Le 8 février 2016, la CNIL a annoncé publiquement mettre en demeure Facebook, en lui reprochant des manquements graves à la loi Informatique et Libertés constatés suite à des contrôles effectués en ligne et sur place.
De plus, en demandant aux internautes de fournir des justificatifs d’identité lors de leur inscription sur son site, et notamment le dossier médical, Facebook commettrait un manquement grave au principe légal de proportionnalité des données par rapport à la finalité poursuivie. La CNIL considère cette pratique comme non pertinente et excessive.
La loi Informatique et Libertés obligeant expressément dans son article 8 au recueil d’un consentement préalable au traitement des données sensibles, la CNIL estime que Facebook agirait dans l’illégalité en ne prévoyant pas de case à cocher dédiée à l’approbation de l’usage et de la collecte des données sensibles des utilisateurs. En l’espèce, il s’agirait de données relatives aux opinions politiques, religieuses et à leur orientation sexuelle suite aux renseignements fournis par les utilisateurs lors de leur inscription sur le site.
De même, la CNIL considère qu’aucune information dans le formulaire d’inscription n’est délivrée aux utilisateurs de Facebook sur l’utilisation qui sera faite de leurs données, sur la finalité de leur traitement ainsi que sur leur droit d’accès, de rectification ou d’opposition comme le prévoit l’article 32 de la loi.
Concernant l’usage des cookies, la CNIL retient que les conditions de collecte des données ne seraient pas loyales.
De plus, il est reproché à Facebook de ne pas respecter les conditions d’installation des cookies déposés à des fins publicitaires (article 32-II de la loi) en raison de l’absence d’information et de consentement préalable des membres du réseau social.
Enfin, la décision de la CNIL souligne que Facebook continuerait de transférer les données personnelles des utilisateurs vers les Etats-Unis sur le fondement de l’accord Safe Harbor alors que celui-ci a été invalidé par la décision de la Cour de Justice de l’Union Européenne du 6 octobre 2015.
Facebook est donc la première société en Europe à être mise en demeure sur ce dernier sujet. Elle dispose de trois mois pour se conformer à la mise en demeure sous peine de se voir sanctionner par la CNIL et de risquer une amende de 150 000€, ce qui constitue encore pour quelques mois le maximum.
Alice GAUTRON