Tweeter

Des nombreuses « infractions » à la loi française sur les données personnelles constatées à l’encontre de Facebook.

La Commission nationale informatique et liberté (CNIL), l’autorité chargée de la protection des données personnelles, annonce avoir mis en demeure Facebook, ce lundi 8 février : De nombreux manquements à la loi française sur la protection des données personnelles sont à déplorer.

La longue liste des irrégularités :

ð La publicité ciblée

Facebook combine les données personnelles de ses usagers pour proposer sans aucune base légale de la publicité ciblée.

Selon la CNIL, aucun accord exprès n’est donné par l’internaute, contrairement à ce qu’exige la loi française.

La question de la combinaison des données personnelles en vue de la publicité est certes évoquée dans les conditions d’utilisation du réseau social; elles définissent ce que peut faire Facebook avec vos données. Mais, pour la CNIL, ceci est insuffisant : la combinaison de différentes données n’est pas strictement prévue par ce  « contrat » entre l’usager et le réseau social.

Elle nécessiterait  donc une approbation spéciale de l’internaute.

Si Facebook évoquait  le fait que l’affichage de publicité est fait dans l’intérêt de l’usager, cet intérêt serait trop faible selon la CNIL et la collecte de données trop intrusive pour que Facebook se dispense d’un consentement.

ðLa collecte de données trop sensibles

Dans certains cas (pour éviter les usurpations d’identité), Facebook réclame des copies de documents permettant d’identifier l’utilisateur.

Parmi ces pièces, l’internaute pourrait être amené à soumettre un dossier médical. Or  la CNIL estime que ce document est trop sensible et que le réseau social ne doit plus l’accepter.

Le profil : « sympathie » politique et «préférences sexuelles » notamment.

Tout utilisateur de Facebook peut renseigner sur son profil, sa sympathie politique et ses préférences sexuelles : La CNIL considère que, pour se conformer à la loi, Facebook devrait indiquer précisément ce qu’il compte faire de ces informations, compte tenu de leur sensibilité et de leur nature particulière prise en compte par la loi française.

Le manque de transparence

La CNIL critique fermement la manière dont Facebook explique à ses utilisateurs ce qui va être fait de leurs données personnelles.

Pour la CNIL, en application des textes français, il faudrait que Facebook informe clairement l’usager dès le formulaire d’inscription à Facebook (et non dans un texte séparé).

La CNIL estime par ailleurs que les utilisateurs de Facebook ne sont pas suffisamment informés sur le fait que leurs données sont transférées aux Etats-Unis.

ð Transfert des données et utilisation illicite du « SafeHarbor »

Au sujet du transfert des données vers les Etats-Unis, la CNIL reproche aussi à Facebook de s’appuyer sur l’accord Safe Harbor.

Ce dernier prévoyait que les données pourraient librement être transférées, par des entreprises (comme Facebook), vers les Etats-Unis, ce pays apportant  soi-disant des garanties suffisantes en matière de protection des données.

Or, en octobre 2015, la Cour de justice de l’Union européenne a invalidé cet accord, au motif notamment que les Etats-Unis ne protégeaient pas suffisamment les données des Européens.

La CNIL demande donc à Facebook de cesser de se baser sur cet accord pour transférer aux USA les données des utilisateurs français.

ðLes problèmes de cookies ; l’utilisation du cookie «datr».

Comme son homologue belge et la justice de Bruxelles avant elle, la CNIL reproche à Facebook son utilisation du cookie «datr».

Rappelons qu’un cookie (1) est un fichier qui peut être stocké sur l’ordinateur ou le téléphone d’un internaute lorsqu’il visite un site Web : il sert à mémoriser certaines informations (un mot de passe par exemple) ou à le reconnaître lorsqu’il visite à nouveau le même site.

Or, Facebook dépose le cookie « datr », y compris sur les appareils d’internautes qui n’ont pas de compte Facebook, lorsque ces derniers se rendent sur des pages Facebook accessibles à tous.

Par ailleurs, le cookie mémorise toutes les visites de l’internaute sur les pages Web dotées par exemple du bouton « J’aime », comme dans la grande majorité  des sites Web communément visités par les internautes français.

Facebook répond à  la CNIL en reprenant les mêmes arguments qu’il avait déjà donnés aux autorités belges :

Le cookie est destiné à reconnaître les utilisateurs « normaux » de Facebook afin notamment d’empêcher le spam ou la création massive de compte. Aucun « pistage » des internautes non-inscrits à Facebook  ne serait effectué.

Pour la CNIL, cet argument n’est pas suffisant : elle demande donc à Facebook de mieux informer les utilisateurs de l’utilisation de ce cookie et des données qu’il mémorise.

Le stockage des adresses IP :

La CNIL reproche aussi à Facebook de stocker trop longtemps les adresses IP (l’identification de la connexion utilisée par l’internaute pour se connecter à Internet) de ses utilisateurs (2).

ðLes mots de passe :

La CNIL estime ainsi que Facebook déroge à la loi de 1978 sur les données personnelles en ne réclamant pas à ses utilisateurs, lorsqu’il s’inscrit, de mot de passe suffisamment compliqué.

Ainsi la CNIL illustre de manière un peu pointilleuse son propos en montrant par exemple qu’elle a pu s’inscrire sur le réseau social avec le mot de passe « 123456a », trop facile à deviner.

La CNIL demande donc à Facebook de prendre toutes les mesures pour protéger les données de ses membres, y compris, en réclamant des mots de passe sûrs.

A noter que ces avertissements  distribués en vertu d’une interprétation stricte de la loi de 1978 sur les données personnelles pourraient aussi viser de nombreuses entreprises du Web ayant des pratiques assez similaires à celle  du géant des réseaux sociaux.

Facebook dispose désormais de trois mois pour apporter des réponses concrètes  et apporter des solutions aux manquements  mis en évidence par la CNIL.

A n’en pas douter, Facebook devrait demander une extension de ce délai.

Au-delà, si la CNIL estime que Facebook n’a pas suffisamment modifié ses pratiques, elle devrait entamer une procédure de sanctions.

(1)            Petit rappel : les cookies

Comment un internaute qui a consulté un produit sur un magasin en ligne va se voir offrir des produits similaires dans les encarts publicitaires d'autres sites visités par la suite ? : La faute aux « cookies »
Les cookies sont des fichiers déposés au sein du navigateur permettant d'identifier un utilisateur et de suivre son activité. Ils sont utilisés lors de connexion à son compte sur un réseau social ou une visite et des achats sur un site marchand.
Subrepticement, ils sont parallèlement utilisés par les publicitaires pour suivre la navigation de chaque internaute et lui proposer des offres ciblées.

Ces cookies peuvent être directement liés au contenu de la page (dont les publicités, les boutons de réseaux sociaux...) ou venir d'entreprises tierces, dont le contenu n'apparaît pas sur la page Web, mais qui gardent trace de la navigation du visiteur, comme par exemple les outils de statistiques des sites.

(2)            Voir notamment :

Le traçage publicitaire sur Internet : la guerre déclarée ? Faut-il aller plus loin et bloquer les cookies de suivi ? 17 mars 2013 ... Les cookies un enjeu commercial qui provoque des tensions, ... www.aiservice.fr www.aiservice.fr/reparation-installation-maintenance-informatique-paris-13- 75013-le-tracage-publicitaire-sur-internet-la-guerre-declaree-faut-il...

Un moyen plus efficace que les « cookies » (1) pour « tracer » les internautes dans leur navigation sur le Web : le « canvas fingerprinting ». - News - publié le 26/07/2014 Dans un article publié notamment sur le site Propublica, des chercheurs des universités de Louvain (Belgique) et de Princeton (Etats-Unis) mettent en lumière un nouveau moyen de traçage sur le Web.

Pratiques déloyales sur Internet : L’IP tracking - News - publié le 25/05/2013 Comment les transporteurs notamment et , plus généralement,les sites de vente en ligne, font fluctuer le prix des billets en ligne en fonction de vos recherches ? Vous êtes « pistés » !