Décidément, Facebook est dans le collimateur sur le continent européen. Déjà visée par trois plaintes – en Irlande, en Belgique et en Allemagne – déposées par le juriste autrichien et militant de la vie privée, Max Schrems, la petite entreprise de Mark Zuckerberg se retrouve, en France, aussi bien dans le viseur de la Commission nationale de l'informatique et des libertés (Cnil) que dans celui de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Et sous le coup de deux mises en demeure successives.
Les internautes pistés «à leur insu»
C'est la Cnil qui a ouvert le bal lundi soir, en publiant sa mise en demeure sur son site. Pour le gendarme des données personnelles, l'entreprise américaine est clairement hors des clous de la loi informatique et libertés. Griefs listés par la Cnil : non seulement le géant du Net ne recueille pas le «consentement exprès» de ses utilisateurs pour traiter leurs données sensibles (orientation sexuelle, opinions politiques, religieuses…) et combine, sans qu'ils puissent s'y opposer, «toutes les données personnelles qu'il détient» sur eux pour leur proposer de la pub ciblée, mais en prime, il traque «à leur insu» des internautes qui ne sont même pas inscrits sur le réseau social. Il suffit que ces derniers visitent une page Facebook publique pour hériter, sur leur ordinateur ou leur smartphone, d'un «cookie» qui enregistrera leur passage sur les pages web contenant un bouton Facebook (de «like», de partage, de connexion…).
Cerise sur le gâteau : pour transférer les données personnelles des utilisateurs français sur ses serveurs aux Etats-Unis, Facebook s'appuie encore sur l'accord américano-européen dit «Safe Harbor» invalidé, en octobre dernier, par la Cour de justice de l'Union européenne, et dont la renégociation est en cours.
A lire aussi : Safe Harbor, quand la justice européenne tente de protéger nos données des grandes oreilles américaines
Du côté de l'entreprise, contactée par Libération, on tempère : «Nous sommes confiants sur le fait que notre service est en conformité avec le droit européen en matière de protection des données», a déclaré un porte-parole, qui annonce que le géant du Net va prendre contact avec la Cnil pour «discuter des points soulevés». Reste que d'après la lettre de mise en demeure, Facebook et sa filiale en Europe Facebook Ireland ont trois mois pour se conformer à la loi française. Faute de quoi, elles risquent des sanctions pécuniaires. Celles-ci, limitées pour l'heure à 150 000 euros, pourraient à moyen terme monter à 4 % du chiffre d'affaires annuel mondial : c'est ce que prévoit le futur règlement européen sur les données personnelles, appelé à entrer en vigueur en 2018, mais aussi le projet de loi «pour une République numérique», actuellement en discussion au Parlement, qui pourrait faire prendre à la France un temps d'avance.
Des «clauses abusives» dans les conditions d'utilisation
Ce mercredi matin, la DGCCRF a tiré la seconde salve, qui vise cette fois Facebook Ireland et Facebook Payments International, une société également basée en Irlande qui gère les paiements effectués par les utilisateurs sur le réseau social. En cause, cette fois, les conditions d'utilisation, qui contiennent, explique l'injonction, des «clauses abusives, interdites par la loi». En résumé, ce sont celles qui permettent à Facebook de prendre des décisions unilatérales, sans en avertir au préalable les consommateurs : retrait de contenus, modification des conditions d'utilisation, ou résiliation du service de paiement.
En vertu de quoi la DGCCRF demande aux deux entreprises de «supprimer ou modifier» ces clauses abusives, dans un délai de deux mois. Pour l'heure, Facebook n'a pas encore réagi.