L’Autorité italienne de protection des données a conclu l’enquête (docweb 9080914) ouverte contre Facebook dans l’affaire « Cambridge Analytics ». Au terme des enquêtes menées, il ressort que les citoyens italiens acquis par l’application « Thisisyourdigitalife » (le test de personnalité réalisé afin de recueillir des informations personnelles qui font l’objet d’un profilage) bien qu’ils n’aient pas été transmis à Cambridge Analytica, ont néanmoins été traités de manière illégale, en l’absence d’informations appropriées et de consentement spécifique. Par conséquent, la DPA italienne a interdit son traitement ultérieur et s’est réservé le droit d’engager une procédure de sanction distincte.
Au cours de la même enquête, un traitement spécifique des données personnelles des citoyens italiens acquises lors des élections générales du 4 mars 2018 a également été mis en évidence par le biais d’un produit, appelé « Candidats », installé sur la plate-forme du réseau social.
Ce produit a permis aux électeurs qui ont fourni leur adresse postale d’avoir des informations sur les candidats dans leur circonscription et leurs projets. Facebook, tout en précisant qu’il n’enregistre pas d’informations sur la façon dont les utilisateurs se sont orientés vers ces profils, a conservé des fichiers journaux de leurs actions pendant une période de 90 jours, puis a extrait des « matrices agrégées » non mieux définies.
En outre, le jour des élections, un message est apparu dans le flux d’informations des utilisateurs de Facebook, les invitant à indiquer s’ils étaient allés voter ou non et à exprimer leur opinion sur l’importance de leur vote.
L’autorité italienne de protection des données a noté que ces deux fonctions de Facebook, spécifiquement conçues et destinées aux citoyens italiens à l’approche des élections, ne figurent pas parmi les finalités indiquées dans la « politique des données » de la plateforme.
Les données personnelles peuvent être collectées à des fins spécifiques et explicites, puis traitées d’une manière compatible avec ces fins.
D’autant plus que les finalités du traitement doivent être très bien décrites lorsque des données sensibles sont collectées, telles que celles potentiellement susceptibles de révéler des opinions politiques, de manière à permettre aux utilisateurs d’exprimer leur consentement libre et éclairé. Et les données « sensibles » sont, par exemple, des informations sur le fait de s’être rendu ou non aux urnes ou des déclarations en faveur du vote (rester visible sur la plateforme même si, selon Facebook, elle n’est pas surveillée).
Au terme de l’enquête, la DPA italienne a donc considéré comme illégitime le traitement des données effectué par Facebook comme étant basé sur un consentement générique donné par l’utilisateur au moment de l’inscription à la plateforme après avoir lu une information totalement inappropriée.
Pour ces raisons, Facebook a interdit le traitement des données collectées par ces méthodes et les évaluations exprimées par les utilisateurs à la suite du message qui préconisait le partage.
Dans ce cas également, l’Autorité a réservé l’objection de sanctions administratives pour le traitement illégal des données constatées.
La mesure a été transmise à l’Autorité de protection des données d’Irlande, le pays où est situé le principal établissement de Facebook en Europe, pour des évaluations de compétence, en coopération avec la DPA italienne.
Source: Garante Privacy