A la suite de l’annonce par Facebook de la modification de sa politique de confidentialité, un groupe composé des cinq autorités de protection ayant décidé de mener des investigations (France, Belgique, Pays-Bas, Espagne et Land d’Hambourg) a été créé au sein du G29 (groupe des Cnil européennes) en mars 2015. Les autorités de protection des données de Belgique, d’Allemagne (Land d’Hambourg), d’Espagne, et des Pays-Bas poursuivent actuellement leurs investigations, dans le cadre de leurs procédures nationales ainsi que dans le cadre d’une coopération administrative internationale.
La Cnil met en demeure Facebook de se conformer dans un délai de 3 mois à la loi « Informatique et Libertés »
De même, par une décision du 26 janvier 2016, la Cnil a procédé à une mise en demeure de sociétés Facebook Inc. et Facebook Ireland Limited de remédier à un certain nombre de manquements à la loi « Informatique et libertés » du 6 janvier 1978.
La Cnil a alors relevé plusieurs manquements de Facebook à la loi « Informatique et Libertés » :
- une collecte déloyale et illicite des données personnelles : en déposant des cookies sur le terminal de chaque internaute qui visite une page Facebook (pages d’un événement public ou d’un ami par exemple), le site est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers, alors même qu’ils ne disposent pas de compte Facebook (violation de l’article 6, 1° de la loi « Informatique et Libertés » du 6 janvier 1978) ;
- le manquement à l´obligation de recueillir préalablement le consentement exprès des utilisateurs pour la collecte et le traitement de données relatives à leurs opinions politiques, ou religieuses, ou à leur orientation sexuelle (violation de l´article 8 de la loi « Informatique et Libertés » du 6 janvier 1978 et des articles 226-19 et 226-24 du Code Pénal prévoyant une amende de 1.500.000 euros) ;
- le manquement à l´obligation d´information : Facebook dépose sur l’ordinateur des internautes des cookies à finalité publicitaire, sans les en avoir au préalable correctement informés ni avoir recueilli leur consentement (violation de l´article 32 II de la loi « Informatique et Libertés » du 6 janvier 1978 et des articles 131-41 et R.625-10 du Code Pénal prévoyant une amende de 7.500 euros) ;
- l’absence de base légale à la combinaison des données : Facebook procède à une combinaison massive des données recueillies dans des contextes différents sans avoir recueilli préalablement le consentement des utilisateurs (violation de l´article 7 de la loi « Informatique et Libertés » du 6 janvier 1978) ;
- le manquement à l’obligation de limiter la durée de conservation des données (violation de l´article 6-5 de la loi « Informatique et Libertés » du 6 janvier 1978 et des articles 226-20 et 226-24 du Code pénal prévoyant une amende de 1.500.000 euros) ;
- le manquement à l’obligation d´assurer la sécurité des données : l’internaute qui souhaite s´inscrire sur le site est invité à choisir un mode de passe contenant plus de 6 caractères, ce qui ne permet pas d´assurer la sécurité et la confidentialité des données auxquelles ils permettent d´avoir accès (violation de l´article 34 de la loi « Informatique et Libertés » du 6 janvier 1978 et des articles 226-17 et 226-24 du Code pénal qui prévoyant une amende de 1.500.000 euros) ;
- la mise en place des transferts des données vers les États-Unis sur la base du « Safe Harbor » qui a été invalidé par la Cour de justice de l´Union européenne dans une décision du 6 octobre 2015 en violation de l´article 68 de la loi « Informatique et Libertés » (CJUE, 6 octobre 2015, affaire C-362/14, Max Schrems c/Data Protection Commissionner) ;
- le manquement à l’obligation d’information des internautes européens sur les flux des données vers les États-Unis.
La Cnil a octroyé 3 mois à Facebook pour se conformer à la loi « Informatique et Libertés ». C´est jusqu’au 9 mai que Facebook devait présenter ses solutions à la mise en demeure.
La Cnil proroge le délai de 3 mois octroyé à Facebook
Facebook a demandé un délai supplémentaire de 3 mois pour se conformer aux critiques de la Cnil. Cette demande a été admise par la Cnil qui a déclaré que le délai obligatoire pour se mettre en conformité a été repoussé au 9 août.
La mise en demeure de la Cnil englobera également l’utilisation par Facebook des données personnelles collectés à l´aide des cookies à des fins publicitaires pour permettre aux clients de sa régie Audience Network de cibler les internautes non-inscrits sur son réseau sur la base de leur comportement de navigation.
Si Facebook ne se conformera pas à la mise en demeure jusqu’au 9 août, la Cnil pourra prononcer l’une des sanctions prévues par l´article 45 de la loi « Informatique et Libertés » (sanction pécuniaire ou injonction de cesser le traitement). D’ailleurs, la société pourrait être poursuivie au pénal, l’amende encourue pouvant atteindre 1.500.000 euros.