Le gardien français des données personnelles pointe des combinaisons de données sans consentement, le suivi discret de la navigation web ainsi que la conservation sans limite des adresses IP liées à un compte. Elle inflige à l'entreprise son amende maximale (150 000 euros), alors que d'autres autorités travaillent en parallèle en Europe.
Le montant affectera peu Facebook, contrairement à l'annonce. La CNIL a prononcé une sanction de 150 000 euros à l'encontre du réseau social, soit le maximum que la commission peut aujourd'hui infliger. Une valeur qui changera dès l'année prochaine puisqu'il sera alors question de 20 millions d'euros ou 4% du CA mondial.
La raison de cette décision ? Six manquements à la loi Informatique et libertés. De la combinaison de données au dépôt de cookies sans consentement, les pratiques de l'entreprise sont passées au crible. L'enquête, menée par les autorités de la Belgique, de l'Espagne, de la France, des Pays-Bas et du Land d’Hambourg, suit la modification de la politique d'utilisation des données de Facebook en 2015. Après de nombreux échanges infructueux, la commission a donc décidé de sévir.
Un ciblage publicitaire sans base légale
Le premier reproche concerne la combinaison massive de données d'internautes pour le ciblage publicitaire, « en l'absence de base légale ». Les utilisateurs peuvent s'opposer à l'affichage des publicités ciblées, mais pas au traitement des données en toile de fond.
« Aucun des documents mis à la disposition des utilisateurs [...] ne mentionne expressément la combinaison de données » reproche d'ailleurs la commission dans sa délibération. « Ils sont donc dépourvus de tout contrôle sur cette combinaison » écrit l'institution. « Facebook Ireland a insisté sur le fait que la gratuité du service était subordonnée à l’affichage de publicités personnalisées » note l'autorité dans sa délibération.
Le second problème est l'utilisation d'un cookie tiers (datr) pour suivre les internautes sur les sites tiers sans qu'ils ne le sachent. Quand les boutons sociaux traquent l'internaute, celui-ci n'en sait donc rien. Aucune information précise n'est fournie via le bandeau de cookies, ni de réglage simple, Facebook préférant renvoyer vers les paramètres du navigateur. Une mesure insuffisante pour un choix libre, tacle la commission française.
Des adresses IP conservées sans limite de durée
Le réseau social ne propose aucune information immédiate sur les droits et l'utilisation des données, notamment à l'inscription. Il ne fournit pas non plus d'indication du caractère sensible de certaines données (opinions politiques, religieuse et orientation sexuelle) quand les internautes les fournissent, alors que la page devrait au moins contenir une case à cocher.
Les membres devraient aussi être informés sur la nature des données exportées hors de l'Union européenne, sans qu'elles ne soient effectuées sur la base de l'accord Safe Harbor (depuis remplacé par le Privacy Shield) vers les États-Unis. L'entreprise était appelée à renforcer la robustesse des mots de passe... et à ne plus conserver indéfiniment toutes les adresses IP associées à un compte. Un comportement qu'elle n'a pas su justifier.
33 millions d'internautes français affectés
En janvier 2016, Facebook et Facebook Irlande ont été mis en demeure de se conformer sous trois mois. La période a été renouvelée en mai, jusqu'à août de la même année. Malgré plusieurs réunions, notamment en juillet 2016, « la société Facebook Inc. n’a pour sa part apporté aucune réponse à la mise en demeure ».
Face à ces « réponses insatisfaisantes », la formation restreinte a décidé le 23 mars d'appliquer la sanction maximale au groupe, au vu nombre de manquements et de personnes concernées (33 millions en France).
Le montant, de 150 000 euros aujourd'hui, aurait pu aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial si la mesure avait été prononcée après le 25 mai 2018. C'est à ce moment qu'entrera en vigueur le règlement européen sur la protection des données (RGPD), qui renforce notamment l'armement des autorités européennes.
D'autres suites prévues en Europe
Facebook est sur la sellette ailleurs dans l'Union pour ses pratiques. Il y a quelques jours, l'autorité italienne de la concurrence a prononcé une sanction de trois millions d'euros au groupe, pour avoir forcé les membres de WhatsApp à partager leurs données avec le réseau social. Une combinaison que l'entreprise disait impossible au rachat du service de messagerie en 2014, facilitant l'accord des autorités.
L'enquête européenne aura sûrement d'autres conséquences pour Facebook. Dans un communiqué commun (PDF), les cinq autorités concernées détaillent les changements. En Belgique, elle a envoyé le dossier devant le tribunal de première instance de Bruxelles, qui doit entendre les parties en octobre.
Aux Pays-Bas, elle vérifie les modifications apportées par Facebook, avant d'éventuellement décider d'une sanction. Dans le Land d'Hambourg en Allemagne, la justice a donné son blanc-seing aux autorités, qui ont demandé l'arrêt des combinaisons de données de WhatsApp. L'enquête est toujours en cours en Espagne.
Elles affirment que Facebook a nié la validité des lois nationales dans chaque pays. Toutes lui ont rétorqué qu'elles le sont bien. Un point sur lequel la CNIL elle-même a bien insisté dans sa délibération, balayant les arguments de Facebook sur le rôle limité de sa branche française. En réponse à la sanction de la CNIL, le réseau social réaffirme respecter le droit européen.
Commentaires (35)
Je note ce passage croustillant “, pour avoir forcé les membres de WhatsApp à partager leurs données avec le réseau social. Une combinaison que l’entreprise disait impossible au rachat du service de messagerie en 2014”.
C’est bien dès le rachat par FB que j’ai desinstallé whatsapp. Alors oui FB jurait qu’il ne croiserait pas les données et oui je jouais les Cassandre en me disant qu’il le ferait un jour ou l’autre. Et vu le prix du rachat de Whatsapp c’etait tout vu.
Pour le reste 150 000 euros d’amende c’est ridicule. Et une condamnation pour le fait de traquer les utilisateurs n’ayant pas FB ? et les shadow profiles ?
La surveillance des utilisateurs n’ayant pas FB est citée ici je pense :
“Le second problème est l’utilisation d’un cookie tiers (datr) pour suivre les internautes sur les sites tiers sans qu’ils ne le sachent. Quand les boutons sociaux traquent l’internaute, celui-ci n’en sait donc rien. Aucune information précise n’est fournie via le bandeau de cookies, ni de réglage simple, Facebook préférant renvoyer vers les paramètres du navigateur. Une mesure insuffisante pour un choix libre, tacle la commission française.”
La CNIL ne peut pas donner d’amende significative, c’est un problème récurrent. Mais si l’an prochain la situation est la même je pense qu’ils vont devoir payer les 4% du CA.
De toute façon Facebook est devenu le lobby du divertissement … Ils sont intouchables maintenant et quand bien même ils brassent tellement que ce que la justice peut leur infliger est une pacotille …
Bienvenue dans l’air “réseaux sociaux et télé-réalités” … jamais internet n’aura fait brassé autant de fric …
150 000 euros pour une boite qui pèse plus de 300 milliards 
" />
Faut donc pas s’étonner si les entreprises web collecte des informations sur les visiteurs.
Gaffe à la mise en page des commentaires, sauter de ligne tous les 6 mots, ça rend le truc insupportable à lire :)
Oo un bug d’affichage ? Su mon poste, il n’y a pas de sauts de ligne superflu
la CNIL a utilisé sa capacité à mettre des amendes au maximum. Elle a fait ce qu’elle pouvait.
Elle considère donc que les manquements de facebook sont très graves.
bien sûr, il est hasardeux de dire que FB aurait été sanctionné à hauteur de 20m ou de 4% de leur chiffre d’affaire si le règlement était déjà en vigueur.
Par contre, il semble que de nombreuses autorités de protection des données de l’UE soient sur le coup, ce qui peut multiplier l’amende totale, la législation étant harmonisée.
Il faut aussi prendre en compte le potentiel dégât à l’image de marque de FB. C’est difficile à quantifier, mais ça a souvent un impact non négligeable.
S’étonner du principe non.
Par contre il est tout à fait légitime de s’étonner qu’une si grosse boite, aussi portée sur les bénéfices soit elle, viole les règles posées par le législateur afin d’encadrer la collecte et l’utilisation des données personnelles.
Il est encore plus légitime d’apprécier l’attitude des autorités de protection des données qui ne baissent pas les bras parce que ça “rapporte”.
“une sanction de 150 000 euros à l’encontre du réseau social, soit le maximum que la commission peut aujourd’hui infliger”
Petite rectification : la loi République numérique du 7 octobre 2016 a porté le montant maximum de la sanction CNIL à 3 millions d’euros (article 47 de la loi Informatique et Libertés modifiée).
En l’espèce, la procédure avait été engagée en janvier 2016, c’est donc le droit en vigueur à l’époque qui s’applique (sanction max de 150 000 euros).
Voilà c’est tout pour moi.
La CNIL a prononcé une sanction de 150 000 euros à l’encontre du réseau social, soit le maximum que la commission peut aujourd’hui infliger. Une valeur qui changera dès l’année prochaine puisqu’il sera alors question de 20 millions d’euros ou 4% du CA mondial.
Cool mais pas encore assez ça sera encore un permis de voler mais sauf les gros pourront tenter leur chance… Montant du préjudice réèl * 2 et il y aura plus d’arnaque.
Amusant…
" />
Condamner FB pour atteinte à la vie privée c’est un peu comme condamner un boulanger pour fabrication de pain ou un bistrot pour vente d’alcool…
plutôt le condamner pour avoir vendu de l’alcool frelaté, du pain avec de la farine à l’amiante, ou de la sciure pour augmenter ses marges.
Le problème c’est l’abus pas la collecte.
Ceci dit je te rejoins complètement sur l’inconscience de bon nombre des utilisateurs du “service”.
Bah c’est une entreprise américaine qui fait du business à l’américaine.
Facebook doit pas trop comprendre en quoi le ciblage publicitaire viole la vie privée des français.
Merci de la correction, il me semblait bien que le plafond avait augmenté, mais j’ai eu la flemme de chercher.
han. Désolé.
Elle inflige à l’entreprise son amende maximale (150 000 euros)
Même pas sûr qu’après le relèvement du plafond l’amende soit beaucoup plus élevé, y’aura du lobbying de tous les côtés pour empêcher ça
Je me félicite d’avoir bloqué 0xfaceb00c au niveau de mon serveur DNS, de ne pas passer par le serveur DNS de mon FAI, de supprimer systématiquement toutes les données locales de mes navigateurs à chaque fois que je les ferme, d’utiliser indifféremment Safari et Firefox sous macOS et Firefox sous Linux, et d’avoir une @ IP dynamique.
Heu bah quand même, 4% du CA mondial ça me parait pas négligeable…
Sur 2016 ça aurait dépassé le milliard…
On attend l’obligation d’afficher le message “Facebook vous la met profond, en savoir plus sur le site de la CNIL” pour que cela ait un effet efficace ! Là 98% des utilisateurs de Facebook n’en sauront jamais rien.
Facebook est devenu tellement intrusif, avant je gardais mon compte pour les évènements mais l’envie de le supprimer est devenue plus justifiée (même si apparemment il continue de te traquer après…).
L’amende est ridicule (la CNIL fait ce qu’elle peut en attendant le RGPD). Cela ne contraindra Facebook à rien. La seule façon de les faire changer, c’est de taper là où ça fait mal : l’image, et le non-respect des règles. Mais personne n’ira lire l’info sur le site de la CNIL, d’où la nécessité de le faire apparaître sur Facebook. Si des millions d’utilisateurs voient “Facebook vous a ****” cela peut avoir un INpact. Cela a déjà été le cas pour des sites e-commerce qui avaient aussi dépassé les bornes des limites, et même pour Google qui avait affiché le message sur sa page d’accueil. Donc pourquoi ne pas le faire pour Facebook ?
http://www.lemonde.fr/entreprises/article/2017/05/18/l-ue-sanctionne-facebook-pour-le-rachat-de-whatsapp_5129616_1656994.html
110 millions d amende de la commission européene, c est déjà un peu plus pertinent pour que FB se bouge que les ridicules 150 k de la CNIL!
pour le coup, c’est auprès du législateur qu’il faut se plaindre : la CNIL ne décide pas elle-même du montant maximal de ses amendes (d’ailleurs, cette “peine plafond” a été revue depuis 78 ? à part pour préciser le passage à l’Euro ?)
quel que soit le montant de l amende, ce qui pourrait vraiment faire bouger fb serait un blocage complet des serveurs fb/whatsapp en UE!
Je suis le gestionnaire du groupe Chrétiens d’Europe et j’ai mis en place il y a plus de 2 ans sur facebook
un compte à mon nom, puisque cela est obligatoire et deux groupes ‘Chrétiens d’Europe’ et ‘Europe emploi’ (offres et demandes d’emplois gratuites ).
sur mon nom je dispose de plus de 4000 membres , Chrétiens d’Europe plus de 3000 membres.
Le groupe Chrétiens d’Europe est tout simplement une communauté pour réunir des Chrétiens Catholiques , Protestants, Orthodoxes pour échanges d’idées et d’engagement politique pour faire inscrire dans la constitution Européenne que l’Europe est d’identité et de civilisation Chrétienne (même le Philosophe Onfray le définit ainsi ‘je suis Athée mais de civilisation Chrétienne’
Nous sommes engagés et nous avons soutenu le programme de la droite et du centre soutenu par Mr Fillon.
Dès cette prise de décision , la communication sur Facebook est devenu un enfer : Ralentissement, blocage, Partage impossible, impossibilité de saisir un texte ….. nous avons fait les captures a l’écran et constituer un dossier de preuves.
Je les ai informé de ces problèmes sans aucune réponse à ce jour.
Devant cette situation nous avons ouvert un compte sur Google+ et nous avons réussi à faire paraître des posts avec le partage Google+ / Facebook.
Le 18 mai 2017 Facebook nous bloque complètement en évoquant que le compte a du être piraté , qu’il est bloqué et nous demande de justifier l’identité du compte principal , ce que j’ai fait immédiatement , j’ai scanné ma carte d’identité et je leur ai envoyé dans la procédure demandée par Facebook.
A ce jour aucune nouvelle ?
Est ce que Facebook n’aime pas les Chrétiens ou bien défend il une position politique en France ?
Jean Villars
Chrétiens d’Europe