FACEBOOK sanctionné par la CNIL protection des données personnelles

Facebook sanctionné par la CNIL : 150.000€ d’amende

Posted On 16 Mai 2017

FACEBOOK sanctionné par la CNIL pour de nombreux manquements à la loi Informatique et Libertés.

La formation restreinte de la CNIL a prononcé une sanction de 150.000 €, rendue publique, à l’encontre des sociétés FACEBOOK INC et FACEBOOK IRELAND.

En 2015, à la suite de l’annonce par FACEBOOK de la modification de sa politique d’utilisation des données, la CNIL a procédé à des contrôles sur place, sur pièces et en ligne afin de vérifier la conformité du réseau social à la loi Informatique et Libertés.

Ces actions s’inscrivent dans une démarche européenne à laquelle participent cinq autorités de protection ayant également décidé de mener des investigations (France, Belgique, Pays-Bas, Espagne et Land d’Hambourg) sur les pratiques de FACEBOOK.

Les contrôles conduits par la CNIL ont permis de relever l’existence de nombreux manquements à la loi Informatique et Libertés. Il a notamment été constaté que FACEBOOK procédait à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire. Il a aussi été constaté que FACEBOOK traçait à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie (cookie « datr »).

Au regard des manquements constatés, la Présidente de la CNIL a décidé, le 26 janvier 2016, de mettre en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND de se conformer à la loi Informatique et Libertés, dans un délai de trois mois (renouvelé une fois à la demande de FACEBOOK).

Les deux sociétés ayant adressé à la CNIL des réponses insatisfaisantes à un certain nombre de manquements de cette mise en demeure, la Présidente de la CNIL a désigné un rapporteur afin que soit engagée une procédure de sanction à leur encontre. La formation restreinte, chargée de prononcer les sanctions, s’est donc réunie le 23 mars 2017 et elle a considéré que :

Concernant la combinaison de données dont font l’objet les utilisateurs de FACEBOOK, les sociétés FACEBOOK INC. et FACEBOOK IRELAND effectuent ce traitement en l’absence de base légale. En effet, si les utilisateurs disposent de moyens pour maitriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori. Ils sont donc dépourvus de tout contrôle sur cette combinaison.

Concernant la collecte des données de navigation des internautes, via le cookie « datr », l’information dispensée via le bandeau d’information relatif aux cookies est imprécise.

En effet, cette mention ne fait qu’indiquer que des informations sont collectées « […] sur et en dehors de Facebook via les cookies », ce qui ne permet pas aux internautes d’être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social.

Cette collecte massive de données effectuée via le cookie « datr » est déloyale en l’absence d’information claire et précise.

Sur les autres manquements, la formation restreinte considère que :

Les sociétés ne délivrent aucune information immédiate aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données notamment sur le formulaire d’inscription au service.

Les sociétés ne recueillent pas le consentement exprès des internautes lorsqu’ils renseignent des données sensibles dans leurs profils (ex : leurs opinions politiques, religieuses ou leur orientation sexuelle). En effet, aucune information spécifique sur leur caractère sensible n’est délivrée lorsque les internautes complètent leurs profils et renseignent de telles données.
En renvoyant au paramétrage du navigateur, les sociétés ne permettent pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.

Les sociétés ne démontrent pas en quoi la conservation de l’intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte est nécessaire.

En conséquence, la formation restreinte de la CNIL a décidé de prononcer une sanction de 150.000 € rendue publique à l’encontre des sociétés FACEBOOK INC et FACEBOOK IRELAND.

Le montant et la publicité de cette sanction se justifient par le nombre des manquements (6 au total), leur gravité et le nombre important d’utilisateurs en France (33 millions).

La décision de la formation restreinte s’inscrit dans le prolongement des travaux conduits de manière concertée avec les autorités de protection des données de Belgique, d’Allemagne (Land d’Hambourg), d’Espagne, et des Pays-Bas. Ces autorités partagent de nombreux constats même si que leurs procédures portent sur des périmètres parfois différents et s’inscrivent dans des calendriers distincts.

Lien sur la délibération
https://www.cnil.fr/sites/default/files/atoms/files/san-2017-006.pdf
Lien sur la céclaration commune
https://www.cnil.fr/fr/declaration-commune-des-autorites-de-protection-des-donnees-personnelles-des-pays-bas-de-la-france

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.