La CNIL a listé ce qu'elle estime être des infractions à la loi française sur les données personnelles. | JOEL SAGET / AFP

La Commission nationale de l’informatique et des libertés (CNIL), l’autorité chargée de la protection des données personnelles, a annoncé avoir mis en demeure Facebook, lundi 8 février, lui reprochant de nombreux manquements à la loi française sur la protection des données personnelles. Un long réquisitoire, contre la manière dont Facebook collecte et exploite les données de ses 30 millions d’utilisateurs français, que la CNIL a décidé de publier.

Que reproche-t-elle à Facebook ? La liste est longue.

  • Une charge contre la publicité ciblée

La CNIL estime que Facebook combine les données personnelles de ses usagers pour proposer de la publicité ciblée sans aucune base légale. Pour la CNIL, aucun consentement direct n’est donné par l’internaute, contrairement à ce qu’exige la loi française. La question de la combinaison des données personnelles en vue de la publicité est bien évoquée dans les conditions d’utilisation du réseau social, ce texte qui définit ce que peut faire ce dernier avec les données. Pour la CNIL, c’est insuffisant : la combinaison de différentes données n’est pas strictement prévue par ce « contrat » entre l’usager et le réseau social, et nécessite donc une approbation distincte de l’internaute.

La CNIL remarque que Facebook pourrait s’affranchir de ce consentement explicite en arguant, conformément à la loi, que l’affichage de publicité est fait dans l’intérêt de l’usager. Selon la CNIL, cet intérêt est trop faible et la collecte de données trop intrusive pour que Facebook se dispense d’un consentement.

  • Des données collectées trop sensibles

Dans certains cas, Facebook réclame des copies de documents permettant d’identifier l’utilisateur (afin, notamment, d’éviter qu’il se fasse passer pour quelqu’un d’autre). Parmi ces pièces, l’internaute peut soumettre un dossier médical : la CNIL estime que ce document est trop sensible et que le réseau social ne doit plus l’accepter.

Tout utilisateur de Facebook peut aussi renseigner, sur son profil, sa sympathie politique et ses préférences sexuelles. La CNIL juge que, pour se conformer à la loi, Facebook devrait indiquer précisément ce qu’il compte faire de ces informations, compte tenu de leur sensibilité et de la nature particulière que leur confère la loi française.

  • Un manque de transparence

La CNIL critique aussi vertement la manière dont Facebook explique à ses utilisateurs ce qui va être fait de leurs données personnelles. Pour la Commission, il faudrait que le réseau social les informe clairement dès le formulaire d’inscription à Facebook, conformément aux textes français, et non pas dans un texte séparé.

La CNIL juge aussi que les utilisateurs de Facebook ne sont pas suffisamment informés sur le fait que leurs données sont transférées aux Etats-Unis.

  • Utilisation illicite du Safe Harbor

Au sujet du transfert des données vers les Etats-Unis, la CNIL reproche aussi à Facebook de s’appuyer sur l’accord Safe Harbor. Ce dernier prévoyait que les données puissent librement être transférées, par des entreprises comme Facebook, vers les Etats-Unis, au motif que ce pays apportait des garanties suffisantes en matière de protection des données. En octobre 2015, la Cour de justice de l’Union européenne en a décidé autrement et l’a invalidé, au motif notamment que les Etats-Unis ne protégeaient pas suffisamment les données des Européens. La CNIL demande donc à Facebook de cesser de se baser sur cet accord pour transférer de l’autre côté de l’Atlantique les données de ses utilisateurs français.

  • Problèmes de cookies

Comme son homologue belge et la justice de Bruxelles avant elle, la CNIL reproche à Facebook son utilisation du cookie « datr ».

Un cookie est un fichier qui peut être stocké sur l’ordinateur ou le téléphone d’un internaute lorsqu’il visite un site Web : il sert à mémoriser certaines informations (comme un mot de passe) ou à le reconnaître lorsqu’il visite à nouveau le même site. Facebook dépose le cookie « datr » y compris sur les appareils d’internautes qui n’ont pas de compte Facebook, lorsque ces derniers se rendent sur des pages Facebook accessibles à tous. De plus, le cookie mémorise toutes les visites de l’internaute sur les pages Web dotées, par exemple, du bouton « J’aime », soit la majeure partie des sites Web communément visités par les internautes français.

Facebook a fait valoir auprès de la CNIL les mêmes arguments qu’il avait opposés aux autorités belges : ce cookie est destiné à reconnaître les utilisateurs « normaux » de Facebook – pour notamment empêcher le spam ou la création massive de compte – et aucun « pistage » des internautes non inscrits à Facebook n’est effectué. Pour la CNIL, cette raison, valable, n’est pas suffisante : elle réclame à Facebook de mieux informer les utilisateurs de l’utilisation de ce cookie et des données qu’il mémorise.

La CNIL reproche aussi à Facebook de stocker trop longtemps les adresses IP – un numéro qui identifie la connexion utilisée par l’internaute pour se connecter à Internet – de ses utilisateurs.

La Commission, dans sa mise en demeure, fait de la loi de 1978 sur les données personnelles une lecture très littérale. Elle estime, par exemple, que Facebook y déroge en ne réclamant pas à ses utilisateurs, lorsqu’ils s’inscrivent, de mot de passe suffisamment compliqué. La Commission pointe qu’elle a pu s’enregistrer sur le réseau social avec le mot de passe « 1234567a », particulièrement faible car facile à deviner. Pour la Commission la loi impose à Facebook de prendre toutes les mesures pour protéger les données de ses membres, y compris, donc, en réclamant des mots de passe sûrs. Cette application pointilleuse devrait inquiéter de nombreuses entreprises du Web dont les pratiques sont similaires à celle du plus grand réseau social du monde.

« La protection de la vie privée est une priorité pour Facebook, a assuré mardi une porte-parole de l’entreprise contactée par Le Monde. Nous sommes confiants que notre service est en conformité avec le droit européen en matière de protection des données. Bien entendu, nous prendrons contact avec la CNIL pour discuter des points soulevés. »

Le réseau social dispose désormais de trois mois pour pallier les manquements repérés par la CNIL, ou demander une extension de ce délai. A l’issue de cette période, la CNIL pourra, si elle estime que Facebook n’a pas suffisamment modifié ses pratiques, entamer une procédure de sanction.