A l’issue de deux années de procédure, la Cnil a prononcé, le 16 mai 2017, une sanction de 150.000 euros à l’égard du réseau social.
L’annonce par Facebook de la modification de sa politique d’utilisation des données en novembre 2014 a constitué le prélude du lancement, en mars 2015, d’opérations de contrôle de conformité par cinq autorités du G29 (France, Belgique, Pays Bas, Espagne et Land d’Hambourg).
La Cnil, après avoir mis en demeure Facebook Inc et Facebook Ireland le 26 janvier 2016 puis accordé au réseau social un délai de trois mois pour conformer sa politique de confidentialité à la loi Informatique et Libertés, a finalement désigné un rapporteur afin d’engager une procédure de sanction.
Réunie en formation restreinte le 23 mars 2017, l’autorité de contrôle a dans une délibération du 27 avril 2017 prononcé une sanction à l’encontre des deux sociétés d’un montant de 150.000 euros.
La formation restreinte a en effet relevé plusieurs manquements du réseau social parmi lesquels la combinaison massive de données à des fins de ciblage publicitaire sans recueil préalable du consentement des utilisateurs et sans possibilité pour ces derniers de s’y opposer. La Cnil a considéré que si les utilisateurs étaient en mesure de contrôler l’affichage publicitaire sur leur compte, ces derniers ne disposaient d’aucun moyen de contrôle sur la combinaison de ces données.
En outre, le traçage des internautes par le biais d’un cookie « datr » pendant leur navigation sur des sites tiers comportant un module social, ne répondait pas aux prescriptions légales relatives à l’obligation d’information. La Cnil a estimé que la collecte par Facebook de ces données était déloyale en l’absence d’information claire et précise.
La formation restreinte a également relevé des lacunes quant aux informations sur les droits des internautes et sur l’utilisation faite des données recueillies dans les formulaires d’inscription et quant au consentement des utilisateurs au traitement de leurs données sensibles.
L’autorité de contrôle a en outre considéré que les utilisateurs n’étaient pas en mesure de s’opposer efficacement au dépôt de cookies sur leur équipement terminal. Enfin, elle a relevé que Facebook ne démontrait pas la nécessité d’une conservation des adresses IP des utilisateurs pendant toute la durée de vie de leur compte.
En conséquence, la CNIL a prononcé une sanction publique de 150.000 euros à l’encontre des deux sociétés Facebook Inc et Facebook Ireland.
Pour justifier le recours à la condamnation maximale auparavant en vigueur, la Cnil se fonde sur la gravité des manquements et le nombre considérable d’utilisateurs concernés en France, s’élevant à 33 millions.
Cette décision, bien qu’attendue sur la position de la Cnil, est relative par le caractère dérisoire de la sanction. L’enquête étant intervenue avant l’entrée en vigueur de la loi pour une République numérique et du Règlement européen sur la protection des données, la Cnil s’est privée d’une occasion de prononcer une condamnation plus significative et davantage ajustée aux manquements commis par le réseau social.
En effet, la loi pour une République numérique prévoit un régime de sanctions faisant passer le plafond de 150.000 à 3 millions d’euros et dès mai 2018, la Cnil sera en mesure de prononcer des sanctions plus conséquentes, à hauteur de 4% du chiffre d’affaires mondial du groupe ou 20 millions d’euros.