Sanction de Facebook par la CNIL : amende de 150 000 euros

Dans une délibération en date du 27 avril 2017, et rendue publique, la CNIL a prononcé une amende de 150 000 euros à l’encontre de Facebook pour de nombreux manquements à la loi informatique et libertés.

Il faut rappeler que Facebook, pour des faits similaires, faisait aussi l’objet d’enquêtes par d’autres agences de contrôle européennes. La commission belge de la protection de la vie privée a d’ailleurs récemment publié de nouvelles recommandations « à propos du suivi des utilisateurs et des non-utilisateurs de Facebook à travers les cookies, les plugins sociaux et les pixels » et qu’elle entend en demander l’exécution judiciaire (12 et 13 octobre 2017 devant le Tribunal de première instance de Bruxelles).

Au terme des investigations menées par la CNIL, ont été relevés notamment :

• Une combinaison massive des données à caractère personnel des internautes afin de proposer par la suite des publicités ciblées ;
• un usage de cookies à des fins de tracking.

Le tout sans respect de la législation applicable.

L’amende prononcée fait suite à la mise en demeure qui avait été adressée à Facebook, mais à laquelle l’entreprise n’a pas répondu de manière satisfaisante selon la CNIL. Cette dernière a considéré que l’entreprise opérait un traitement des données qui ne reposait sur aucun fondement légal notamment parce que les internautes ne consentaient à aucun moment à ce que leurs données soient corrélées à des fins de ciblage publicitaire, et ne pouvait pas non s’y opposer facilement le cas échéant. Relativement à la collecte des données de navigation, l’information fournie aux utilisateurs quant à la gestion des cookies a été considérée comme imprécise, ne constituant pas une information suffisante, claire et intelligible.

Au nombre des autres manquements constatés :

• une information insuffisante des personnes quant à leurs droits et aux finalités du traitement des données à caractère personnel ;
• l’absence d’information spécifique aux données sensibles (opinions politiques, religieuses, orientation sexuelle..) ni de recueil d’un consentement express ;
• l’impossibilité pour les personnes de s’opposer à l’installation de cookies sur leur terminal ;
• une durée de conservation des données excessive (i.e. pendant toute la durée de vie d’un compte utilisateur).

L’amende est certes notable mais elle est insignifiante pour un opérateur comme Facebook. Depuis l’adoption de la loi pour une République numérique et la modification de l’article 47 de la loi informatique et libertés, le plafond maximal de sanction de la CNIL passe de 150 000 euros à 3 millions d’euros et à compter du 25 mai 2018 (entrée en application du RGPD) les sanctions pourront s’élever jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires de sorte que la compliance deviendra un réel enjeu, pas uniquement pour les petites et moyennes entreprises mais également pour les entreprises plus conséquentes et notamment les GAFA.

Retrouvez ici notre site internet dédié à la protection des données personnelles.