Un an après Google, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé ce mardi avoir infligé à Facebook l’amende maximale de 150.000 euros pour « de nombreux manquements à la Loi informatique et libertés » dans sa gestion des données des utilisateurs.

La sanction pécuniaire est la plus élevée possible, ce qui d’après la Cnil se justifie « par le nombre des manquements (6 au total), leur gravité et le nombre important d’utilisateurs en France (33 millions) ». « Il a notamment été constaté que Facebook procédait à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire. Il a aussi été constaté que Facebook traçait à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie » (témoin de connexion), a expliqué la Cnil.

Facebook pourrait faire appel devant le Conseil d’Etat

La Commission avait donné en janvier 2016 trois mois à Facebook Inc. et Facebook Ireland (la maison mère et la filiale européenne) pour se mettre en conformité avec la Loi informatique et libertés, un délai renouvelé une fois à la demande du groupe américain. Les deux sociétés ayant adressé à la Cnil « des réponses insatisfaisantes à un certain nombre de manquements de cette mise en demeure », sa présidente Isabelle Falque-Pierrotin avait lancé une procédure de sanction en novembre.

« Nous prenons acte de la décision de la Cnil, avec laquelle nous sommes respectueusement en désaccord », a réagi le réseau social dans un commentaire adressé à l’AFP, sans préciser s’il comptait faire appel devant le Conseil d’Etat. Il a quatre mois pour le faire. « Donner aux utilisateurs le contrôle sur la confidentialité de leurs données est au cœur de tout ce que nous faisons », a ajouté Facebook, assurant respecter « depuis longtemps la loi européenne sur la protection des données ».

Collecte « déloyale »

Concernant la combinaison de données dont font l’objet les utilisateurs de Facebook, la Cnil a dénoncé son « absence de base légale ». « En effet, si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori. Ils sont donc dépourvus de tout contrôle sur cette combinaison », selon la Cnil. La formation restreinte a également estimé que la collecte massive de données effectuée via le cookie « datr » était « déloyale, en l’absence d’information claire et précise ».

Les internautes non-inscrits sur Facebook n’ont pas la possibilité « d’être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social », pointe-t-elle. Facebook, en outre, ne délivre, selon la Cnil, aucune information immédiate aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données. Il est aussi reproché au réseau social de ne pas recueillir le consentement exprès des internautes lorsqu’ils renseignent des données sensibles dans leurs profils (opinions politiques, croyances religieuses, orientation sexuelle).