Réponse du Ministère de la justice
Le gouvernement est particulièrement vigilant sur les questions touchant à la protection des données à caractère personnel des internautes et notamment des utilisateurs de réseaux sociaux. Sur ces sujets, le gouvernement et la CNIL s'efforcent d'améliorer la transparence des pratiques des réseaux sociaux en ce qui concerne l'exploitation des données à caractère personnel de leurs membres ou de toute autre personne, et tâchent de donner les moyens aux internautes d'accepter ou de refuser en toute connaissance de cause les opérations de traitement, y compris lorsqu'elles consistent à tracer leur navigation. Il faut d'abord rappeler que tout traitement de données à caractère personnel est soumis aux principes de nécessité et de loyauté et doit avoir une base légale, notamment du fait du consentement de la personne ou d'un intérêt légitime à effectuer le traitement. En outre tout responsable de traitement doit respecter les droits des personnes sur les données qui les concernent (information, accès, rectification, opposition) dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 dite « Informatique et libertés ». Il convient ensuite d'indiquer que l'article 32-II de la loi du 6 janvier 1978, modifié par l'ordonnance n° 2011-1012 du 24 août 2011, qui a transposé la directive 2009/136/CE concernant plusieurs textes en matière de communications électroniques, impose aux responsables de traitement, et donc le cas échéant aux réseaux sociaux, de donner une information complète à la personne concernée sur l'utilisation des "cookies"déposés sur son terminal. Le même article impose également aux responsables de traitement de recueillir l'accord, même tacite, des personnes concernées pour le dépôt de ces"cookies" sur leur terminal. S'agissant plus spécifiquement des pratiques observées sur les réseaux sociaux, mises à part les procédures juridictionnelles en cours, et les travaux du groupe de travail G29 visant à éclaircir les pratiques en matière de respect de la confidentialité, les internautes ont donc les moyens d'exprimer un choix éclairé quant au traçage de leur navigation, en particulier à des fins publicitaires, quelles que soient la technologie utilisée ou la société les exploitant. Par ailleurs, le règlement sur la protection des données à caractère personnel (UE) 2016/679 a été adopté le 27 avril 2016 et entrera en vigueur en mai 2018. Ce texte, qui réforme l'ensemble du droit de la protection des données civiles et commerciales, vise notamment à renforcer la transparence des traitements, les conditions de consentement aux traitements de données, par exemple pour les mineurs, ainsi que le droit d'information des personnes en matière de profilage (croisement de données sur la même personne afin d'en établir un profil) et le droit d'opposition des utilisateurs. Enfin, les traitements de données à caractère personnel évoqués dans la question ont été analysés par différentes autorités de protection des données de l'Union européenne (France, Belgique, Pays-Bas, Espagne et Land d'Hambourg), qui ont mené des investigations dès mars 2015. Cela a donné lieu à une mise en demeure n° 2016-007 du 26 janvier 2016, par laquelle il est demandé à Facebook de collecter loyalement les données de navigation des internautes ne disposant pas de compte, et de permettre aux membres de s'opposer à la combinaison de l'ensemble de leurs données à des fins publicitaires. La procédure suit son cours. Mises en œuvre conjointement, ces actions visent à redonner le pouvoir de gérer leurs données aux internautes et à conduire les opérateurs à plus de transparence, de façon à renforcer la confiance des internautes.