Données personnelles : Facebook tancé vertement par la CNIL

La CNIL vient de hausser le ton contre Facebook sur sa façon de collecter et d’utiliser les données personnelles. Le régulateur a mis en demeure le réseau social de corriger d’ici 3 mois les manquements qu’il a constatés lors de son enquête. Cette dernière s’est déroulée au début avril 2015 et s’est étalée jusqu’en décembre dernier.

Les récriminations sont nombreuses. En premier lieu, la CNIL tique sur la combinaison des données à des fins publicitaires sans avoir obtenu le consentement des abonnés. Concernant les données combinées, le régulateur recense : les informations fournies lors de l’inscription à Facebook; les activités des abonnés (contenus partagés); les données sur les terminaux utilisés (PC, mobiles, indications GPS, numéro de téléphone, etc.); les clics sur les boutons j’aime sur des sites tiers; des données issues de sites appartenant à Facebook (Instagram ou WhatsApp). Dans la même veine, la mise en place d’un cookie à finalité publicitaire sur l’ordinateur des usagers n’est pas assez documentée, ni soumise au consentement de l’abonné. Pire encore, Facebook trace la navigation des utilisateurs non-inscrits via un cookie.

Les données sensibles, une menace à peine voilée

Autre point de discorde, la collecte de données jugées sensibles comme les opinions politiques, ou religieuses, et l’orientation sexuelle doit faire l’objet d’une demande exprès de consentement. Concrètement, les sages requièrent la présence « d’une case à cocher dédiée à l’approbation de l’usage de leurs données personnelles sensibles ». Ils rappellent en forme d’avertissement les articles 226-19 et 226-24 du code pénal relatifs à la conservation de données sensibles (origines ethniques ou raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales, santé ou orientation sexuelle) sans consentement exprès. Le manquement à ces articles est punissable d’une amende pouvant atteindre 1,5 million d’euros.

La CNIL a constaté par ailleurs que, dans certains cas, Facebook peut être amené à demander « des justificatifs d’identité tels qu’un dossier médical, par exemple lorsque des abonnés veulent remplacer leur nom de famille par celui d’une célébrité ». Dans sa décision, le régulateur juge cette demande de dossier médical non pertinente et demande donc à Facebook de réclamer des justificatifs « adéquats, pertinents et non excessifs ».

Transparence absente et Safe Harbor invalidé

L’absence de transparence est mise en exergue par la CNIL. Les abonnés ne sont pas informés sur le traitement de leurs données personnelles lors de leur inscription. La Commission demande donc d’indiquer plusieurs éléments comme l’identité du responsable du traitement, sa finalité, le caractère obligatoire ou facultatif des réponses, les droits d’accès, de rectification et le cas échéant d’opposition. Comme précédemment, la CNIL montre le chiffon rouge du code pénal avec, à la clé, une amende pouvant atteindre 7 500 euros.

Dernier point en lien avec l’actualité, la CNIL considère que le transfert des données personnelles d’abonnés européens de Facebook vers les Etats-Unis ne doit plus se faire sur la base du Safe Harbor. Ce dernier a en effet été invalidé par la Cour de Justice de l’Union européenne à la fin 2015. Son remplaçant, le Privacy Shield, vient juste d’être entériné par les autorités communautaires et américaines et dans l’attente d’une ratification.

A lire aussi :

UE : les règles de confidentialité révisées de Facebook restent non-conformes
Facebook : la France au top 5 des requêtes gouvernementales

Crédit Photo : Willyam Bradberry-Shutterstock