Mieux vaut tard que jamais : la CNIL s’intéresse enfin au pistage sans consentement des internautes par Facebook , même quand ils ne sont pas inscrits au service.
Cette violation du droit au respect à la vie privée par Facebook est connue, internationalement, depuis des années.
Apparemment, il aura fallu à la Commission nationale de l’informatique et des libertés une enquête entamée en mars 2015, suite à la modification de la politique de confidentialité de Facebook, pour vérifier la conformité de réseau social au droit français.
Outre le pistage sans consentement de tous les internautes qui ne sont pas inscrits, la CNIL a relevé de nombreux autres manquements :
- Aucune information n’est donnée aux utilisateurs sur leurs droits et sur l’utilisation qui sera faite des données du formulaire d’inscription au service ;
- Facebook ne recueille pas le consentement exprès des internautes lors de la collecte d’informations sur leurs opinions religieuses, politiques ou leur orientation sexuelle ;
- Facebook stocke des cookies à finalité publicitaire sur les appareils des internautes, sans leur consentement et sans information ;
- Facebook combine à des fins publicitaires de nombreuses données personnelles issues du réseau social, de ses filiales et de ses partenaires commerciaux, sans prévoir la possibilité pour l’internaute de refuser une telle agrégation ;
- Facebook transfère des données personnelles de ses membres européens aux États-Unis, ce qui n’est plus légal depuis l’arrêt du 6 octobre 2015 de la Cour de justice de l’Union européenne invalidant les accords du Safe Harbor.
Ce à quoi nous ajouterions les techniques de fingerprinting, ou empreintes digitales numériques: des moyens ultra-sophistiqués utilisés par des entreprises comme Facebook et Google, pour pister les internautes. En abusant massivement des navigateurs Internet, ces entreprises collectent un nombre insensé de données sur chaque connection, et le croisement de ces données leur permet, dans la plupart des cas, de reconnaître qui s’est connecté à quoi, et de dresser un historique individuel de navigation, même sans cookie, et même avec une adresse IP variable : nom, version, type et configurations du navigateur, résolution de l’écran, système d’exploitation et version, heure, fuseau horaire, région configurée, langue configurée, langue du clavier configuré, logiciels installés, polices de caractères installées, et ainsi de suite.
La CNIL exige donc que Facebook INC et Facebook Ireland, la filiale de Facebook en Europe, de se conformer à la loi dans les trois mois.
Si Facebook ne se conformait pas à cette mise en demeure, la CNIL pourrait prononcer des sanctions. Encore faudrait-il qu’elle soit dissuasive pour une multinationale qui gagne 15,5 millions d’euros chaque jour.
Le 15 juin 2015, l’équivalent belge de la CNIL, la Commission de la protection de la vie privée, avait déjà trainé Facebook devant les tribunaux pour violations ‘flagrantes et massives’ de la législation belge sur la vie privée et les données personnelles. En novembre, elle ordonnait à Facebook d’arrêter de suivre les internautes non membres sans leur consentement, et sans les informer.
Les homologues allemands, espagnols et hollandais de la CNIL ont aussi des enquêtes en cours sur les pratiques du réseau social.