Sale temps pour facebook en France …
Publié le 15/02/2016 par Etienne Wery
Marc Zuckerberg ne passera probablement pas ses vacances sur la Côte d’Azur : il ne se passe plus une semaine sans qu’une mauvaise nouvelle lui parvienne de France. Après la Belgique, c’est à Paris que le réseau social va devoir affronter une nouvelle tempête judiciaire. Quand on connaît la criticité des données personnelles dans le modèle économique des réseaux sociaux, on mesure l’ampleur du problème.
Le précédent belge
Au printemps passé, Facebook modifiait ses conditions générales. Ce changement est très mal passé auprès des autorités, notamment la Commission belge pour la protection de la vie privée qui a poursuivi Facebook en justice.
Le 9 novembre 2015, la justice rendait son verdict : Facebook est condamné et doit payer 250.000 euros par jour si elle ne respecte pas la décision.
Plus précisément, Facebook doit cesser de tracer les internautes belges, sous peine d’astreintes de 250.000 euros par jour. C’est le traçage des internautes via le « J’aime » ou lorsqu’on visite une page Facebook, qui est visé, tout comme l’utilisation publicitaires des données ainsi récoltées.
Nous avons déjà commenté ce jugement et vous y renvoyons.
Que reproche-t-on à facebook ?
A la suite de l’annonce par FACEBOOK de la modification de sa politique de confidentialité, un groupe composé des cinq autorités de protection ayant décidé de mener des investigations (France, Belgique, Pays-Bas, Espagne et Land d’Hambourg) a été créé au sein du G29 (groupe des CNIL européennes) en mars 2015.
C’est dans ce contexte que la CNIL a effectué des contrôles sur place, sur pièces et en ligne pour vérifier la conformité du réseau social FACEBOOK à la loi Informatique et Libertés. Ces vérifications ont permis de relever ce que la CNIL qualifie de nombreux manquements à cette loi.
· La CNIL a constaté que le site FACEBOOK est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte FACEBOOK. En effet, le site dépose un cookie sur le terminal de chaque internaute qui visite une page FACEBOOK publique, sans l’en informer (pages d’un événement public ou d’un ami par exemple). Ce cookie permet alors au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton FACEBOOK (« J’aime » ou « Se connecter » par exemple).
· Il apparaît que le réseau social ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle. De même, aucune information n’est délivrée aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données sur le formulaire d’inscription au service
· Le site dépose sur l’ordinateur des internautes des cookies à finalité publicitaire, sans les en avoir au préalable correctement informés ni avoir recueilli leur consentement.
· Pour afficher de la publicité ciblée à ses membres, le site FACEBOOK procède à la combinaison de toutes les données personnelles qu’il détient sur eux (fournies par les internautes eux-mêmes, collectées par le site, par les autres sociétés du groupe ou transmises par des partenaires commerciaux). Toutefois, le site ne propose pas aux internautes de mécanisme leur permettant de s’opposer à la combinaison de l’ensemble de ces données à des fins publicitaires, ce qui méconnaît leurs droits et intérêts fondamentaux et porte atteinte au respect de leur vie privée.
À cela s’ajoute le fait que la justice européenne a invalidé par un arrêt du 6 octobre 2015 le système du Safe Harbor qui permet de transférer des flux de données personnelles vers les États-Unis. Depuis lors, un nouvel accord Data Shild a été conclu mais il reste à passer de l’accord politique à l’engagement juridique et à s’assurer que cette fois la justice validera le nouveau système mis en place. Or, selon la CNIL, facebook transfère les données personnelles de ses membres aux Etats-Unis sur la base du Safe harbor, ce qui n’est plus possible.
À l’exception de la question du Safe Harbor, ce sont les mêmes griefs qui ont été plaidés devant la justice belge avec le succès que l’on sait.
La mise en demeure publique de la CNIL
La Présidente de la CNIL a décidé de mettre en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND de se conformer à la loi dans un délai de 3 mois. Elle a aussi décidé de rendre la mise en demeure publique.
La CNIL rappelle dans son communiqué que « L’objet de cette mise en demeure n’est pas de se substituer au réseau social pour fixer les mesures concrètes à mettre en place, mais de le conduire à se mettre en conformité avec la loi, sans entraver son modèle économique ni sa capacité d’innovation.
Il a été décidé de rendre public cette mise en demeure notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées par le service FACEBOOK (plus de 30 millions d’utilisateurs en France).
La CNIL rappelle que cette mise en demeure n’est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si les sociétés se conforment à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.
Si les sociétés FACEBOOK INC. et FACEBOOK IRELAND ne se conforment pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction à l’égard des sociétés.
Les autorités de protection des données de Belgique, d’Allemagne (Land d’Hambourg), d’Espagne, et des Pays-Bas poursuivent leurs investigations, dans le cadre de leurs procédures nationales respectives et dans le cadre d’une coopération administrative internationale. »
Plus d’infos
En lisant la mise en demeure publique, disponible en annexe.