte
Au sein du Groupe de travail européen « Groupe 29 », un « Groupe de contact » a été créé après que Facebook ait annoncé en 2014 un changement dans sa politique de confidentialité. Ce groupe est composé des Commissions vie privée de la Belgique, France, des Pays-Bas, d’Espagne et de l’Allemagne. Chacune de ces autorités de contrôle a lancé une procédure indépendante en cours contre Facebook.
Selon Facebook, seule la législation irlandaise sur la protection des données serait applicable et l’autorité irlandaise serait compétente pour contrôler le traitement des données personnelles des utilisateurs du service en Europe. A l’inverse, les autorités du « Groupe de contact » considèrent, respectivement, que leur législation nationale de protection des données est applicable au traitement des données personnelles des utilisateurs et non-utilisateurs de Facebook dans leurs pays respectifs et que chaque autorité est compétente.
Ce 16 mai, la Belgique, la France et les Pays-Bas ont publié leurs résultats sur les pratiques de Facebook.
France : la CNIL condamne Facebook à 150.000 euros d’amende
La CNIL a « constaté que Facebook procédait à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire. Il a aussi été constaté que Facebook traçait à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie ».
Au regard des manquements constatés à la loi Informatique et Libertés affectant 33 millions d’utilisateurs en France, la CNIL a décidé de mettre en demeure Facebook de se conformer à cette loi. N’étant pas satisfaite des réponses qui lui ont été formulées, une procédure de sanction a donc été engagée.
La CNIL a considéré que Facebook collecte de données à des fins publicitaires en l’absence de base légale. En effet, « si les utilisateurs disposent de moyens pour maitriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer » note la CNIL.
Elle reproche aussi à Facebook la « collecte massive de données effectuée via le cookie « datr » en l’absence d’information claire et précise ». Bien que Facebook plaide en faveur d’un outil de sécurité, ce « cookie espion » est en réalité un outil servant à pister les internautes, que ceux-ci soient utilisateurs ou non-utilisateurs du réseau social. Cette collecte serait « déloyale » d’après la CNIL.
Facebook, en outre, ne recueille pas « le consentement exprès des internautes lorsqu’ils renseignent des données sensibles dans leurs profils (ex : leurs opinions politiques, religieuses ou leur orientation sexuelle) », et ne démontre pas « en quoi la conservation de l’intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte est nécessaire ». Par ailleurs, en renvoyant au paramétrage du navigateur, Facebook ne permet pas « aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal ».
En raison de ces manquements, une sanction de 150.000 € fut prononcée à l’égard du géant américaine qui dispose désormais 4 mois pour faire appel devant le Conseil d’État.
Belgique : Facebook n’a toujours pas mis fin aux violations en question
La CPVP a publié de nouvelles recommandations (03/2017) à Facebook concernant le traitement de données à caractère personnel via des cookies, des plug-ins sociaux et des pixels.
Elle considère que « Facebook n’obtient toujours pas de consentement valable des personnes concernées. Elle estime en outre que la collecte de données à caractère personnel par Facebook à l’aide de cookies et de modules sociaux est excessive dans plusieurs circonstances ».
Depuis août 2016, la CPVP constate également que Facebook fait une grande utilisation des « pixels » afin d’obtenir des informations sur le comportement de navigation d’utilisateurs et de non-utilisateurs. Le « pixel » est un « tracker » qui a pour objectif d’informer lorsqu’un internaute réalise une action spécifique (par ex. un achat, une inscription, un téléchargement) sur un site web.
La Commission belge considère par ailleurs que les exigences légales en matière de consentement, d’équité, de transparence et de proportionnalité ne sont pas respectées, notamment en raison des faiblesses de l’information que Facebook communique aux personnes concernées et de l’insuffisance des choix que Facebook offre aux personnes concernées.
Elle sollicite l’application judiciaire de ses recommandations dans la procédure judiciaire au fond pendante devant le tribunal de première instance de Bruxelles ; les plaidoiries devraient avoir lieu les 12 et 13 octobre prochain.
Pays-Bas : Facebook est aussi en infraction
Après une enquête sur le traitement des données personnelles de 9,6 millions d’utilisateurs de Facebook aux Pays-Bas, le College Bescherming Persoonsgegevens a conclu que Facebook enfreint la loi néerlandaise sur la protection des données.
La DPA néerlandaise a également constaté que « Facebook utilise des données personnelles sensibles des utilisateurs sans leur consentement explicite. Par exemple, les données relatives aux préférences sexuelles ont été utilisées pour montrer des publicités ciblées ». Facebook aurait à cet égard apporté des modifications pour mettre fin à l’utilisation de ce type de données.
La DPA néerlandaise évalue actuellement si les autres infractions ont cessé. Si ce n’est pas le cas, la DPA néerlandaise peut décider de délivrer une sanction.
Pour être complet, notons qu’en Allemagne, le « Der Bundesbeauftragte für den Datenschutz » a délivré deux injonctions à l’égard de Facebook et qu’en Espagne, la « Agencia de Protección de Datos » a ouvert deux procédures de sanction.
Cette condamnation de la CNIL est hautement symbolique car, soyons honnêtes, 150.000 euros n’arrêteront pas Facebook. Cependant, l’étau se resserre… Sans parler de l’entrée en vigueur du GDPR : après mai 2018, la CNIL et les autres autorités seront en mesure de prononcer des sanctions bien plus significatives : 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’un groupe. D’ici là, Facebook a encore quelques mois pour se conformer.