Le régulateur espagnol de la vie privée lui reproche de ne pas informer clairement les internautes sur la collecte et l’exploitation de leurs données personnelles.

Le régulateur espagnol des données personnelles AEPD « Agencia espanola de proteccion de datos » a infligé une amende de 1,2 million d’euros au plus grand réseau social au monde. Il lui est reproché d’avoir exploité les données personnelles de ses utilisateurs espagnols, mais aussi d’internautes non-inscrits à Facebook, à des fins de ciblage publicitaire, sans avoir préalablement obtenu leur consentement éclairé.

L’AEPD estime dans un communiqué que les conditions d’utilisation du réseau social sont génériques et manquent de clarté et qu’un utilisateur de Facebook avec une connaissance moyenne des nouvelles technologies ne sait pas que ses données sont collectées, stockées et exploitées.

L’agence espagnole lui reproche de collecter des données sur l’idéologie, le sexe, les croyances religieuses, les goûts personnels et l’historique de navigation sans informer clairement l’utilisateur sur l’usage et l’objectif de cette opération, ce qui est interdit par la loi espagnole.

L’AEPD sanctionne aussi le réseau social pour la collecte de données issues de pages qui ne sont pas sur Facebook. C’est-à-dire qu’un internaute naviguant sur une page contenant un bouton « j’aime », ce qui est très fréquent, se voit installer sur sa machine un « cookie », c’est-à-dire un petit programme capable de transmettre des informations à Facebook. Cela fonctionne aussi quand les internautes ne sont pas membres du réseau social, mais ont déjà visité une de ses pages, mais aussi quand des utilisateurs de Facebook naviguent sur ces pages extérieures, sans être connectés à leur compte. Là encore, ce qui lui pose problème est le manque d’information pour les utilisateurs.

Enfin, l’AEPD reproche à Facebook de conserver longuement ces données, même quand un utilisateur du réseau social a supprimé son compte et demandé que ses données soient supprimées. Facebook recueille et exploite les données plus de dix-sept mois après la suppression du compte, à travers un cookie.

Facebook a annoncé qu’elle comptait faire appel de cette décision. En mai 2017, le réseau social avait déjà été condamné en France par la CNIL (Commission Nationale Informatique et Libertés) à 150 000 euros d’amende pour des raisons proches, lui reprochant de pister à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie.