Facebook avait été mis en demeure par la CNIL de se conformer à la loi française. | Regis Duvignau / REUTERS

La sanction est finalement tombée : après des mois d’enquête et une mise en demeure, la Commission nationale de l’informatique et des libertés (CNIL) a décidé, mardi 16 mai, d’infliger une sanction de 150 000 euros à Facebook. Et ce pour « de nombreux manquements à la loi Informatique et libertés ».

La CNIL reproche notamment au plus grand réseau social au monde d’avoir procédé « à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire », peut-on lire dans un communiqué.

« Si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori. Ils sont donc dépourvus de tout contrôle sur cette combinaison. »

Des internautes tracés « à leur insu »

L’autorité de protection des données personnelles sanctionne également Facebook pour avoir tracé « à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie ». La CNIL considère que les internautes ne sont pas « clairement informés » et en mesure « de comprendre que leurs données sont systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social ». Une collecte jugée « déloyale », selon la CNIL.

L’affaire a commencé en 2015 : après une modification de la politique de Facebook concernant l’utilisation des données personnelles, la CNIL avait lancé une enquête, pour s’assurer que les règles de Facebook étaient conformes aux lois françaises. Elle avait alors constaté des manquements et mis en demeure Facebook, en janvier 2016, de se conformer dans les trois mois – renouvelés – à la loi Informatique et libertés, qui régule la façon dont peuvent être exploitées les données personnelles. Mais les réponses de Facebook aux problèmes dénoncés par la CNIL ont été jugées « insatisfaisantes ».