1. Accueil
  2. Inspiration
  3. De la transparence
  4. La CNIL VS Facebook, Round 1

La CNIL VS Facebook, Round 1

La CNIL VS Facebook, Round 1
Introduction
Le réseau social le plus utilisé au monde semble s’octroyer le droit de passer outre la loi du 6 janvier 1978 « Informatique et libertés », relative à la collecte des données à caractère personnel. La CNIL (Commission nationale de l’informatique et des libertés) a mis en demeure Facebook dans un rapport publié lundi 8 février au soir.

Personne n’échappe au Big Brother de l’internet. Même les petits irréductibles non-inscrits sur le leader des réseaux sociaux, sont traqués par les cookies installés sur toutes ses pages. Il suffit que l’internaute consulte une fois une page Facebook, pour que tous ses déplacements soient contrôlés sur n’importe quels sites comportant une extension vers le réseau social. Il s’agit ici du premier manquement de Facebook à la loi du 6 janvier 1978 article 32-II : « En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement. »  Pour être conforme à la loi Facebook doit signaler à l’internaute non-titulaire d’un compte, que la page qu’il visite contient des cookies, pour lui laisser le choix d’accepter ou pas, de rester sur cette page.

Le deuxième manquement est relatif à la biographie des personnes titulaires d’un compte. Les données « opinions politiques, religieuses et orientations sexuelles » sont des données dites « sensibles ». Facebook n’a aucun droit de les collecter sans le consentement exprès de l’internaute. C’est pourtant ce qu’il fait. Dans ce cas on parle du droit de l’internaute à l’information préalable : chaque fois que Facebook collecte des données à caractère personnel, il doit établir une déclaration à la CNIL et informer l’internaute concerné en lui communicant son identité, la finalité de ce traitement, le destinataire des données et les droits dont cette personne dispose selon la loi. L’internaute peut s’opposer au traitement de ses données. Dans les politiques d’utilisation de Facebook, il est précisé que « les informations recueillies au sein de l’Espace Economique Européen (EEE) peuvent être transmises à d’autres pays en dehors de l’EEE » et notamment aux Etats-Unis. Une nouvelle fois ces informations sont collectées sans l’autorisation des utilisateurs.

En effet, le responsable du traitement des données (Facebook) n’est pas obligé de demander le consentement préalable lorsque la loi l’exige, si le traitement est nécessaire pour sauvegarder la vie de la personne concernée, lors de l’exécution d’un contrat auquel la personne est en partie concernée et enfin quand il y a exécution d’une mission de service public. Ce qui n’est absolument pas le cas des situations précitées.

De plus, le réseau social traque le comportement de tous les utilisateurs, récolte leurs données personnelles et les mitraille de publicités « ciblées ». Ainsi, Facebook ne propose pas à ses utilisateurs de s’opposer à la combinaison de leurs données à caractère personnel à des fins publicitaires, comme le fait par exemple, Google. Il est une nouvelle fois hors la loi puisque l’article 7 de la loi « Informatique et libertés » stipule « Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes : Le respect d’une obligation légale incombant au responsable du traitement ; la sauvegarde de la vie de la personne concernée ; L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ; L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ; La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. »

Pratiquant une politique « anti-pseudo » (il faut obligatoirement enregistrer son nom et prénom pour s’inscrire et on ne peut en changer que tous les 3 mois), Facebook demande à certains utilisateurs de leur communiquer un dossier médical comme justificatif d’identité. Face à cette pratique farfelue la CNIL rétorque dans son rapport écrit « Un tel document comporte de nombreuses données pouvant porter atteinte à la vie privée des personnes concernées et de nombreux autres documents pourraient permettre aux inscrits de justifier de leur identité »

Une autre particularité du droit des données à caractère personnel est que ces données doivent être conservées pour une durée limitée. On ne peut pas garder des données perpétuellement. Une fois que la finalité est accomplie, les données doivent être détruites ou rendues anonymes. La durée de conservation doit être proportionnelle à la finalité. Cependant, dans la rubrique Gérer votre compte Facebook, il est possible de télécharger toutes les données archivées d’un compte. A cela la CNIL répond « qu’il n’apparaît pas proportionné de les conserver pendant une durée supérieure à 6 mois ».

Facebook dispose de trois mois pour se mettre en conformité avec la loi « Informatique et libertés », sinon la CNIL pourra infliger une sanction, telle qu’une amende administrative.