150 000 euros. C'est le montant de l'amende infligée par la Cnil à Facebook pour une série de manquements à la loi affectant 33 millions d'utilisateurs en France. Dérisoire au regard de l'argent gagné par le réseau social. Mais tout cela va bientôt changer.

C’est une condamnation financièrement dérisoire par rapport au chiffre d’affaires que Facebook engrange chaque année en France mais hautement symbolique sur le plan des principes. Mardi 16 mai, la commission nationale de l’informatique et des libertés (Cnil) a annoncé une sanction contre Facebook « pour de nombreux manquements à la loi Informatique et Libertés ».

En conséquence de quoi, le réseau social devra régler une amende de 150 000 euros pour avoir « [procédé] à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire » et pour avoir « [tracé] à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie (cookie datr) », écrit l’autorité chargée de veiller à la protection des données personnelles.

Facebook
CC Marcin Wichary

La Cnil écrit au sujet de la combinaison de données dont font l’objet les membres de Facebook qu’elle se fait « en l’absence de base légale ». Les internautes ne bénéficient d’aucun moyen pour refuser cette « combinaison massive de leurs données », poursuit l’autorité, et « ils sont dépourvus de tout contrôle », que ce soit au moment de la création du compte ou dans les paramètres du site.

Quant au cookie datr, il effectue une « collecte massive de données » dont la Cnil dit d’elle qu’elle est «  déloyale en l’absence d’information claire et précise ». La mention actuelle « ne fait qu’indiquer que des informations sont collectées sur et en dehors de Facebook via les cookies », sans dire exactement quelles sont les données qui sont systématiquement collectées en dehors de Facebook.

Des internautes mal informés sur la collecte et l’usage de certaines données

La Cnil tacle donc Facebook : « l’information dispensée via le bandeau d’information relatif aux cookies est imprécise ». L’affichage « ne permet pas aux internautes d’être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social ». Et ça ne s’arrête pas là.

La délibération de la Cnil pointe également quatre autres manquements :

  • l’absence d’une information immédiate aux internautes sur leurs droits et l’utilisation qui sera faite de leurs données notamment sur le formulaire d’inscription au service ;
  • l’absence du recueil du consentement exprès des internautes lorsqu’ils renseignent des données sensibles dans leurs profils (ex : leurs opinions politiques, religieuses ou leur orientation sexuelle), avec une information spécifique ;
  • le refus de prendre ses responsabilités, en renvoyant au paramétrage du navigateur les internautes qui veulent s’opposer aux cookies déposés sur leur équipement terminal ;
  • l’absence d’une démonstration sur la nécessité de conserver l’intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte.

D’aucuns regretteront que l’amende de la Cnil reste insignifiante pour effrayer Facebook, qui brasse chaque année des milliards de dollars. Qu’ils se rassurent : les choses vont bientôt changer : l’année prochaine, la commission nationale de l’informatique et des libertés sera en mesure de prononcer des sanctions beaucoup plus significatives : 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’un groupe.

Il est vrai qu’une amende de 150 000 euros est franchement ridicule pour une firme comme Facebook, surtout au regard des critiques adressées par la Cnil, qui rappelle que « le montant et la publicité de cette sanction se justifient par le nombre des manquements (6 au total), leur gravité et le nombre important d’utilisateurs en France (33 millions) ».

Quoiqu’il en soit, la Cnil aura fait preuve de patience. L’autorité rappelle en effet que les contrôles qu’elle a effectués « sur place, sur pièces et en ligne afin de vérifier la conformité du réseau social à la loi » ont débuté en 2015, quand Facebook a annoncé une modification de sa politique d’utilisation des données. Des manquements ont alors été constatés mais ce n’est qu’en 2016 qu’une mise en demeure a eu lieu.

Facebook a alors obtenu un délai de trois mois pour se mettre en conformité. La compagnie n’ayant pas réussi à tenir les délais, elle a demandé à la Cnil d’étendre la durée de la mise en demeure de trois mois de plus. Mais même avec cette faveur, le réseau social n’a pas su (ou voulu) rentrer dans les clous de la loi. Une procédure de sanction a donc été enclenchée et les sanctions ont été prononcées le 23 mars lors d’une formation restreinte.

Partager sur les réseaux sociaux