Ciblage pub et données persos : Facebook sanctionné par la CNIL

La CNIL condamne Facebook à une sanction financière de 150 000 euros en raison d’une « combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire ».

L’absence légale de ce traitement de données constitue une infraction à la loi Informatique et Libertés.

C’est l’aboutissement d’investigations d’envergure européenne avec la collaboration de plusieurs autorités nationales de protection des données personnelles (Belgique, Pays-Bas, Espagne et le Land d’Hambourg).

La délibération en formation restreinte remonte au 27 avril. Au final, c’est un paquet de 6 manquements constatés et adressés au siège social du groupe américain en californie et sa branche irlandaise, qui sert de tête de pont pour ses activités en Europe. 

La CNIL pointe aussi du doigt un dispositif de tracking des internautes à l’insu des internautes (disposant d’un compte Facebook ou non) sur des sites tiers via  un cookie baptisé « datr » à la portée d’exploitation imprécise.

Fin 2015, Facebook arguait que ce cookie était utilisé « pour assurer la sécurité de son service et de ses utilisateurs ». Mais la CNIL rétorque qu’il lui permet aussi de suivre la navigation, hors de son site, d’internautes n’ayant pas de comptes Facebook.

En janvier 2016, Facebook avait été mis en demeure au regard des manquements constatés. Mais l’autorité de régulation des données personnelles , la Présidente de la CNIL a estimé que les efforts de mise en conformité son insuffisants.

Dans sa délibération, la CNIL précise sa perception des manquements constatés vis-à-vis des 33 millions de membres de Facebook recensés en France : « si les utilisateurs disposent de moyens pour maitriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori. Ils sont donc dépourvus de tout contrôle sur cette combinaison. »

D’autres manquements sont pointés du doigt concernant l’utilisation des données à partir du formulaire d’inscription sur le réseau social ou le non-consentement explicite des internautes en renseignant des données sensibles dans leurs profils (opinions politiques, religieuses ou orientations sexuelles).

Enfin, la CNIL se demande pourquoi « la conservation de l’intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte est nécessaire » mais elle n’a pas obtenu de réponse sur ce point de la part du groupe de Mark Zuckerberg.

Facebook exprime son « désaccord »

Cette sanction pécuniaire peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de quatre mois à compter de sa notification, précise la délibération de la CNIL.

Le montant de 150 000 euros peut paraître faible. Surtout pour faire pression face à des mastodontes comme Facebook. Mais les sanctions seront plus lourdes avec l’entrée en vigueur du Règlement européen sur la protection des données (RGPD) à partir du 25 mai 2018.

Il prévoit une coopération renforcée entre les autorités de protection des données, « qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées ».

Mardi matin, Facebook a réagi à la décision de sanction prise par la CNIL : « Nous prenons acte de la décision de la CNIL, avec laquelle nous sommes respectueusement en désaccord. Nous avons apprécié les opportunités que nous avons eues de dialoguer avec celle-ci et de souligner notre engagement en faveur de la confidentialité de nos utilisateurs », selon un porte-parole du groupe.

Tout en précisant : « Facebook respecte depuis longtemps la loi européenne sur la protection des données, depuis que nous avons choisi de nous établir en Irlande. Nous restons disponibles pour travailler avec la CNIL autour de ces questions, alors que nous nous préparons pour la nouvelle réglementation européenne sur la protection des données en 2018. »