2750

Données personnelles : le virulent réquisitoire de la CNIL contre Facebook

Le Monde.fr Martin Untersinger

La CNIL a listé ce qu'elle estime être des infractions à la loi française sur les données personnelles.

La Commission nationale informatique et liberté (CNIL), l’autorité chargée de la protection des données personnelles, a annoncé avoir mis en demeure Facebook, lundi 8 février, lui reprochant de nombreux manquements à la loi française sur la protection des données personnelles. Un long réquisitoire, contre la manière dont Facebook collecte et exploite les données de ses 30 millions d’utilisateurs français, que la CNIL a décidé de publier.

Que reproche-t-elle à Facebook ? La liste est longue.

  • Une charge contre la publicité ciblée

La CNIL estime que Facebook combine les données personnelles de ses usagers pour proposer de la publicité ciblée sans aucune base légale. Pour la CNIL, aucun consentement direct n’est donné par l’internaute, contrairement à ce qu’exige la loi française. La question de la combinaison des données personnelles en vue de la publicité est bien évoquée dans les conditions d’utilisation du réseau social, ce texte qui définit ce que peut faire ce dernier avec les données. Pour la CNIL, c’est insuffisant : la combinaison de différentes données n’est pas strictement prévue par ce « contrat » entre l’usager et le réseau social, et nécessite donc une approbation distincte de l’internaute.

La CNIL remarque que Facebook pourrait s’affranchir de ce consentement explicite en arguant, conformément à la loi, que l’affichage de publicité est fait dans l’intérêt de l’usager. Selon la CNIL, cet intérêt est trop faible et la collecte de données trop intrusive pour que Facebook se dispense d’un consentement.

  • Des données collectées trop sensibles

Dans certains cas, Facebook réclame des copies de documents permettant d’identifier l’utilisateur (afin, notamment, d’éviter qu’il se fasse passer pour quelqu’un d’autre). Parmi ces pièces, l’internaute peut soumettre un dossier médical : la CNIL estime que ce document est trop sensible et que le réseau social ne doit plus l’accepter.

Tout utilisateur de Facebook peut aussi renseigner, sur son profil, sa sympathie politique et ses préférences sexuelles. La CNIL juge que pour se conformer à la loi, Facebook devrait indiquer précisément ce qu’il compte faire de ces informations, compte tenu de leur sensibilité et de leur nature particulière que leur confère la loi française.

  • Un manque de transparence

La CNIL critique aussi vertement la manière dont Facebook explique à ses utilisateurs ce qui va être fait de leurs données personnelles. Pour la Commission, il faudrait que le réseau social les informe clairement dès le formulaire d’inscription à Facebook, conformément aux textes français, et non pas dans un texte séparé.

La CNIL juge aussi que les utilisateurs de Facebook ne sont pas suffisamment informés sur le fait que leurs données sont transférées aux Etats-Unis.

  • Utilisation illicite du Safe Harbor

Au sujet du transfert des données vers les Etats-Unis, la CNIL reproche aussi à Facebook de s’appuyer sur l’accord Safe Harbor. Ce dernier prévoyait que les données puissent librement être transférées, par des entreprises comme Facebook, vers les Etats-Unis, au motif que ce pays apportait des garanties suffisantes en matière de protection des données. En octobre 2015, la Cour de justice de l’Union européenne en a décidé autrement et l’a invalidé, au motif notamment que les Etats-Unis ne protégeaient pas suffisamment les données des Européens. La CNIL demande donc à Facebook de cesser de se baser sur cet accord pour transférer de l’autre côté de l’Atlantique les données de ses utilisateurs français.

Lire aussi : Safe Harbor 2 : l’accord trouvé entre l’Europe et les Etats-Unis divise déjà

  • Problèmes de cookies

Comme son homologue belge et la justice de Bruxelles avant elle, la CNIL reproche à Facebook son utilisation du cookie « datr ».

Lire aussi : La Belgique ordonne à Facebook de cesser de tracer les internautes non membres

Un cookie est un fichier qui peut être stocké sur l’ordinateur ou le téléphone d’un internaute lorsqu’il visite un site Web : il sert à mémoriser certaines informations (comme un mot de passe par exemple) ou à le reconnaître lorsqu’il visite à nouveau le même site. Facebook dépose le cookie « datr » y compris sur les appareils d’internautes qui n’ont pas de compte Facebook, lorsque ces derniers se rendent sur des pages Facebook accessibles à tous. De plus, le cookie mémorise toutes les visites de l’internaute sur les pages Web dotées par exemple du bouton « J’aime », soit la majeure partie des sites Web communément visités par les internautes français.

Facebook a fait valoir auprès la CNIL les mêmes arguments qu’il avait opposés aux autorités belges : ce cookie est destiné à reconnaître les utilisateurs « normaux » de Facebook – pour notamment empêcher le spam ou la création massive de compte – et aucun « pistage » des internautes non-inscrits à Facebook n’est effectué. Pour la CNIL, cette raison, valable, n’est pas suffisante : elle réclame à Facebook de mieux informer les utilisateurs de l’utilisation de ce cookie et des données qu’il mémorise.

La CNIL reproche aussi à Facebook de stocker trop longtemps les adresses IP – un numéro qui identifie la connexion utilisée par l’internaute pour se connecter à Internet – de ses utilisateurs.

La Commission, dans sa mise en demeure, fait de la loi de 1978 sur les données personnelles une lecture très littérale. Elle estime par exemple que Facebook y déroge en ne réclamant pas à ses utilisateurs, lorsqu’il s’inscrit, de mot de passe suffisamment compliqué. La Commission pointe qu’elle a pu s’inscrire sur le réseau social avec le mot de passe « 123456a », particulièrement faible car facile à deviner. Pour la Commission la loi impose à Facebook de prendre toutes les mesures pour protéger les données de ses membres, y compris, donc, en réclamant des mots de passe sûrs. Cette application pointilleuse devrait inquiéter de nombreuses entreprises du Web dont les pratiques sont similaires à celle du plus grand réseau social du monde.

Le réseau social dispose désormais de trois mois pour pallier les manquements repérés par la CNIL, ou demander une extension de ce délai. À l’issue de cette période, la CNIL pourra, si elle estime que Facebook n’a pas suffisamment modifié ses pratiques, entamer une procédure de sanction.

Lire aussi : Données personnelles : Isabelle Falque-Pierrotin, la dame de fer du Net

Données personnelles: La Cnil lance un ultimatum à Facebook

WEB Le réseau social a trois mois pour se mettre en conformité avec la loi française…

Illustration données personnelles sur Facebook.
Illustration données personnelles sur Facebook. – SEBASTIEN SALOM-GOMIS/SIPA

20 Minutes avec AFP

Trois mois, et après ce sera la sanction. La Commission nationale de l’informatique et des libertés (Cnil) a fixé ce lundi un ultimatum à Facebook pour que le réseau social respecte la loi Informatique et Libertés en matière de collecte et d’utilisation des données des internautes.

Cette mise en demeure intervient après des contrôles sur place, sur pièces et en ligne de cette autorité, qui lui ont permis de relever « de nombreux manquements » à la loi, selon un communiqué publié ce lundi.

La Cnil reproche notamment au groupe américain de suivre la navigation des internautes sur des sites tiers à leur insu, même s’ils ne disposent pas d’un compte Facebook.

Il est aussi accusé de recueillir, sans le consentement exprès des personnes concernées, des données relatives à leurs opinions politiques ou religieuses, ainsi qu’à leur orientation sexuelle.

Cookies publicitaires sans autorisation

Le réseau social se voit aussi reprocher dans une décision du 26 janvier 2016, de déposer sur l’ordinateur de l’internaute des cookies à finalité publicitaire sans en demander l’autorisation, de procéder à la combinaison de toutes les données personnelles des utilisateurs à des fins publicitaires, mais aussi de transférer les données personnelles de ses membres aux Etats-Unis, ce qu’il n’a plus le droit de faire depuis une décision de la Cour de justice de l’Union européenne du 6 octobre 2015.

« La présidente de la Cnil a donc décidé de mettre en demeure les sociétés Facebook INC. et Facebook Ireland de se conformer à la loi dans un délai de 3 mois. L’objet de cette mise en demeure n’est pas de se substituer au réseau social pour fixer les mesures concrètes à mettre en place, mais de le conduire à se mettre en conformité avec la loi, sans entraver son modèle économique ni sa capacité d’innovation », précise la Commission.

Aucune suite ne sera donnée à cette mise en demeure si Facebook se conforme à la loi dans le délai imparti. Dans le cas contraire, le groupe américain s’expose à une sanction.

La Cnil donne trois mois à Facebook pour respecter la loi

L’autorité livre une charge d’une ampleur inédite contre le réseau social, accusé de récupérer et utiliser les informations personnelles de quelque 30 millions de Français.

La Cnil hausse le ton contre Facebook en France. Dans un communiqué publié lundi soir sur son site, l’autorité administrative indépendante donne trois mois au réseau social pour se mettre en conformité avec la loi française. S’il n’obtempère pas, la procédure pourra aboutir à une amende sanction, en particulier financière.

La liste des manquements de Facebook est jugée particulièrement «grave» par la Cnil, en raison du nombre de personnes concernées. Quelque 30 millions de Français sont en effet inscrits sur le réseau social. Les griefs, constatés à l’issue de contrôles menés chez Facebook au printemps 2015, concernent tout aussi bien la manière dont le site récupère des informations personnelles que le traitement par la suite de ces données à des fins publicitaires.

La Cnil commence par s’attaquer à la collecte des informations. «Le réseau social ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle», comme il a pourtant obligation de le faire en France, écrit l’autorité dans son communiqué. «De même, aucune information n’est délivrée aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données sur le formulaire d’inscription au service», poursuit la Cnil.

L’autorité française cible ensuite la machine publicitaire du site. «Pour afficher de la publicité ciblée à ses membres, Facebook procède à la combinaison de toutes les données personnelles qu’il détient sur eux (fournies par les internautes eux-mêmes, collectées par le site, par les autres sociétés du groupe ou transmises par des partenaires commerciaux)». Ce traitement, qualifié de «massif» par la Cnil, est «susceptible de méconnaître l’intérêt des utilisateurs inscrits et leur droit fondamental au respect de la vie privée». Car si Facebook permet de supprimer des préférences détenues sur ses utilisateurs, il n’existe pas de moyens de s’opposer en premier lieu à la collecte des informations.

Tracer la navigation des internautes non inscrits

Le troisième volet du réquisitoire de la Cnil concerne les Français qui ne sont pas sur le réseau social. «Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte», assure l’autorité. «En effet, le site dépose un cookie sur le terminal de chaque internaute qui visite une page Facebook publique, sans l’en informer (pages d’un événement public ou d’un ami par exemple). Ce cookie permet alors au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton Facebook», détaille le communiqué.

La Cnil française rejoint les conclusions de son homologue belge qui a, la première en Europe, pointé ce traçage de tous les internautes par Facebook. L’entreprise américaine ne nie pas ce procédé. Elle affirme ne pas utiliser ces informations «pour surveiller le comportement des internautes» et leur fournir des publicités, mais à des fins de sécurité. Ces informations sont en outre supprimées au bout de deux jours. Ces explications ont été jugées insuffisantes par la Cnil, qui rappelle que les données personnelles doivent être traitées «de manière loyale et licite».

Ce long réquisitoire ne s’arrête pas là. La Cnil reproche à Facebook de fournir des pièces justificatives, «tel qu’un dossier médical», pour attester de son identité. Elle l’invite également à exiger des Français des mots de passe plus complexe, à mieux informer de l’usage des cookies déposés dans les navigateurs et à supprimer au bout de six mois les adresses IP des personnes inscrites accédant à leurs comptes. Elle enjoint enfin l’entreprise de respecter le nouveau cadre de transfert des données personnelles entre l’Europe et les États-Unis, après l’invalidation du «Safe harbor» en octobre 2015.

Lundi soir, Facebook France indiquait que «la protection de la vie privée est une priorité pour nous. Nous sommes confiants. Notre service est en conformité avec le droit européen en matière de protection des données. Bien entendu, nous prendrons contact avec la Cnil pour discuter des points soulevés».

Ultimatum de la Cnil à Facebook sur la collecte de données

PARIS (Reuters) – La Commission nationale de l’informatique et des libertés (Cnil) a mis lundi en demeure Facebook de cesser de suivre les internautes ayant visité ses pages mais non enregistrés sur le réseau social et ce dans un délai de trois mois.

En installant un cookie sur les appareils des personnes ayant visité une page Facebook publique, le réseau social « est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte », explique la Cnil dans un communiqué diffusé lundi.

La Cnil exige également que les membres du réseau social aient la possibilité de s’opposer à ce que Facebook procède à la combinaison de leurs données personnelles collectées par différents biais, un procédé utilisé à des fins publicitaires.

Enfin, elle souligne que Facebook « transfère les données personnelles de ses membres aux Etats-Unis sur la base du Safe Harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015. »

Cette sommation de la Cnil intervient à la suite de manquements constatés lors d’une enquête ouverte en mars 2015 après une modification de la politique de confidentialité de Facebook.

Cinq organismes ont participé à cette analyse dans le cadre du G29, qui réunit les différentes institutions européennes chargées de la protection des données personnelles, a précisé la Cnil dans son communiqué.

En Belgique, dont l’autorité de contrôle a également participé à l’enquête, le géant américain a décidé en décembre d’arrêter de « tracer » les internautes, après une injonction de justice.

Si Facebook se conforme à la loi dans le délai imparti, aucune sanction ne sera prise, indique le régulateur français.

La CNIL laisse trois mois à Facebook pour respecter la loi sur les données des internautes

L’autorité chargée de la protection des données personnelles accuse le réseau social « de nombreux manquements à la loi ».

Le logo de Facebook, créé à partir de photos d'utilisateurs, est affiché sur le mur d'un bâtiment du groupe à Lulea (Suède), le 7 novembre 2013.
Le logo de Facebook, créé à partir de photos d’utilisateurs, est affiché sur le mur d’un bâtiment du groupe à Lulea (Suède), le 7 novembre 2013. (JONATHAN NACKSTRAND / AFP)

Francetv info avec AFP

La Commission nationale de l’informatique et des libertés (CNIL) lance un ultimatum. L’autorité, en charge de la protection des données personnelles, laisse trois mois à Facebook pour respecter la loi sur la collecte et l’utilisation des données des internautes, selon un communiqué publié lundi 8 février.

La CNIL a relevé « de nombreux manquements » à la loi, lors de contrôles dans les bâtiments du groupe et en ligne. Elle reproche notamment au réseau social de suivre la navigation des internautes sur d’autres sites, à leur insu, et ce même s’ils ne disposent pas d’un compte Facebook.

Le groupe de Mark Zuckerberg est aussi accusé de recueillir des données sur les opinions politiques et religieuses, ou encore sur l’orientation sexuelle de ses utilisateurs, sans leur consentement.

Une menace de sanction

« La présidente de la CNIL a donc décidé de mettre en demeure les sociétés Facebook INC. et Facebook Ireland de se conformer à la loi dans un délai de trois mois », précise la Commission dans le communiqué.

« L’objet de cette mise en demeure n’est pas de se substituer au réseau social pour fixer les mesures concrètes à mettre en place, mais de le conduire à se mettre en conformité avec la loi, sans entraver son modèle économique ni sa capacité d’innovation », poursuit l’autorité. Si Facebook ne se plie pas à l’ultimatum de la CNIL d’ici trois mois, il s’expose à une sanction, dont la nature n’a pas été précisée.

La CNIL s’attaque à Facebook qui a trois mois pour réagir
Guillaume Champeau
Accueil Politique La CNIL s’attaque à Facebook qui a trois mois pour réagir

Facebook a été mis en demeure par la CNIL de corriger ses pratiques en matière de collecte et de traitement de données personnelles. Le réseau social a trois mois pour se conformer aux demandes de la CNIL, avant qu’une procédure de sanctions formelle soit éventuellement engagée. Mais ses pouvoirs sont actuellement très limités.

La CNIL a fait savoir lundi qu’elle avait décidé de mettre en demeure Facebook, après la constatation de « nombreux manquements » à la loi informatique et libertés. Le réseau social américain dispose de trois mois pour se mettre en conformité avec la législation française, ou devra subir d’éventuelles sanctions.

Suite à des contrôles dans les locaux de Facebook et à des constatations en ligne, la CNIL a en effet estimé (.pdf) que la firme de Mark Zuckerberg violait la loi française sur plusieurs points qui devront faire l’objet de correctifs :

Grâce à un cookie spécialisé déposé grâce aux boutons de partage sur Facebook que l’on retrouve sur la plupart des sites Web, le réseau social est « en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte Facebook ». Ce point fait déjà l’objet d’une procédure par la CNIL belge et en réponse, Facebook a décidé d’empêcher son utilisation par tout internaute non inscrit.
Facebook ne recueille pas le consentement explicite des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle.
Aucune information n’est délivrée aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données sur le formulaire d’inscription.
Facebook dépose des cookies à finalité publicitaire dans le navigateur, sans avoir au préalable correctement informé les utilisateurs, ni avoir recueilli leur consentement.
Facebook ne propose pas aux internautes de mécanisme leur permettant de s’opposer au croisement de toutes les informations que le réseau social détient sur eux, lorsque le réseau social crée un profil publicitaire personnalisé.
Facebook transfère les données de ses membres européens vers les États-Unis en vertu d’un accord de Safe Harbor qui a été annulé. Notons que ce point est particulier osé de la part de la CNIL, alors qu’elle-même a jugé que c’était encore possible pour quelques semaines, en dépit de l’illégalité manifeste.

Des mesures concrètes à prendre

facebook-1900Facebook

Du fait de cette mise en demeure, Facebook dispose de trois mois pour se mettre en conformité avec les demandes de la CNIL.

Outre les consentements plus explicites qu’elle devra obtenir, la société devra notamment « cesser de demander aux inscrits de justifier leur identité en fournissant un dossier médical » (c’était parfois le cas), « ne pas conserver de donnée à caractère personnel au-delà de la durée nécessaire aux finalités pour lequelles elle a été collectée et traitée, notamment en supprimant à l’expiration d’un délai de 6 mois les adresses IP utilisées par les inscrits pour se connecter aux comptes », ou encore renforcer la robustesse des mesures de sécurité (par exemple en exigeant des mots de passe plus sûrs d’au moins 8 caractères qui mélangent minuscules, majuscules, chiffres et caractères spéciaux).

« Il a été décidé de rendre public cette mise en demeure notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées par le service », explique l’autorité administrative française, qui rappelle que Facebook revendique 30 millions d’utilisateurs en France.
Des pouvoirs de sanction très limités

La CNIL a mis en demeure à la fois la maison-mère américaine Facebook Inc, et sa filiale européenne Facebook Ireland. Les deux auront beau jeu de contester la compétence de l’autorité française.

Si jamais Facebook ne mettait pas ses pratiques en conformité avec la loi, la présidente Isabelle Falque-Pierrotin pourra engager une procédure de sanction, qui commencera par la désignation d’un rapporteur chargé de proposer une sanction appropriée. Mais actuellement, la CNIL est un gendarme aux mains nues face aux géants du Web. Les sanctions sont en effet limitées à 150 000 euros d’amende, et au pouvoir de rendre publique la décision, y compris sur le site de Facebook lui-même. Une sorte de condamnation infamante qui n’a cependant eu aucun effet lorsque Google fut lui-même condamné.

Il est bien prévu de muscler considérablement les pouvoirs de la CNIL avec la loi numérique, qui porterait les sanctions à 4 % du chiffre d’affaires mondial (au maximum), mais la loi n’est pas encore promulguée. Or le fait d’avoir engagé la procédure pourrait même poser la question de la non-rétroactivité de son application à Facebook.
=============

commentaires

wato                             Il est toujours surprenant de constater qu’on accorde des délais de mise en conformité aux entreprises qui ont des activités illégales. Cela peut se concevoir pour des PME mais des multinationales aux armées d’avocats ne devraient bénéficier d’aucune clémence. La sanction, c’est tout de suite et fort. En conduite, le mauvais conducteur se fait flacher. L’état devrait concevoir des radars à fautes sur internet qui constatent les délits 10 000 fois par jour avec autant d’ amendes…

gek                                 Facebook collecte aussi les données contenues dans vos textos. Si un nom est identifié dans le contenu de vos textos, un peu plus tard il figure dans les propositions d’amis… Glaçant en terme d’intrusion non?

ysengrain                     Il est tellement simple d’échapper à ce miroir aux alouettes: s’abstenir

J’ai lu                           Question à Martin Untersinger : Ai-je mal lu ou, hormis le dernier point, il suffira à FB, pour se conformer à l’avis de la CNIL, de modifier la rédaction de ses conditions générales d’utilisation … que la plupart des utilisateurs ne lisent pas ? Merci Quant à l’utilité de nos machins français comme la CNIL, le CSA, l’autorité de la concurrence etc comparé aux Class Action et à une justice qui juge rapidement et sanctionne lourdement aux USA…

mado                                  aux USA?? En Français États-Unis mes chers amis du Monde…

Peut mieux faire               Encore plus français : Etats-Unis d’Amérique (car il y a eu aussi les Etats-Unis du Brésil, etc.).

  • batman93                En même temps, vous voulez le web et son contenu gratuit, sans pubs et tout, mais quand même sans payer… mais anonyme…
    Tout se paie, sur le web c’est sous la forme d’infos…

  • PredatorMen            Comme si FB allait se conformer à la demande de la CNIL ils s’en foutent bien de ces recommandations quand aux sanctions, à t’ont déjà vu les américains plier devant des injonctions ou sanctions? ha ha ha! laissez moi rire.

  • aureldunet                La cnil qui attaque PRISM, la blague.

  • Lofox74                    Une technique simple pour diminuer l’espionnage est de bloquer tous les mouchards, cookies indésirables.. Une extension comme Ghostery fonctionne très bien sur Firefox et révèle le nombre de mouchards émis par site (11 pour 20minutes.fr).
    Le champion de l’intrusion reste quand même Microsoft avec son Windows 10 où les réglages des paramètres de confidentialité sautent après des mises à jours.
    Ne pas étaler sa vie en long, en large, en travers, à tout va et à tout le monde sur le web est, aussi, un moyen de limiter la casse.

Publicités