Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

La CNIL sanctionne Facebook pour de multiples manquements sur la vie privée

Une sanction symbolique

La CNIL sanctionne Facebook pour de multiples manquements sur la vie privée

Le 16 mai 2017 à 11h13

Le gardien français des données personnelles pointe des combinaisons de données sans consentement, le suivi discret de la navigation web ainsi que la conservation sans limite des adresses IP liées à un compte. Elle inflige à l'entreprise son amende maximale (150 000 euros), alors que d'autres autorités travaillent en parallèle en Europe.

Le montant affectera peu Facebook, contrairement à l'annonce. La CNIL a prononcé une sanction de 150 000 euros à l'encontre du réseau social, soit le maximum que la commission peut aujourd'hui infliger. Une valeur qui changera dès l'année prochaine puisqu'il sera alors question de 20 millions d'euros ou 4% du CA mondial.

La raison de cette décision ? Six manquements à la loi Informatique et libertés. De la combinaison de données au dépôt de cookies sans consentement, les pratiques de l'entreprise sont passées au crible. L'enquête, menée par les autorités de la Belgique, de l'Espagne, de la France, des Pays-Bas et du Land d’Hambourg, suit la modification de la politique d'utilisation des données de Facebook en 2015. Après de nombreux échanges infructueux, la commission a donc décidé de sévir.

Un ciblage publicitaire sans base légale

 

Le premier reproche concerne la combinaison massive de données d'internautes pour le ciblage publicitaire, « en l'absence de base légale ». Les utilisateurs peuvent s'opposer à l'affichage des publicités ciblées, mais pas au traitement des données en toile de fond. 

« Aucun des documents mis à la disposition des utilisateurs [...] ne mentionne expressément la combinaison de données » reproche d'ailleurs la commission dans sa délibération. « Ils sont donc dépourvus de tout contrôle sur cette combinaison » écrit l'institution. « Facebook Ireland a insisté sur le fait que la gratuité du service était subordonnée à l’affichage de publicités personnalisées » note l'autorité dans sa délibération.

Le second problème est l'utilisation d'un cookie tiers (datr) pour suivre les internautes sur les sites tiers sans qu'ils ne le sachent. Quand les boutons sociaux traquent l'internaute, celui-ci n'en sait donc rien. Aucune information précise n'est fournie via le bandeau de cookies, ni de réglage simple, Facebook préférant renvoyer vers les paramètres du navigateur. Une mesure insuffisante pour un choix libre, tacle la commission française.

Des adresses IP conservées sans limite de durée

Le réseau social ne propose aucune information immédiate sur les droits et l'utilisation des données, notamment à l'inscription. Il ne fournit pas non plus d'indication du caractère sensible de certaines données (opinions politiques, religieuse et orientation sexuelle) quand les internautes les fournissent, alors que la page devrait au moins contenir une case à cocher.

Les membres devraient aussi être informés sur la nature des données exportées hors de l'Union européenne, sans qu'elles ne soient effectuées sur la base de l'accord Safe Harbor (depuis remplacé par le Privacy Shield) vers les États-Unis. L'entreprise était appelée à renforcer la robustesse des mots de passe... et à ne plus conserver indéfiniment toutes les adresses IP associées à un compte. Un comportement qu'elle n'a pas su justifier.

33 millions d'internautes français affectés

En janvier 2016, Facebook et Facebook Irlande ont été mis en demeure de se conformer sous trois mois. La période a été renouvelée en mai, jusqu'à août de la même année. Malgré plusieurs réunions, notamment en juillet 2016, « la société Facebook Inc. n’a pour sa part apporté aucune réponse à la mise en demeure ».

Face à ces « réponses insatisfaisantes », la formation restreinte a décidé le 23 mars d'appliquer la sanction maximale au groupe, au vu nombre de manquements et de personnes concernées (33 millions en France).

Le montant, de 150 000 euros aujourd'hui, aurait pu aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial si la mesure avait été prononcée après le 25 mai 2018. C'est à ce moment qu'entrera en vigueur le règlement européen sur la protection des données (RGPD), qui renforce notamment l'armement des autorités européennes.

D'autres suites prévues en Europe

Facebook est sur la sellette ailleurs dans l'Union pour ses pratiques. Il y a quelques jours, l'autorité italienne de la concurrence a prononcé une sanction de trois millions d'euros au groupe, pour avoir forcé les membres de WhatsApp à partager leurs données avec le réseau social. Une combinaison que l'entreprise disait impossible au rachat du service de messagerie en 2014, facilitant l'accord des autorités.

L'enquête européenne aura sûrement d'autres conséquences pour Facebook. Dans un communiqué commun (PDF), les cinq autorités concernées détaillent les changements. En Belgique, elle a envoyé le dossier devant le tribunal de première instance de Bruxelles, qui doit entendre les parties en octobre.

Aux Pays-Bas, elle vérifie les modifications apportées par Facebook, avant d'éventuellement décider d'une sanction. Dans le Land d'Hambourg en Allemagne, la justice a donné son blanc-seing aux autorités, qui ont demandé l'arrêt des combinaisons de données de WhatsApp. L'enquête est toujours en cours en Espagne.

Elles affirment que Facebook a nié la validité des lois nationales dans chaque pays. Toutes lui ont rétorqué qu'elles le sont bien. Un point sur lequel la CNIL elle-même a bien insisté dans sa délibération, balayant les arguments de Facebook sur le rôle limité de sa branche française. En réponse à la sanction de la CNIL, le réseau social réaffirme respecter le droit européen.

Commentaires (35)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je note ce passage croustillant “, pour avoir forcé les  membres de WhatsApp à partager leurs données avec le réseau social. Une combinaison que l’entreprise disait impossible au rachat du service de messagerie en 2014”.



C’est bien dès le rachat par FB que j’ai desinstallé whatsapp. Alors oui FB jurait qu’il ne croiserait pas les données et oui je jouais les Cassandre en me disant qu’il le ferait un jour ou l’autre. Et vu le prix du rachat de Whatsapp c’etait tout vu.



 Pour le reste 150 000 euros d’amende c’est ridicule. Et une condamnation pour le fait de traquer les utilisateurs n’ayant pas FB ? et les shadow profiles ?

votre avatar

La surveillance des utilisateurs n’ayant pas FB est citée ici je pense :

“Le second problème est l’utilisation d’un cookie tiers (datr) pour suivre les internautes sur les sites tiers sans qu’ils ne le sachent. Quand les boutons sociaux traquent l’internaute, celui-ci n’en sait donc rien. Aucune information précise n’est fournie via le bandeau de cookies, ni de réglage simple, Facebook préférant renvoyer vers les paramètres du navigateur. Une mesure insuffisante pour un choix libre, tacle la commission française.”



La CNIL ne peut pas donner d’amende significative, c’est un problème récurrent. Mais si l’an prochain la situation est la même je pense qu’ils vont devoir payer les 4% du CA.

votre avatar

De toute façon Facebook est devenu le lobby du divertissement … Ils sont intouchables maintenant et quand bien même ils brassent tellement que ce que la justice peut leur infliger est une pacotille …



Bienvenue dans l’air “réseaux sociaux et télé-réalités” … jamais internet n’aura fait brassé autant de fric …

votre avatar

150 000 euros pour une boite qui pèse plus de 300 milliards &nbsp;<img data-src=" />

votre avatar

  1. La valorisation d’une entreprise web dépend de sa capacité à générer des revenus pubs.



    1. Les annonceurs accordent une plus grande valeurs au ciblage publicitaire.



      Faut donc pas s’étonner si les entreprises web collecte des informations sur les visiteurs.


votre avatar

Gaffe à la mise en page des commentaires, sauter de ligne tous les 6 mots, ça rend le truc insupportable à lire :)

votre avatar

Oo un bug d’affichage ? Su mon poste, il n’y a pas de sauts de ligne superflu





dmann a écrit :



150 000 euros pour une boite qui pèse plus de 300 milliards  <img data-src=" />





Et c’est pour ça que la loi va changer


votre avatar

la CNIL a utilisé sa capacité à mettre des amendes au maximum. Elle a fait ce qu’elle pouvait.



Elle considère donc que les manquements de facebook sont très graves.

bien sûr, il est hasardeux de dire que FB aurait été sanctionné à hauteur de 20m ou de 4% de leur chiffre d’affaire si le règlement était déjà en vigueur.



Par contre, il semble que de nombreuses autorités de protection des données de l’UE soient sur le coup, ce qui peut multiplier l’amende totale, la législation étant harmonisée.



Il faut aussi prendre en compte le potentiel dégât à l’image de marque de FB. C’est difficile à quantifier, mais ça a souvent un impact non négligeable.

votre avatar

S’étonner du principe non.



Par contre il est tout à fait légitime de s’étonner qu’une si grosse boite, aussi portée sur les bénéfices soit elle, viole les règles posées par le législateur afin d’encadrer la collecte et l’utilisation des données personnelles.



Il est encore plus légitime d’apprécier l’attitude des autorités de protection des données qui ne baissent pas les bras parce que ça “rapporte”.

votre avatar

“une sanction&nbsp;de 150 000 euros à l’encontre du réseau social, soit le maximum que la commission peut aujourd’hui infliger”



Petite rectification : la loi République numérique du 7 octobre 2016 a porté le montant maximum de la sanction CNIL à 3 millions d’euros (article 47 de la loi Informatique et Libertés modifiée).&nbsp;



En l’espèce, la procédure avait été engagée en janvier 2016, c’est donc le droit en vigueur à l’époque qui s’applique (sanction max de 150 000 euros).



Voilà c’est tout pour moi.

votre avatar

La CNIL a prononcé une sanction&nbsp;de 150 000 euros à l’encontre du réseau social, soit le maximum que la commission peut aujourd’hui infliger. Une valeur qui changera dès l’année prochaine puisqu’il sera alors question de 20 millions d’euros ou 4% du CA mondial.



Cool mais pas encore assez ça sera encore un permis de voler mais sauf les gros pourront tenter leur chance… Montant du préjudice réèl * 2 et il y aura plus d’arnaque.

votre avatar

Amusant…

Condamner FB pour atteinte à la vie privée c’est un peu comme condamner un boulanger pour fabrication de pain ou un bistrot pour vente d’alcool… <img data-src=" />

votre avatar

plutôt le condamner pour avoir vendu de l’alcool frelaté, du pain avec de la farine à l’amiante, ou de la sciure pour augmenter ses marges.



Le problème c’est l’abus pas la collecte.



Ceci dit je te rejoins complètement sur l’inconscience de bon nombre des utilisateurs du “service”.

votre avatar







gavroche69 a écrit :



Amusant…

Condamner FB pour atteinte à la vie privée c’est un peu comme condamner un boulanger pour fabrication de pain ou un bistrot pour vente d’alcool… <img data-src=" />





C’est exactement ce que j’ai pensé en lisant l’actu. <img data-src=" />


votre avatar

Bah c’est une entreprise américaine qui fait du business à l’américaine.



Facebook doit pas trop comprendre en quoi le ciblage publicitaire viole la vie privée des français.

votre avatar







bloossom a écrit :



…Ceci dit je te rejoins complètement sur l’inconscience de bon nombre des utilisateurs du “service”.



C’est bien sûr cet aspect des choses que je voulais pointer.

La “marchandisation” de la vie privée de ses “clients” est quand même la raison d’être de FB et aussi la principale raison de sa valeur financière il me semble.



Après, que les “clients” se “vendent” volontairement ou pas je ne sais pas trop mais il me paraît quand même difficile d’ignorer ce mode fonctionnement…


votre avatar

Merci de la correction, il me semblait bien que le plafond avait augmenté, mais j’ai eu la flemme de chercher.

votre avatar







127.0.0.1 a écrit :



Bah c’est une entreprise américaine qui fait du business à l’américaine.



Facebook doit pas trop comprendre en quoi le ciblage publicitaire viole la vie privée des français.









gavroche69 a écrit :



C’est bien sûr cet aspect des choses que je voulais pointer.

La “marchandisation” de la vie privée de ses “clients” est quand même la raison d’être de FB et aussi la principale raison de sa valeur financière il me semble.



Après, que les “clients” se “vendent” volontairement ou pas je ne sais pas trop mais il me paraît quand même difficile d’ignorer ce mode fonctionnement…





Certes, mais ça ne justifie encore en rien le fait qu’ils dépassent le cadre qui leur est imposé par le législateur. C’est le même principe qu’avec Vlokswagen: On ne leur a pas reproché de faire des voitures (et ils les ont faites pour leur profit par pour nous rendre heureux de se déplacer et de conduire), mais d’avoir triché avec le cadre qui leur était imposé.



Qu’ils prennent des données et qu’ils en tirent profit. Leur base d’utilisateurs montre qu’il y a des gens qui sont prêt à payer de cette manière leurs services. Par contre, ils doivent respecter le cadre de la protection des données s’ils veulent le faire.


votre avatar

han. Désolé.

votre avatar







bloossom a écrit :



Certes, mais ça ne justifie encore en rien le fait qu’ils dépassent le cadre qui leur est imposé par le législateur.







Non, effectivement ca ne justifie rien. Mais le business à l’américaine (et bientôt à la Macron ?) c’est de faire passer la croissance économique avant les considérations sociales/environnementales/whatever.


votre avatar



Elle inflige à l’entreprise son amende maximale (150 000 euros)



<img data-src=" />



Même pas sûr qu’après le relèvement du plafond l’amende soit beaucoup plus élevé, y’aura du lobbying de tous les côtés pour empêcher ça

votre avatar

Je me félicite d’avoir bloqué 0xfaceb00c au niveau de mon serveur DNS, de ne pas passer par le serveur DNS de mon FAI, de supprimer systématiquement toutes les données locales de mes navigateurs à chaque fois que je les ferme, d’utiliser indifféremment Safari et Firefox sous macOS et Firefox sous Linux, et d’avoir une @ IP dynamique.

votre avatar

Heu bah quand même, 4% du CA mondial ça me parait pas négligeable…&nbsp;

Sur 2016 ça aurait dépassé le milliard…&nbsp;

votre avatar

On attend l’obligation d’afficher le message “Facebook vous la met profond, en savoir plus sur le site de la CNIL” pour que cela ait un effet efficace ! Là 98% des utilisateurs de Facebook n’en sauront jamais rien.

votre avatar







Jarodd a écrit :



On attend l’obligation d’afficher le message “Facebook vous la met profond, en savoir plus sur le site de la CNIL” pour que cela ait un effet efficace ! Là 98% des utilisateurs de Facebook n’en sauront jamais rien.








Je pense que tes 98% d'utilisateurs matures ou pas, ne te demande pas de les tenir par la main. Moi, je m'en tamponne des utilisateurs Face2Plouk.&nbsp; Quand a la CNIL, il ne s'agit ici que d'appliquer la loi Informatique et libertés. Je ne pense pas qu'elle pleure sur le sort des utilisateurs du réseau.

votre avatar

Facebook est devenu tellement intrusif, avant je gardais mon compte pour les évènements mais l’envie de le supprimer est devenue plus justifiée (même si apparemment il continue de te traquer après…). 




Hors-sujet : Quelqu'un sait ce que c'est le délire avec le fil d'actualité depuis quelques temps ? Genre je passe mon temps à masquer les trucs de merde qu' "aiment" mes contacts. Même plus moyen de cacher ça.
votre avatar

L’amende est ridicule (la CNIL fait ce qu’elle peut en attendant le RGPD). Cela ne contraindra Facebook à rien. La seule façon de les faire changer, c’est de taper là où ça fait mal : l’image, et le non-respect des règles. Mais personne n’ira lire l’info sur le site de la CNIL, d’où la nécessité de le faire apparaître sur Facebook. Si des millions d’utilisateurs voient “Facebook vous a ” cela peut avoir un INpact. Cela a déjà été le cas pour des sites e-commerce qui avaient aussi dépassé les bornes des limites, et même pour Google qui avait affiché le message sur sa page d’accueil. Donc pourquoi ne pas le faire pour Facebook ?

votre avatar







Spezetois a écrit :



Facebook est devenu tellement intrusif, avant je gardais mon compte pour les évènements mais l’envie de le supprimer est devenue plus justifiée (même si apparemment il continue de te traquer après…). 




 Hors-sujet : Quelqu'un sait ce que c'est le délire avec le fil d'actualité depuis quelques temps ? Genre je passe mon temps à masquer les trucs de merde qu' "aiment" mes contacts. Même plus moyen de cacher ça.






Personnellement j’utilise Facebook dans un cadre “privé”. J’ai 9 amis, je m’en sers pour partager des infos (non privées) qui concerne ces 9 amis.

Et dernièrement en voulant dérouler le fil d’actualité je suis tombé sur le message “Vous voulez voir plus d’actualité ? Ajoutez des amis !”. Avec l’impossibilité de passer outre… Enfin il fallait accepter de voir les amis proposés et revenir dans le fil d’actualité.



Autant j’aime le principe de Facebook que de pouvoir partager des informations avec certaines personnes. Autant je ne supporte pas l’utilisation qu’en font la plupart des gens, avec leurs centaines d’amis qu’ils ne connaissent pas et avec qui ils partagent des informations privées…

Je pense que Facebook est devenu ce qu’il est aujourd’hui, en partie parce que les gens ont ce besoin ridicule d’étaler leur vie.


votre avatar







01010 a écrit :



Je pense que tes 98% d’utilisateurs matures ou pas, ne te demande pas de les tenir par la main. Moi, je m’en tamponne des utilisateurs Face2Plouk.&nbsp; Quand a la CNIL, il ne s’agit ici que d’appliquer la loi Informatique et libertés. Je ne pense pas qu’elle pleure sur le sort des utilisateurs du réseau.





De toute manière c’est stipulé sur les CGU que chaque inscrit est censé avoir lu avant d’étaler leur “j’avons rien à cacher”, mais les z’amis du yogourt s’en tamponnent que le bouc se sucre sur leurs données, qu’il les traque ou les échantillonne pour les vendre aux z’amis tiers qui de fait traquent aussi leurs moindres clics histoire de capter le bon moment pour leur fourguer un éventuel produit “ciblé”.



ici la CNIL française sanctionne le RS pour la traque massive des internautes à leur insu et ceci avec ou sans compte.


votre avatar







DoudouPike a écrit :



Personnellement j’utilise Facebook dans un cadre “privé”. J’ai 9 amis, je m’en sers pour partager des infos (non privées) qui concerne ces 9 amis.

Et dernièrement en voulant dérouler le fil d’actualité je suis tombé sur le message “Vous voulez voir plus d’actualité ? Ajoutez des amis !”. Avec l’impossibilité de passer outre… Enfin il fallait accepter de voir les amis proposés et revenir dans le fil d’actualité.



Autant j’aime le principe de Facebook que de pouvoir partager des informations avec certaines personnes. Autant je ne supporte pas l’utilisation qu’en font la plupart des gens, avec leurs centaines d’amis qu’ils ne connaissent pas et avec qui ils partagent des informations privées…

Je pense que Facebook est devenu ce qu’il est aujourd’hui, en partie parce que les gens ont ce besoin ridicule d’étaler leur vie.







Avec tes 9 potes, ouvrez un chan whatsapp, chiffré et sans pub


votre avatar

lemonde.fr Le Monde110 millions d amende de la commission européene, c est déjà un peu plus pertinent pour que FB se bouge que les ridicules 150 k de la CNIL!

votre avatar







EricB a écrit :



lemonde.fr Le Monde110 millions d amende de la commission européene, c est déjà un peu plus pertinent pour que FB se bouge que les ridicules 150 k de la CNIL!





C’est clair que ça doit attirer un peu plus l’attention, mais le plus important ici ce n’est pas la sanction (au regard du CA hein) mais le comportement que va adopter la firme au regard des réactions de son fond de commerce, comme dit plus haut pour ce genre de boîte le fait d’être dans l’obligation d’afficher un bandeau d’avertissement sur certaines pratiques est plus dissuasif qu’une amande de 3, 5, 10% du CA qui reste un niveau aisément absorbable.

D’autres firmes ont eu des sanctions bien plus lourdes sans pour autant changer de comportement sur leur pratique.


votre avatar

pour le coup, c’est auprès du législateur qu’il faut se plaindre : la CNIL ne décide pas elle-même du montant maximal de ses amendes (d’ailleurs, cette “peine plafond” a été revue depuis 78 ? à part pour préciser le passage à l’Euro ?)

votre avatar

quel que soit le montant de l amende, ce qui pourrait vraiment faire bouger fb serait un blocage complet des serveurs fb/whatsapp en UE!

votre avatar

Je suis le gestionnaire du groupe Chrétiens d’Europe et j’ai mis en place il y a plus de 2 ans sur facebook&nbsp;

un compte à mon nom, puisque cela est obligatoire et &nbsp;deux groupes ‘Chrétiens d’Europe’ et ‘Europe emploi’ (offres et demandes d’emplois gratuites ).

sur mon nom je dispose de plus de 4000 membres , Chrétiens d’Europe plus de 3000 membres.

Le groupe Chrétiens d’Europe est tout simplement une communauté pour réunir des Chrétiens Catholiques , Protestants, Orthodoxes pour échanges d’idées et d’engagement politique pour faire inscrire dans la constitution Européenne que l’Europe est d’identité et de civilisation Chrétienne (même le Philosophe Onfray le définit ainsi ‘je suis Athée mais de civilisation Chrétienne’

Nous sommes engagés et nous avons soutenu le programme de la droite et du centre soutenu par Mr Fillon.

Dès cette prise de décision , la communication sur Facebook est devenu un enfer : Ralentissement, blocage, Partage impossible, impossibilité de saisir un texte &nbsp;….. nous avons fait les captures a l’écran et constituer un dossier de preuves.

Je les ai informé de ces problèmes &nbsp;sans aucune réponse à ce jour.

Devant cette situation nous avons ouvert un compte sur Google+ et nous avons réussi à faire paraître des posts avec le partage Google+ / Facebook.

Le 18 mai 2017 Facebook nous bloque complètement en évoquant que le compte a du être piraté , qu’il est bloqué et nous demande de justifier l’identité du compte principal , ce que j’ai fait immédiatement , j’ai scanné ma carte d’identité et je leur ai envoyé dans la procédure demandée par Facebook.

A ce jour aucune nouvelle ?

&nbsp;Est ce que Facebook n’aime pas les Chrétiens ou bien défend il une position politique en France ?

Jean Villars

Chrétiens d’Europe

&nbsp;

La CNIL sanctionne Facebook pour de multiples manquements sur la vie privée

  • Un ciblage publicitaire sans base légale

  • Des adresses IP conservées sans limite de durée

  • 33 millions d'internautes français affectés

  • D'autres suites prévues en Europe

Fermer