Objet : Plainte de l’association Internet Sans Frontières contre Facebook pour atteintes à la protection de données à caractère personnel
Madame la Présidente,
Nous vous écrivons la présente en notre qualité de Conseils de l’association Internet Sans
Frontières, déclarée à la Préfecture de police de Paris, mention parue au Journal officiel le
26 avril 2008, dont le siège social est actuellement situé 19, rue Oberkampf à Paris 75011,
laquelle a notamment pour objet de « promouvoir et défendre la liberté d’expression sur
internet, la protection des données personnelles (respect de la vie privée) et la neutralité
d’internet ».
L’association Internet Sans Frontières entend en effet porter plainte à l’encontre de la société
Facebook Ireland Limited (ci-après « Facebook ») dont le siège social est situé Hanover
Reach, 5-7 Hanover Quay, Dublin 2, Irlande, en sa qualité d’éditeur du site internet «
www.facebook.com ». Il est précisé dans les conditions générales d’utilisation dudit site
internet que Facebook, Inc. est une entreprise établie et enregistrée dans l’État du Delaware
sous le numéro d’inscription « 3835815, Secretary of State, State of Delaware ».
A titre liminaire, il convient de souligner l’importance qu’attache l’association Internet Sans
Frontières à la protection des données et des informations personnelles des utilisateurs du
réseau Internet. Elle oeuvre à ce titre, notamment, pour que les internautes conservent la
maîtrise de leur vie privée sur le net et des données personnelles les concernant, ainsi que
la maîtrise de leur identité numérique.
Or, suite aux manquements graves reprochés à Facebook, partout dans le monde,
concernant le fonctionnement de sa plateforme, faits largement relayés dans la presse
internationale sans que Facebook n’ait apportée, depuis, de justifications contredisant ces
allégations, de nombreux internautes français ont manifesté leur inquiétude auprès de
l’association Internet Sans Frontières.
A cet effet, cette dernière a alors décidé de mener une enquête dont les conclusions ont
clairement confirmées le bien fondé des inquiétudes rapportées par les internautes.
C’est la raison pour laquelle l’association a souhaité déposer la présente plainte auprès de la
CNIL.
Internet Sans Frontières reproche en effet à Facebook de porter de nombreuses atteintes à
la protection des données personnelles en violation de la loi 78-17 du 6 janvier 1978
modifiée dite Informatique et Libertés.
1. Sur la collecte déloyale et frauduleuse de données personnelles
En premier lieu, il apparaît que Facebook collecte de manière parfaitement déloyale
et frauduleuse des données personnelles de ses utilisateurs, sans que ces derniers
n’en soient informés ni que leur consentement – libre, exprès et spécifique, n’ait été
requis.
En effet, Facebook dépose, notamment, des « cookies » dans les ordinateurs des
titulaires de compte Facebook, sans les avoir préalablement informés ni leur avoir
demandé leur consentement.
Il apparaît même que Facebook crée des « cookies zombies » dans les ordinateurs
des titulaires d’un compte Facebook, sans les avoir préalablement informés ni leur
avoir demandé leur consentement.
Les « cookies zombies » correspondent à des « cookies » HTTP recréés après leur
suppression par le titulaire de compte, à partir de sauvegardes stockées dans le
cache de stockage des « cookies » du navigateur web utilisé, dans un autre lieu de la
machine du même utilisateur.
Ces « cookies » peuvent être installés sur un navigateur web qui a choisi de ne pas
recevoir de « cookies » car ils ne sont pas entièrement configurés comme des
« cookies » traditionnels.
Ces faits sont relayés par la presse internationale sans que Facebook ne justifie du
contraire1.
1 Ces faits sont relayés par http://www.wired.com/epicenter/2009/08/you-deleted-your-cookies-think-again/ ;
http://www.wired.com/epicenter/2010/12/zombie-cookie-settlement/ et https://nikcub.appspot.com/loggingLa
« Federal Trade Comission », qui protège les consommateurs aux Etats Unis, a
condamné Facebook, le 11 octobre 2011, pour collecte frauduleuse et déloyale de
données personnelles à des fins de traçabilité (« tracking ») des consommateurs en
ligne2.
En second lieu, il apparaît que les scripts diffusés par Facebook permettent aux
sites internet de proposer des boutons « like » et de collecter ainsi des données sur
le trafic du site internet en question, ainsi que sur l’historique de la navigation des
internautes. Ces données sont non seulement relatives à des titulaires de compte
Facebook, qu’ils soient ou non connectés à la plateforme de Facebook, mais elles
sont également relatives à des non titulaires de compte Facebook dont Facebook
conserve les données à leur insu3.
C’est la raison pour laquelle un Land Allemand a décidé d’interdire le bouton « like »
de Facebook4.
En troisième lieu, il apparaît que Facebook met en oeuvre un système de
reconnaissance faciale, à l’insu des personnes concernées, et ce, alors qu’il s’agit
d’une technologie biométrique soumise à autorisation préalable de l’autorité de
régulation compétente.
En effet, depuis le 15 décembre 2010, Facebook a, unilatéralement et sans avoir au
préalable, d’une part, informé de manière claire et précise ses utilisateurs sur les
caractéristiques de ce dispositif biométrique collectant et conservant leurs données à
caractère personnel, ni, d’autre part, requis le consentement exprès, libre et
spécifique de ses utilisateurs pour la mise en oeuvre d’un tel dispositif intrusif.
Il apparaît que, depuis cette date, Facebook a procédé à la collecte et au traitement
de milliards de photographies de ses utilisateurs.
Si Facebook prétend pouvoir justifier le recours et la mise en oeuvre d’un tel dispositif
à des fins d’amélioration de son service de reconnaissance faciale, il apparaît que
celui-ci se révèle particulièrement disproportionné au regard du but recherché,
compte tenu de son caractère excessivement intrusif.
Par ailleurs, la désactivation de cette fonction par le titulaire d’un compte Facebook
est si complexe qu’elle n’est pas effective. En effet, pas moins de 7 clicks sont
nécessaires depuis la page d’accueil pour s’opposer à ce traitement.
L’association Internet Sans Frontières s’inquiète des finalités réelles du dispositif
biométrique ainsi mis en oeuvre. En tout état de cause, le traitement de données à
caractère personnel y afférent est particulièrement sensible, dans la mesure où les
données ainsi collectées et traitées peuvent être interconnectées avec d’autres bases
de données biométriques numérisées ou disponibles sur Internet. L’association
s’inquiète également des destinataires potentiels d’un tel traitement de données à
caractère personnel, notamment les autorités publiques.
En quatrième lieu, selon une plainte déposée en Irlande, il apparaît que Facebook
collecte des données personnelles relatives à des personnes physiques qui ne sont
même pas titulaires de compte Facebook via l’interconnexion de fichiers, notamment
out-of-facebook-is-not-enough
2 http://www.ftc.gov/opa/2011/11/scanscout.shtm
3 http://nikcub.appspot.com/facebook-fixes-logout-issue-explains-cookies
4 http://www.zdnet.fr/actualites/facebook-un-land-allemand-interdit-le-bouton-j-aime-39763159.htm
avec ceux stockés dans les téléphones mobiles de type smartphone au moment de
leur synchronisation, ou, encore, avec ceux des messageries électroniques de type
webmails (comme hotmail ou gmail).
En cinquième lieu, il apparaît que Facebook conserve les noms et prénoms des
personnes qui font l’objet de requêtes formulées par des titulaires de compte
Facebook dans le moteur de recherche Facebook lequel permet de rechercher une
personne dans l’ensemble de la communauté « Facebook »5 et 6. Les personnes
concernées ne sont pas informées de la collecte et du traitement de leurs données.
Par ailleurs, ces données, qui ont vocation in fine à inviter ces non membres du
réseau Facebook à le devenir, sont susceptibles d’être conservées pendant une
durée excessive.
Ces faits violent les articles 6, 7, 32 et suivants de la loi Informatique et Libertés.
2. Sur le non respect du droit de suppression des données et la conservation
pendant une durée excessive des données personnelles
En premier lieu, il apparaît que les données supprimées par le titulaire d’un compte
Facebook sont, en réalité, conservées dans la base de données de Facebook, à
l’insu des personnes concernées7. Elles ne sont pas archivées dans une base de
données distincte et dont l’accès est limité.
En second lieu, il apparaît que, lorsque le titulaire d’un compte Facebook supprime
son compte, ses données sont en réalité conservées par Facebook. Elles ne sont pas
archivées dans une base de données distincte et dont l’accès est limité.
Ces faits violent les articles 38 et suivants de la loi Informatique et Libertés.
* *
*
Compte tenu de ce qui précède, l’association Internet Sans Frontières porte plainte par la
présente auprès de la Commission et se tient à sa disposition pour toutes précisions ou
informations complémentaires.
Nous vous prions de croire, Madame la Présidente, à l’assurance de notre parfaite
considération.
5 http://www.lefigaro.fr/hightech/2011/10/25/01007-20111025ARTFIG00540-les-etranges-profils-fantomesde-
facebook.php
6 http://www.generation-nt.com/mon-carnet-adresses-appartient-facebook-entraide-3897191.html
7 http://europe-v-facebook.org/FR/Plaintes/plaintes.htm
Merav Griguer Oury Chouchana
P.J. : dossier résultant de l’enquête de l’association Internet Sans Frontières sur le dispositif
biométrique de reconnaissance faciale de FacebookLe Commissaire à l'information prévient "Facebook viole la loi vie privée allemande." Des informations détaillées peuvent être trouvées ici: www.schleswig-holstein.de/facebook
Source : Internet Sans Frontières porte plainte contre Facebook devant la CNIL.
Plainte : PDF