Facebook : ce que doit changer le réseau social pour respecter le droit à la vie privée des Français

Trois mois. C'est le temps laissé à Facebook pour se mettre en conformité avec la loi Informatique et Libertés. Après des contrôles effectués dans ses locaux au printemps dernier et des constations en ligne, le réseau social a été mis en demeure par la Commission nationale de l'informatique et des libertés (CNIL) pour ses pratiques en matière de collecte de d'utilisation des données des internautes. S'il ne change pas son fusil d'épaule dans le délai imparti, le site de Mark Zuckerberg s'exposera à des sanctions financières.

Que reproche précisément la CNIL à Facebook ? Dans un long réquisitoire mis en ligne lundi 8 février, l'autorité a listé les différents manquements du groupe américain à la législation française. Ceux-ci visent à a la fois la façon dont la société de Mark Zuckerberg collecte les informations personnelles de ses utilisateurs, au nombre de 30 millions en France, et leur traitement à des fins publicitaires. 

Les informer des données personnelles qu'ils partagent

Premier grief : Facebook ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions publiques ou religieuses et à leur orientation sexuelle. La CNIL demande à Facebook de se conformer à la loi française et de demander un consentement direct à ses membres. La CNIL reproche aussi à Facebook de demander des copies de documents trop sensibles pour identifier ses utilisateurs. Le site devra par exemple "cesser de demander aux inscrits de justifier leur identité en fournissant un dossier médical". 

Plus de transparence dès le formulaire d'inscription

La CNIL met aussi en cause le manque de transparence de Facebook, qui ne délivre aucune information aux internautes sur leurs droits et sur l'utilisation qui sera faite de leurs données sur le formulaire d'inscription au service. Le réseau social est invité à informer ses membres en ce sens plus clairement, dès le formulaire d'inscription et non dans un texte distinct comme c'est le cas actuellement.

La Commission demande à Facebook de "ne pas conserver de donnée à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elle a été collectée et traitée, notamment en supprimant à l'expiration d'un délai de six mois les adresses IP utilisées par les inscrits pour se connecter aux comptes". 

Leur permettre de s'opposer à leur traitement publicitaire

L'autorité cible également la mécanique publicitaire du site qui "procède à la combinaison de toutes les données personnelles qu'il détient sur eux". Un traitement qualifié de "massif" et "susceptible de méconnaître l'intérêt des utilisateurs inscrits et leur droit fondamental au respect de la vie privée" qui nécessite une approbation directe de l'internaute, estime la CNIL.

Mieux protéger les données des utilisateurs

L'autorité enjoint l'entreprise de Mark Zuckerberg de respecter le cadre de transfert de données personnelles entre l'Europe et les États-Unis et de ne plus s'appuyer sur l'accord Safe Harbor, invalidé en octobre, qui prévoyait que les données puissent librement transiter par des entreprises vers les États-Unis car ce dernier apporte des garanties suffisantes pour les protéger. 

Le site est aussi sommé de renforcer ses mesures de sécurité en exigeant des mots de passe plus sûrs mélangeant majuscules, minuscules, chiffres et caractères spéciaux.

Cesser de tracer les internautes non inscrits

Comme l'Europe et la justice belge avant elle, la CNIL veut aussi protéger les internautes qui ne sont pas inscrits sur Facebook. Le réseau social se voit ici reprocher de déposer sur l'ordinateur des internautes (via les boutons de partage des événements publics notamment) des cookies (des fichiers servant à mémoriser des informations sur les habitudes des internautes) à des fins publicitaires sans les avoir informés ni leur avoir demandé leur autorisation. 

Lire la suite