Facebook condamné à 150 000 € d’amende pour traçage publicitaire abusif

Mark Zuckerberg, PDG de Facebook

Facebook est sanctionné par la Cnil pour de nombreux manquements à la loi Informatique et Libertés. Les sociétés Facebook Inc et Facebook Ireland sont condamnées à 150 000 € d’amende. On apprend au passage que Facebook conserve les adresses IP de ses 33 millions d’utilisateurs en France.

Contrôles sur site en 2015


En 2015, la CNIL a procédé à des contrôles sur place, sur pièces et en ligne afin de vérifier la conformité du réseau social à la loi Informatique et Libertés à la suite de l’annonce par Facebook de la modification de sa politique d’utilisation des données.

La Cnil a relevé de nombreux manquements à la loi Informatique et Libertés. Il a notamment été constaté que Facebook procédait à la combinaison massive des données personnelles des internautes pour du ciblage publicitaire.

Il a aussi été constaté que Facebook traçait à leur insu les internautes, avec ou sans compte, sur des sites tiers via  un cookie (cookie « datr »).

Délai de six mois pour se mettre en conformité

Au regard des manquements constatés, la Présidente de la Cnil a décidé, le 26 janvier 2016, de mettre en demeure les sociétés Facebook Inc. et Facebook Ireland de se conformer à la loi Informatique et Libertés dans un délai de trois mois qui a été renouvelé une fois à la demande de Facebook.

Les deux sociétés ont ensuite adressé à la Cnil des réponses insatisfaisantes à un certain nombre de manquements de cette mise en demeure. La Présidente de la Cnil a désigné un rapporteur afin que soit engagée une procédure de sanction à leur encontre. La Cnil a alors considéré le 23 mars 2017 que concernant la combinaison de données dont font l’objet les utilisateurs de Facebook, ce traitement s’effectue en l’absence de base légale.

Absence de consentement des utilisateurs

En effet, la Cnil considère que si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori. Ils sont donc dépourvus de tout contrôle sur cette combinaison.

Concernant la collecte des données de navigation des internautes, via le cookie « datr », l’information dispensée via le bandeau d’information relatif aux cookies est imprécise. Cette mention indique seulement que des informations sont collectées « […] sur et en dehors de Facebook via les cookies ». Cela ne permet pas aux internautes d’être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social.

Collecte déloyale

La Cnil considère que cette collecte massive de données effectuée via le cookie « datr » est déloyale en l’absence d’information claire et précise.

Sur les autres manquements, la Cnil considère que Facebook ne délivre aucune information immédiate aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données notamment sur le formulaire d’inscription au service.

Facebook ne recueille pas le consentement exprès des internautes lorsqu’ils renseignent des données sensibles dans leurs profils comme leurs opinions politiques, religieuses ou leur orientation sexuelle. Aucune information spécifique sur leur caractère sensible n’est délivrée lorsque les internautes complètent leurs profils et renseignent de telles données.

Conservation des adresses IP 

En renvoyant au paramétrage du navigateur, Facebook ne permet pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur PC ou smartphone. Facebook ne démontre pas en quoi la conservation de l’intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte est nécessaire. En France, Facebook compte 33 millions d’utilisateurs.

La Cnil souligne que le montant de l’amende et sa publicité se justifient par le nombre des manquements (6 au total), leur gravité et le nombre important d’utilisateurs en France.

Ces actions s’inscrivent dans une démarche européenne à laquelle participent cinq autorités de protection menant également des investigations (France, Belgique, Pays-Bas, Espagne et Land d’Hambourg) sur les pratiques de Facebook. Ces autorités partagent de nombreux constats même si que leurs procédures portent sur des périmètres parfois différents et s’inscrivent dans des calendriers distincts.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *