Collecte des données sur Internet : Facebook épinglé par la CNIL

La Commission nationale de l’informatique et des libertés (CNIL) accuse Facebook d’utiliser les données personnelles de ses utilisateurs sans leur accord, notamment dans un but commercial. Ce lundi 8 février, l’autorité administrative indépendante française a donné trois mois au géant américain pour se conformer au droit national sur la protection des données personnelles. Décryptage.

C’est une véritable charge contre Facebook. Au total, cinq autorités de protection européennes France, Belgique, Pays-Bas, Espagne et le Land allemand de Hambourg ont enquêté depuis mars 2015 sur le réseau social, après l’annonce de la modification de sa politique de confidentialité.

A la suite de ses investigations, la CNIL a décidé de mettre en demeure l'entreprise de Mark Zuckerberg. Une procédure rendue publique « notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées par le service Facebook [plus de 30 millions d’utilisateurs en France] », explique la CNIL dans un rapport publié sur son site le 8 février 2016. Voici ses principales accusations :

■ Manque de transparence

Le cœur du problème soulevé par le gendarme français de l’informatique et des libertés, c’est la transparence, ou plutôt le manque de transparence de Facebook. La CNIL demande au réseau social d’informer davantage ses utilisateurs, notamment lorsqu’il est susceptible d’utiliser leurs données personnelles. A ce sujet, le 9 février sur la radio France Inter, la présidente de cette autorité indépendante, Isabelle Falque-Pierrotin, a clairement réclamé à Facebook de « demander le consentement des personnes pour la mutualisation tous azimuts des données ».

■ Collecte des données

La présidente de la CNIL fait ainsi référence aux millions de données recueillies par Facebook, mais aussi par les autres réseaux sociaux appartenant au géant américain, à savoir Instagram et WhatsApp. En clair, lorsqu’un internaute commente un article, regarde une vidéo, ou « aime » une page internet, ces données sont ensuite compilées pour constituer un profil.

La CNIL accuse Facebook de combiner non seulement les données « que vous [les internautes] avez laissées vous-même », mais aussi à travers « la navigation sur d'autres sites qui alimentent ce profil. […] Et en naviguant sur Instagram et WhatsApp, vous nourrissez encore plus ce profil », explique Mme Falque-Pierrotin. Ces données croisées aboutissent à « une base de données absolument gigantesque qui se nourrit en permanence et pas toujours avec le consentement des personnes », dénonce-t-elle. Des données qui peuvent aussi bien être relatives aux loisirs des internautes qu'à « leurs opinions politiques ou religieuses et à leur orientation sexuelle », précise le rapport de la CNIL.

■ Au-delà des utilisateurs de Facebook

Ce qui intrigue le plus dans le rapport de la CNIL, c’est la mention de cookies petits fichiers enregistrés sur le disque dur de l’internaute et contenant des informations sur la navigation effectuée sur le site qui serviraient au réseau social non seulement à traquer ses utilisateurs, mais également ceux qui n’ont pas ouvert de compte. N’importe quel internaute pourrait ainsi récupérer à son insu un cookie en se connectant sur une page Facebook publique, comme un événement ou la page d’une personnalité par exemple.

« Ce cookie permet alors au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton Facebook ["J’aime" ou "Se connecter" par exemple] », explique la CNIL dans son rapport. Un « défaut de transparence », selon sa présidente, « ou d'information par rapport à ces utilisateurs ».

■ Publicité ciblée

Autre irrégularité soulignée par la CNIL, le fait de collecter des données pour proposer des publicités ciblées à ses utilisateurs. Ce n’est certes pas une nouveauté, en revanche, ce qui est illégal pointe l’instance indépendante dans son rapport du 8 février, c’est le fait de ne pas avoir « recueilli le consentement » des internautes au préalable ni de leur avoir proposé un « mécanisme leur permettant de s’opposer à la combinaison de l’ensemble de ces données à des fins publicitaires ». Un manquement qui « méconnaît leurs droits et intérêts fondamentaux et porte atteinte au respect de leur vie privée », dénonce la CNIL.

■ Transfert de données de l’Europe aux Etats-Unis

Enfin, le dernier manquement que pointe la CNIL, c’est le fait que Collecte des données sur Internet : Facebook épinglé par la CNIL continue de transférer les données de ses membres européens aux Etats-Unis « sur la base du Safe Harbour ». Un cadre juridique qui permettait aux Etats-Unis depuis l’année 2000 d’avoir accès aux données des internautes européens, mais qui a été invalidé le 6 octobre par la Cour de Justice de l'Union européenne, suite aux scandales d’espionnage de la NSA (services de renseignement américains).

► Ce que risque Facebook

Pour autant, la CNIL rappelle que cette mise en demeure « n'est pas une sanction » et qu'« aucune suite ne sera donnée à cette procédure si les sociétés se conforment à la loi dans le délai imparti » de trois mois. En revanche, si le réseau social ne se plie pas à la loi « informatique et libertés », qui impose un cadre pour la récolte des données en ligne, il risque 150 000 à 1,5 million d’euros d’amende en cas de poursuite pénale, précise le site Next Inpact.

En cas de condamnation, une amende même de plus d’un million d’euros - serait certes bien loin de dissuader le géant du web qui pèse plusieurs milliards d’euros. Mais elle pourrait tout de même porter atteinte à l’image du réseau social. Parmi ses 30 millions d’utilisateurs français d'abord, mais aussi chez ses plus d’1,5 milliard de membres actifs à travers le globe.