Facebook a été mis en demeure par la CNIL de corriger ses pratiques en matière de collecte et de traitement de données personnelles. Le réseau social a trois mois pour se conformer aux demandes de la CNIL, avant qu'une procédure de sanctions formelle soit éventuellement engagée. Mais ses pouvoirs sont actuellement très limités.

La CNIL a fait savoir lundi qu’elle avait décidé de mettre en demeure Facebook, après la constatation de « nombreux manquements » à la loi informatique et libertés. Le réseau social américain dispose de trois mois pour se mettre en conformité avec la législation française, ou devra subir d’éventuelles sanctions.

Suite à des contrôles dans les locaux de Facebook et à des constatations en ligne, la CNIL a en effet estimé (.pdf) que la firme de Mark Zuckerberg violait la loi française sur plusieurs points qui devront faire l’objet de correctifs :

Grâce à un cookie spécialisé déposé grâce aux boutons de partage sur Facebook que l’on retrouve sur la plupart des sites Web, le réseau social est « en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte Facebook ». Ce point fait déjà l’objet d’une procédure par la CNIL belge et en réponse, Facebook a décidé d’empêcher son utilisation par tout internaute non inscrit.

sur Facebook que l’on retrouve sur la plupart des sites Web, le réseau social est « en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte Facebook ». Ce point fait déjà l’objet d’une procédure par la CNIL belge et en réponse, Facebook a décidé d’empêcher son utilisation par tout internaute non inscrit. Facebook ne recueille pas le consentement explicite des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle .

. Aucune information n’est délivrée aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données sur le formulaire d’inscription.

et sur l’utilisation qui sera faite de leurs données sur le formulaire d’inscription. Facebook dépose des cookies à finalité publicitaire dans le navigateur, sans avoir au préalable correctement informé les utilisateurs, ni avoir recueilli leur consentement.

dans le navigateur, sans avoir au préalable correctement informé les utilisateurs, ni avoir recueilli leur consentement. Facebook ne propose pas aux internautes de mécanisme leur permettant de s’opposer au croisement de toutes les informations que le réseau social détient sur eux, lorsque le réseau social crée un profil publicitaire personnalisé.

que le réseau social détient sur eux, lorsque le réseau social crée un profil publicitaire personnalisé. Facebook transfère les données de ses membres européens vers les États-Unis en vertu d’un accord de Safe Harbor qui a été annulé. Notons que ce point est particulier osé de la part de la CNIL, alors qu’elle-même a jugé que c’était encore possible pour quelques semaines, en dépit de l’illégalité manifeste.

Des mesures concrètes à prendre

Du fait de cette mise en demeure, Facebook dispose de trois mois pour se mettre en conformité avec les demandes de la CNIL.

Outre les consentements plus explicites qu’elle devra obtenir, la société devra notamment « cesser de demander aux inscrits de justifier leur identité en fournissant un dossier médical » (c’était parfois le cas), « ne pas conserver de donnée à caractère personnel au-delà de la durée nécessaire aux finalités pour lequelles elle a été collectée et traitée, notamment en supprimant à l’expiration d’un délai de 6 mois les adresses IP utilisées par les inscrits pour se connecter aux comptes », ou encore renforcer la robustesse des mesures de sécurité (par exemple en exigeant des mots de passe plus sûrs d’au moins 8 caractères qui mélangent minuscules, majuscules, chiffres et caractères spéciaux).

« Il a été décidé de rendre public cette mise en demeure notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées par le service », explique l’autorité administrative française, qui rappelle que Facebook revendique 30 millions d’utilisateurs en France.

Des pouvoirs de sanction très limités

La CNIL a mis en demeure à la fois la maison-mère américaine Facebook Inc, et sa filiale européenne Facebook Ireland. Les deux auront beau jeu de contester la compétence de l’autorité française.

Si jamais Facebook ne mettait pas ses pratiques en conformité avec la loi, la présidente Isabelle Falque-Pierrotin pourra engager une procédure de sanction, qui commencera par la désignation d’un rapporteur chargé de proposer une sanction appropriée. Mais actuellement, la CNIL est un gendarme aux mains nues face aux géants du Web. Les sanctions sont en effet limitées à 150 000 euros d’amende, et au pouvoir de rendre publique la décision, y compris sur le site de Facebook lui-même. Une sorte de condamnation infamante qui n’a cependant eu aucun effet lorsque Google fut lui-même condamné.

Il est bien prévu de muscler considérablement les pouvoirs de la CNIL avec la loi numérique, qui porterait les sanctions à 4 % du chiffre d’affaires mondial (au maximum), mais la loi n’est pas encore promulguée. Or le fait d’avoir engagé la procédure pourrait même poser la question de la non-rétroactivité de son application à Facebook.