CNIL : Facebook écope d’une amende symbolique de 150 000 euros

La CNIL vient de condamner Facebook à une amende de 150 000 euros pour plusieurs manquements liés à la collecte massive des données de ses membres.

Une paille, une broutille, certes, mais un symbole sans aucun doute. La CNIL vient de condamner Facebook à une amende de 150 000 euros pour plusieurs manquements à la loi Informatique et Libertés. Le réseau social est depuis plusieurs années sous la surveillance des CNIL européennes pour sa façon de collecter et de traiter les données de ses membres.

Dans le cas présent, l’affaire débute en 2015 après que Facebook a modifié sa politique d’utilisation des données. La CNIL a mené alors des contrôles faisant ressortir plusieurs manquements, dont au moins deux ont retenu l’attention du régulateur. En premier, le réseau social procède à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire. En second, il trace à leur insu les internautes, avec ou sans compte, sur des sites tiers via  un cookie (« datr »).

Après une mise en demeure et des réponses insatisfaisantes de la part de la société américaine, la CNIL s’est donc réunie en formation restreinte pour décider d’éventuelles sanctions. Dans sa décision, la Commission précise l’absence de base légale pour la combinaison des données. Elle considère que « si les utilisateurs disposent de moyens pour maitriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori ». Sur la question du cookie « datr », le régulateur observe que « l’information dispensée via le bandeau d’information relatif aux cookies est imprécise ». Et d’ajouter : « cette collecte massive de données effectuée via le cookie ‘datr’ est déloyale en l’absence d’information claire et précise ».

Une sanction plus lourde avec le RGPD en 2018

La CNIL constate aussi d’autres manquements complémentaires, comme l’absence de consentement sur des données sensibles (sexe, religion, politiques), l’absence d’explications sur la conservation des adresses IP, l’absence d’opposition aux cookies, etc.

En conséquence, Facebook est donc condamné à une amende de 150 000 euros. Il s’agit de la sanction pécuniaire la plus élevée prononçable par la CNIL. En cas de récidive, ce montant peut atteindre un maximum de 300 000 euros. Facebook est donc invité par cette première condamnation à revoir ses pratiques en termes de collecte et de traitement des données. Une amende purement symbolique, car elle représente  0,0006% des résultats du réseau social au 1er trimestre 2017.

Par contre, si l’affaire devait perdurer jusqu’en 2018, les choses pourraient en aller autrement avec la mise en œuvre du RGPD, le règlement général sur la protection des données européen. Ce texte prévoit un relèvement sensible des capacités de sanctions : jusqu’à 20 millions d’euros ou 4% du CA mondial. On se doute qu’à ce tarif-là, Facebook et les autres grands acteurs américains seront plus attentifs aux exigences des CNIL européennes.

A lire aussi :

Données personnelles : la CNIL inflige 15 000 € d’amende à Allocab

SNDS : la CNIL tousse sur la sécurité du grand fichier de santé

crédit photo © nito – surstocker