Facebook a été condamné à 1,2 million d’euros d’amende par la CNIL espagnole. La décision, tombée aujourd’hui, constate plusieurs violations à la Ley Orgánica de Proteción de Datos (LOPD).

Au travers d’une longue décision, l'Agence Espagnole de Protection de données, équivalente de notre CNIL, vient de sanctionner Facebook d’une amende administrative de 1,2 million d’euros, somme divisée en trois montants (300 000, 600 000 et 300 000) selon la gravité des dispositions légales violées.

Avec une enquête débutée en mars 2016, plusieurs défaillances ont attiré les foudres de l’autorité de contrôle. Facebook se voit reprocher d’avoir collecté et traité des données telles l’opinion, les croyances religieuses, l’idéologie, le sexe, etc., sans informer clairement l’utilisateur sur les finalités. Pire, certaines de ces données sensibles ont fait l’objet d’une exploitation publicitaire, ce qui est considéré comme une infraction très grave à la législation en vigueur.

Politique de cookie

Sa politique de cookie a aussi été épinglée. Sans surprise, on retrouve les critiques adressées au cookie « datr » déposé chez l’internaute dès lors que celui-ci visite une page d'un site tiers contenant un plug-in Facebook permettant d’interagir avec le réseau social. « Facebook indique que ce cookie est utilisé pour assurer la sécurité de son service et de ses utilisateurs, mais il lui permet également de suivre la navigation, hors de son site, d’internautes n’ayant pas de comptes Facebook » avait reproché  fin 2015 le G29, organe qui rassemble les autorités de contrôle européennes.

L’entreprise est aussi sanctionnée pour avoir utilisé un cookie pendant une durée de 17 mois, dispositif attaché à des comptes pour lesquels une demande de suppression avait pourtant été exprimée.

Des règles de confidentialité peu claires

Les règles de confidentialité, enfin, sont jugées trop floues, avec des expressions aussi génériques que peu claires, et ayant pour conséquence de plonger l’utilisateur « moyen » dans une épaisse brume, loin du consentement clair exigé par les textes.

Selon El Periodico, Facebook a déjà fait connaître son intention d’attaquer l’amende devant les juridictions nationales. L’entreprise conteste aussi toute utilisation des données sensibles à des fins publicitaires.

Une déclaration commune des autorités de contrôle

En mai 2015, Facebook avait été sanctionné de 150 000 euros par la CNIL, montant maximal alors autorisé en France. Dans la décision, six points avaient été relevés dont déjà le fameux cookie datr accusé de collecte déloyale faute d’information claire.

Autre terrain d’inquiétude, la pratique de combinaison de données. « Si les utilisateurs disposent de moyens pour maitriser l’affichage de la publicité ciblée, résumait la CNIL, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori. Ils sont donc dépourvus de tout contrôle sur cette combinaison. »

Cette série de sanctions s’inscrit dans le prolongement de la déclaration commune signée par les autorités de protection des données personnelles des Pays-Bas, de la France, d’Espagne, de Hambourg et la Belgique. Le 16 mai 2017, elles avaient joint leurs efforts pour constater différents problèmes dans le respect des lois nationales.

Elles précisaient aussi que « dans chacune des enquêtes nationales susmentionnées, le groupe Facebook a contesté l’applicabilité de la législation nationale en matière de protection des données de l’État membre en question ». Une stratégie de prétoire qui n’a plus lieu d’être, estiment-elles, notamment en raison des effets de la jurisprudence Weltimmo de la Cour de justice de l’Union européenne. 

Il reste que ces sanctions ont l’effet d’une caresse sur les finances du géant américain. En mai 2018, avec l’application du règlement européen sur la protection des données personnelles, les autorités pourront toutefois prononcer jusqu’à 20 millions d'euros ou 4 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.