Le 26 janvier 2016, la Présidente de la Cnil a mis en demeure Facebook de collecter loyalement les données de navigation des internautes ne disposant pas de comptes Facebook. Elle demande aussi que les membres de ce réseau social puissent s’opposer à la combinaison de l’ensemble de leurs données à des fins publicitaires.
Un communiqué de la Cnil, en date du 8 février précise les termes de la mise en demeure et indique que la publicité de cette mesure a été décidée. La mise en demeure est donc disponible dans son intégralité sur le site de la Commission.
À la suite de l’annonce par Facebook de la modification de sa politique de confidentialité, un groupe composé des cinq autorités de protection européennes ayant décidé de mener des investigations (France, Belgique, Pays-Bas, Espagne et Land de Hambourg) a été créé au sein du G29 (groupe des Cnil européennes) en mars 2015.
Dans ce contexte, la Cnil a effectué des contrôles sur place, sur pièces et en ligne pour vérifier la conformité du réseau social Facebook à la loi Informatique et Libertés.
Ces vérifications ont permis de relever de nombreux manquements à cette loi :
- Le site Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte Facebook ;
- Le réseau social ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle ;
- Aucune information n’est délivrée aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données sur le formulaire d’inscription au service ;
- Le site dépose sur l’ordinateur des internautes des cookies à finalité publicitaire, sans les en avoir au préalable correctement informés ni avoir recueilli leur consentement ;
- Pour afficher de la publicité ciblée à ses membres, le site Facebook procède à la combinaison de toutes les données personnelles qu’il détient sur eux (fournies par les internautes eux-mêmes, collectées par le site, par les autres sociétés du groupe ou transmises par des partenaires commerciaux) ;
- Le site ne propose pas aux internautes de mécanisme leur permettant de s’opposer à la combinaison de l’ensemble de ces données à des fins publicitaires, ce qui méconnaît leurs droits et intérêts fondamentaux et porte atteinte au respect de leur vie privée ;
- Facebook transfère les données personnelles de ses membres aux États-Unis sur la base du Safe harbor, ce qui n’est plus possible depuis la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015 (nos actualités du 9 octobre 2015 et du 5 février dernier).
La Présidente de la Cnil a donc décidé de mettre en demeure les sociétés Facebook INC. et Facebook IRELAND de se conformer à la loi dans un délai de 3 mois.
L’objet de cette mise en demeure n’est pas de se substituer au réseau social pour fixer les mesures concrètes à mettre en place, mais de le conduire à se mettre en conformité avec la loi, sans entraver son modèle économique ni sa capacité d’innovation.
En savoir plus
Le communiqué complet du 8 février 2016 sur le site de la Cnil :
www.cnil.fr/linstitution/actualite/article/article/la-cnil-met-publiquement-en-demeure-facebook-de-...
Voir aussi le communiqué de la Cnil sur la prise de position des 5 autorités mentionnées ci-dessus, le 7 décembre 2015 :
www.cnil.fr/nc/linstitution/actualite/article/article/politique-de-confidentialite-de-facebook-5-autorites-europeennes-prennent-position/
La décision 2016-007 du 26 janvier 2016 mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND (pdf, 873 ko) :
www.cnil.fr/fileadmin/documents/approfondir/deliberations/Bureau/D2016-007_MED_FACEBOOK-INC.-FACEBOOK-IRELAND.pdf
La délibération du bureau de la CNIL n°2016-026 du 4 février 2016 décidant de rendre publique la mise en demeure n°2016-007 du 26 janvier 2016 prise à l'encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND (pdf, 90 ko) :
www.cnil.fr/fileadmin/documents/approfondir/deliberations/Bureau/D2016-026_bureau_publicite_MED_FACEBOOK.pdf
