La commission belge en charge de la protection des données personnelles critique l'attitude de Facebook quant au traitement qu'opère le service en matière de recueil des informations. La CPVP estime que le réseau social est en mesure de suivre les habitudes de navigation des utilisateurs mais également des non-utilisateurs, par le biais de modules sociaux présents sur des sites tiers.
« Des exemples de modules sociaux sont les boutons "J'aime" et "Partager". Les propriétaires de sites Internet externes qui ajoutent de tels modules sociaux à leur site Internet intègrent en quelque sorte un morceau de Facebook dans leur site Internet », explique la CPVP dans son document de travail (.pdf).
L'autorité précise que ces modules permettent au réseau social de disposer d'informations sur les sites visités par l'utilisateur. « Facebook se trouve ainsi dans une position unique, étant donné qu'elle peut facilement relier les habitudes de navigation de ses utilisateurs à leur identité réelle, à leurs interactions sur les réseaux sociaux et à des données sensibles telles que des informations médicales, des préférences religieuses, sexuelles et politiques », ajoute l'autorité.
Ainsi, un utilisateur connecté à Facebook qui visite une page contenant un module du réseau social enverra jusqu'à 11 cookies ainsi que l'URL de la page visitée. Ces cookies d'identification unique s'avèrent être c_user (contient l'ID Facebook de l'utilisateur), datr (contient un ID de navigateur unique), fr (contient l'ID Facebook crypté et l'ID du navigateur) puis et lu (contient l'ID crypté du dernier utilisateur).
Pour les utilisateurs déconnectés ou ceux qui l'ont désactivé (non supprimé définitivement), la CPVP estime que, dans cette même configuration, Facebook recevra 4 cookies dont « l'URL de la page visitée et les cookies d'identification unique fr et datr ».
Après avoir nié, les réponses de Facebook sont jugées insuffisantes
Malgré la mise en place d'un correctif, la CPVP considère que le compte n'y est toujours pas et estime ne pas avoir reçu de réponse satisfaisante de la part de la société américaine.
Bloquer le traçage de Facebook
A la suite de ses observations, l'autorité émet plusieurs recommandations à l'attention non seulement du réseau social lui-même mais également des propriétaires de sites ou des simples utilisateurs.En ce qui concerne Facebook, la CPVP demande à la société de faire toute la transparence quant à l'utilisation exacte des cookies recueillis. Elle souhaite ainsi que la société précise pour chaque élément quelle est la finalité (publicité, sécurité...) de la collecte d'informations personnelles. L'autorité souhaite que Facebook demande expressément une autorisation de recueil des données auprès de chaque utilisateur, y compris pour les modules sociaux.
Pour les propriétaires de sites qui souhaitent implémenter ces modules, l'organisme rappelle qu'ils doivent en informer leurs visiteurs et obtenir leur « consentement spécifique pour les cookies et autres métafichiers dont il ne maîtrise probablement pas la réutilisation ».
Quant aux recommandations émises en direction des utilisateurs, la CPVP conseille l'installation de trois outils permettant de « bloquer le traçage » réalisé par le réseau social (Privacy Badger, Ghostery ou Disconnect) ou bien d'utiliser la navigation privée. Dans ce dernier cas de figure, les navigateurs, une fois fermés, peuvent effacer l'historique de navigation ou les cookies générés par l'utilisateur.
A lire également