Accéder au contenu principal
INTERNET

La Cnil épingle Facebook sur neuf points très précis

La Commission nationale de l’informatique et des libertés (Cnil) a dressé un réquisitoire très sévère contre Facebook et sa politique de collecte des données personnelles. Le géant américain a trois mois pour changer ses pratiques en France.

La Cnil a donné trois mois à Facebook pour se mettre en conformité avec le droit français
La Cnil a donné trois mois à Facebook pour se mettre en conformité avec le droit français Pixabay
Publicité

La Commission nationale de l’informatique et des libertés (Cnil) aurait-elle pris Facebook en grippe ? Dans un avis rendu public le 25 janvier et publié le 8 février, la Cnil égrène les griefs à l’encontre du seigneur américain des réseaux sociaux comme d’autres mangent des cacahuètes au comptoir.

L’organisme public retient neuf manquements à la loi française de protection des données et de respect de la vie privée. Facebook est sommé d’y apporter des réponses satisfaisantes dans les trois mois, sans quoi la Cnil se réserve le droit d’ouvrir une procédure qui pourrait aboutir à une amende de 150 000 euros.

Une sanction qui ne doit pas effrayer outre mesure Mark Zuckerberg, fort des milliards de dollars de bénéfices de son empire. Reste que le réquisitoire du "gendarme" français du Net est très sévère à l’égard du géant américain.

  • Cachez ce dossier médical…
    La Cnil s’alarme de la possibilité offerte par Facebook à ses utilisateurs de lui faire parvenir une copie du dossier médical pour prouver leur identité. “Un tel document comporte de nombreuses données pouvant porter atteinte à la vie privée des personnes concernées”, souligne les auteurs de l’avis. Facebook incite, certes, à cacher les informations sensibles, mais la Cnil estime qu’il existe suffisamment d’autres documents pour prouver l’identité.
     
  • 1234567a, léger pour un mot de passe
    La Cnil a réussi à créer un compte avec un mot de passe des plus basiques : 1234567a. Ce serait contraire à la loi qui oblige les sites gérant un nombre important de données sensibles – comme Facebook – à "prendre toutes les précautions utiles pour préserver la sécurité des données". Il faudrait, d’après l’organisme français avoir "plus de deux règles de complexité" (chiffres et lettres).
     
  • Trop de données mélangées pour être honnête
    Facebook récupère des informations dans tous les sens… Et notamment sur tous les sites visités disposant de boutons "j’aime" (ou "like") ainsi que sur tous les terminaux (ordinateurs, smartphones, tablettes…) utilisés afin de se connecter à son compte. Les données collectées comprennent le profil utilisateur, les contenus partagés et "likés", ainsi que les éléments de géolocalisation. Facebook puise également dans les informations collectées par ses autres applications comme Whatsapp ou Instagram et procède à des recoupements.

    Une manne colossale qui sert, entre autres, à "présenter des publicités pertinentes". Problème : le mélange de toutes ces informations dans la grande moulinette de Facebook n’est autorisé à des fins publicitaires que dans cinq cas très précis (comme le respect de la sauvegarde de la vie de la personne concernée, ou dans le cas d'un contrat bilatéral). Et le réseau social serait, d’après la Cnil, hors-la-loi dans son utilisation des données collectées. 
     

  • Dis-moi pour qui tu votes et avec qui tu couches… je t'enverrai des pubs
    Facebook incite ses utilisateurs à en dire beaucoup sur eux. Logique : plus ils s’épanchent sur ce qu’ils aiment, plus les publicitaires pourront leur envoyer des publicités ciblées. De quoi ravir les annonceurs. Mais pas la Cnil, qui trouve que le site va trop loin. En effet, certaines informations fournies par les utilisateurs concernent des questions sensibles comme l’orientation sexuelle, la sympathie politique ou l’appartenance religieuse.

    La Cnil estime que les abonnés ne se rendent pas forcément compte que ces données pourront être utilisées à des fins publicitaires. Elle presse donc Facebook d’ajouter des cases à cocher afin d’autoriser clairement le site à exploiter ces données ou non.
     

  • Manque de transparence
    Facebook joue les cachotiers et ça ne plaît pas à la Cnil. Le site n’informe pas les personnes concernées sur le lieu de traitement des données, la finalité de leur utilisation, et la possibilité qu’ont les internautes d’y accéder et de les rectifier. La loi française oblige pourtant de le faire, rappelle la Cnil.

  • Plus de six mois, trop long pour un historique
    La Cnil a constaté que le site avait gardé en mémoire l’historique de toutes les connexions à un compte Facebook depuis plus de six mois. Le géant américain a même conservé chaque adresse IP (identifiant des appareils connectés à Internet) utilisée pour se connecter sur ces mêmes périodes. C’est trop long d’après la commission. "Si la nécessité de lutter contre les usurpations de compte peut justifier de conserver ces données, il n’apparaît pas proportionné de les conserver pendant plus de six mois", estiment les auteurs de la note.
     
  • Le Safe Harbor, c’est fini
    Facebook justifie le transfert aux États-Unis des données collectées en France en vertu de l’accord du "safe harbor" entre l’Union européenne et les États-Unis. Selon cette règle, les données personnelles de ressortissants européens peuvent être librement stockées outre-Atlantique, car le niveau de protection des informations y serait similaire à l'Europe.

    Mais, rappelle la Cnil, la justice européenne a décidé en octobre 2015 que les révélations sur l’espionnage made in NSA avait changé la donne. Le "safe harbor" n’est depuis lors plus valide. Facebook n’aurait donc pas le droit de transférer automatiquement toutes les données sur le sol américain.

  • Sus au cookie datr. La Cnil dénonce aussi un cookie (petit fichier contenant diverses informations installé sur l’ordinateur par un site visité) très particulier : le datr. Il permet à Facebook de suivre les pérégrinations numériques d’internautes qui n’ont, pourtant, pas de compte sur le célèbre réseau social. Il suffit qu’une personne visite pour une raison ou une autre le site facebook.com pour que le cookie datr soit déposé sur l’ordinateur. Pour la Cnil, il ne s’agit pas d’une "collecte loyale et licite de données", telle que définie la loi.
     
  • Ces 13 cookies encombrants
    Facebook a déposé treize cookies sur les ordinateurs utilisés par la Cnil pour accéder au réseau social. L’installation de certains d’entre eux nécessite, d’après la loi française, l’accord explicite des utilisateurs. C’est notamment le cas des cookies publicitaires.

    La Cnil relève que dans son message de mise en garde pour les visiteurs du site, Facebook ne spécifie pas que certains cookies seront utilisés pour personnaliser les publicités. Cette absence de précision ne permet pas aux internautes de donner un accord éclairé à l’installation des cookies, assure la Commission.

Face à cette avalanche de critiques, Facebook a indiqué au Monde être confiant sur la conformité de son service avec le droit européen en matière de protection des données, et assure : "Bien entendu, nous prendrons contact avec la CNIL pour discuter des points soulevés."

Dans ce dossier, la Cnil a eu une "lecture très littérale et une application pointilleuse" de la loi, estime Le Monde. Reste à savoir si cet avis fera jurisprudence pour tous les acteurs du Net en France. Dans ce cas, d’autres géants américains de l’Internet ont du souci à se faire et d’autres multinationales comme Apple ou Google ont déjà été critiquées pour le manque de transparence de leur processus de collecte des données ou sur l’utilisation qu’elles en font.

Le résumé de la semaineFrance 24 vous propose de revenir sur les actualités qui ont marqué la semaine

Emportez l'actualité internationale partout avec vous ! Téléchargez l'application France 24

Partager :
Page non trouvée

Le contenu auquel vous tentez d'accéder n'existe pas ou n'est plus disponible.