« Si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer […] ».
C’est l’un des motifs que la CNIL a invoqués pour infliger à Facebook une amende de 150 000 euros.
Pointé du doigt pour « six manquements » à la loi Informatique et Libertés, le réseau social s’est vu notifier cette sanction au mois de mai, dans la lignée d’une mise en demeure qui remontait à janvier 2016.
La CNIL a mené ses investigations en collaboration avec plusieurs homologues européennes ; en l’occurrence, les autorités belge, néerlandaise, allemande (land de Hambourg plus précisément)… et espagnole.
Cette dernière – l’AEPD, pour « Agencia Española de Protección de Datos » – vient elle aussi de prononcer une sanction pécuniaire à l’encontre de Facebook.
Le groupe américain écope d’une amende de 1,2 million d’euros pour trois infractions à l’équivalent de notre loi Informatique et Libertés : la « Ley de Protección de Datos ».
L’un de ces infractions est considérée comme « très grave ». En l’occurrence, la collecte de données à caractère « éminemment personnel » (orientation politique, sexuelle, religieuse, etc.), directement ou via des services tiers, sans informer clairement l’utilisateur de la finalité desdites collectes et de l’exploitation qui sera faite des données en question.
L’AEPD estime plus globalement que le réseau social n’explique pas suffisamment quelles données sont collectées. Elle déplore par ailleurs le manque d’informations sur l’utilisation de cookies, dont certains à usage exclusivement publicitaires, y compris auprès des internautes non connectés à leur compte Facebook* ou qui n’en disposent tout simplement pas.
La politique de confidentialité, affirme la CNIL espagnole, présente, en la matière, des termes « peu clairs » et multiplie les références par hyperliens, de sorte qu’un utilisateur disposant d’un niveau de connaissance moyen des nouvelles technologies « ne peut être conscient » des données collectées, de leur traitement ultérieur et de la finalité de la démarche.
Autre grief : les informations ne sont pas totalement supprimées lorsqu’elles ne sont plus utiles au regard de l’objectif pour lequel elles ont été recueillies. Elles ne le sont pas plus lorsqu’un utilisateur supprime son compte – du moins pas tout de suite : l’AEPD annonce plus de 17 mois de conservation.
Ayant manifesté son désaccord vis-à-vis de la décision, Facebook est pressenti pour faire appel. Il est parvenu, l’an dernier, à faire inverser un jugement similaire de la CNIL belge, la justice ayant considéré qu’au vu de sa structure corporate, le groupe était soumis à la loi irlandaise.
* Le cookie « datr » exploité à ces fins a une portée d’exploitation imprécise. Facebook assure qu’il permet de suivre la sécurité de son service et de ses utilisateurs.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…