C'est un véritable tir croisé contre les pratiques de Facebook en France auquel viennent de se livrer deux institutions chargées de lutter pour la loyauté et la transparence des entreprises. Coup sur coup, lundi soir et mardi, la Cnil et la DGCCRF (la Direction générale de la concurrence) ont mis en demeure le réseau social de se mettre en conformité avec la loi française, après avoir pointé une série d'infractions.

Les procédures lancées par les deux institutions sont indépendantes, mais complémentaires. Ces dernières semaines, la Cnil et la DGCCRF ont échangé des informations pour faire avancer leurs enquêtes. Elles ont décidé d'agir à la surprise de Facebook, qui fait part de sa «déception». Le réseau social avait prévu de célébrer mardi la journée mondiale pour un Internet plus sûr en mettant en ligne un site pour mieux comprendre le sujet des données personnelles.

L'action de la DGCCRF concerne «la présence de clauses abusives, interdites par la loi» dans les conditions d'utilisation de Facebook. L'administration qui dépend de Bercy cite notamment le «pouvoir discrétionnaire» que s'arroge le réseau social pour retirer des contenus et «modifier unilatéralement ses conditions d'utilisation». Facebook a 60 jours pour rectifier le tir. L'entreprise, qui se dit ouverte au dialogue, doit trouver un équilibre entre ces exigences et les demandes de modération urgente de contenus illégaux. Toute modification devra être répercutée à l'international.

Orientations politiques

La Cnil, de son côté, laisse trois mois à l'entreprise américaine pour réagir. La liste des griefs, plus fournie, remet en cause sur certains points le fonctionnement même du réseau social. Des perquisitions ont été menées au printemps dernier pour constituer ce dossier.

L'autorité s'attaque à la collecte des informations sensibles. Le réseau social ne recueille pas de «consentement exprès lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle», déplore la Cnil. L'autorité reproche aussi à Facebook de «combiner» toutes les données dont il dispose sur ses utilisateurs pour lui adresser de la publicité ciblée. Ce traitement «massif» est «susceptible de méconnaître (…) leur droit fondamental au respect de la vie privée», assène la Cnil. Si Facebook permet à ses membres de supprimer leurs préférences, il n'existe pas de moyens de s'opposer à la collecte des données.

Les internautes qui ne sont pas membres du réseau social ne sont pas épargnés.«Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu'ils ne disposent pas de compte», dès lors qu'ils ont visité une fois ses pages, décrit l'autorité. La Cnil reprend les conclusions d'une enquête de son homologue belge. L'entreprise affirme utiliser ces informations à des fins de sécurité et les supprimer au bout de dix jours. Ces explications ont été jugées insuffisantes pour la Cnil, qui rappelle que les données personnelles doivent être traitées «de manière loyale et licite».

Dans son long réquisitoire, la Cnil reproche à Facebook de fournir des pièces justificatives, «tel qu'un dossier médical», pour attester de son identité. Elle l'invite à exiger des Français des mots de passe plus complexes, à mieux informer de l'usage des cookies déposés dans les navigateurs et à supprimer après six mois les historiques des adresses IP. Elle enjoint enfin à l'entreprise de respecter le nouveau cadre de transfert des données personnelles entre l'Europe et les États-Unis, après l'invalidation du «Safe Harbor» en octobre 2015.

Facebook se dit «confiant que son service est en conformité avec le droit européen en matière de protection des données» Ces accusations de la Cnil rejoignent des procédures lancées en Belgique, en Allemagne, aux Pays-Bas et en Espagne. Elles pourront aboutir à une sanction administrative (150.000 euros, à ce jour). Une action devant la juridiction civile est également envisageable, avec une amende jusqu'à 1,5 million d'euros sur l'un des points soulevés. Les amendes de la DGCCRF peuvent aller, elles, jusqu'à 10 % du chiffre d'affaires de l'entreprise