C’est à la suite de l’annonce par Facebook, en 2015, de la modification de sa politique d’utilisation des données que la Cnil indique avoir procédé à des « contrôles sur place, sur pièces et en ligne » pour vérifier la conformité du réseau social à la loi Informatique et Libertés, contrôles qui lui ont permis de relever l’existence de nombreux manquements et une mise en demeure du gendarme n’a reçu que des « réponses insatisfaisantes » qui l’ont conduit à engager une procédure de sanction.

Lors de sa séance du 23 mars dernier, la formation restreinte a considéré, d’une part, que la combinaison de données dont font l’objet les utilisateurs du réseau social ne repose sur aucune base légale car si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer que ce soit lors de la création de leur compte ou ultérieurement et, d’autre part, que l’information dispensée à l’occasion de la collecte des données de navigation via le cookie « datr » [Cookie déposé sur un terminal de tout internaute qui se rend sur une page du site facebook.com et ce même si cette personne n’a pas de compte (utilisateur passif) et le cookie déposé, à chaque fois que l’internaute visite une page contenant un plug-in Facebook, Facebook est informée qu’il se trouve sur ce site et connaît ainsi tous ses centres d’intérêt.] est imprécise car elle ne permet pas aux internautes de comprendre que leurs données sont « systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social », ce qui constitue une collecte « déloyale en l’absence d’information claire et précise ».

Sur les autres manquements, il est reproché à Facebook de (i) ne délivrer aucune information immédiate aux internautes sur l’utilisation qui sera faite de leurs données, (ii) ne pas recueillir le consentement exprès des internautes lorsqu’ils renseignent des données sensibles dans leurs profils (opinions politiques ou religieuses, orientation sexuelle,…), (iii) ne pas permettre aux utilisateurs de s’opposer valablement aux cookies déposés sur leur terminal, (iv) conserver l’intégralité des adresses IP pendant toute la durée de vie du compte de l’utilisateur.

La sanction de 150 000 euros, totalement dérisoire pour le géant américain, est rendue publique aujourd'hui compte tenu du nombre élevé de manquements — six au total — et de leur gravité et qui concernent un Français sur deux, environ 33 millions de personnes.