En tant que Délégué à la Protection des Données (DPO) externe, je me suis interrogée sur la compatibilité des outils numériques utilisés au quotidien avec le Règlement Général sur la Protection des Données (RGPD). Aujourd’hui, je vous propose d’entamer une série d’articles dédiés aux réseaux sociaux les plus populaires en France. Aidée dans mes recherches non pas par une mais par 2 IA (GEMINI et CHATGPT), je vais regarder de façon synthétique leurs pratiques et tenter de donner une évaluation objective de leur conformité.
Pourquoi 2 IA? les 2 sont américaines mais pas entrainées sur les mêmes bases et les résultats n’ont pas été identiques en tout point. Quelques approximations, quelques générations spontanées d’erreurs aisément repérables après une simple relecture et parfois nécessitant un peu plus de recherche mais dans l’ensemble, les éléments produits ont été pertinents!
Commençons par le mastodonte des réseaux sociaux : Facebook. Avec ses milliards d’utilisateurs à travers le monde, et surtout 42 millions d’utilisateurs actifs mensuels en France (Source : estimations basées sur les rapports de We Are Social et DataReportal 2024-2025) il est incontournable. Mais comment se positionne-t-il face aux exigences strictes du RGPD ?
5 points positifs de compatibilité de Facebook avec le RGPD
1. Une politique de confidentialité accessible et détaillée
Facebook a fait des efforts notables pour rendre sa politique de confidentialité plus claire et plus lisible. Elle est relativement facile à trouver et décrit en détail les types de données collectées, les finalités du traitement, et les destinataires.
https://www.facebook.com/privacy/policy/?locale=fr_FR
2. Des outils de contrôle des données
Le Centre de confidentialité de Facebook propose des options poussées pour gérer ses informations. Les utilisateurs peuvent facilement accéder à leurs données, les corriger, les télécharger et même demander leur suppression.
Pour avoir testé l’export de ses données, la période proposée est celle de l’année passée (date à date) et ressort sous format d’un joli dossier zippé assez conséquent! et tout y est avec précision: les publicités vues quel jour et à quelle heure, les personnes suivies, les tiers qui vont ont sélectionné pour une publicité…
L’historique des recherches peut être également supprimé avec définition d’une durée de sauvegarde (attention : par défaut l’historique ne s’efface pas!)
3. L’exercice du droit à la portabilité des données
Facebook a mis en place un outil de téléchargement de l’ensemble des données de l’utilisateur (photos, publications, informations de profil, etc.). C’est un point positif majeur qui facilite l’exercice de ce droit.
Par contre une question : à quoi ça sert? Où comptez-vous emmener vos données Facebook? Instagram? Ce droit à la portabilité m’apparait plus théorique que pratique dans ce cas.
4. Une approche de la « Privacy by Design » pour certaines fonctionnalités
Sur certaines nouveautés ou fonctionnalités, Facebook semble intégrer la protection des données dès la conception. Par exemple, les paramètres de confidentialité des publications sont définis par défaut pour être plus restrictifs, bien que l’utilisateur puisse les modifier.
Je pense que l’expression « semble » est appropriée. Il faut savoir et vouloir rentrer dans les paramètres.
5. Des mécanismes de signalement et de suppression de contenu
La plateforme offre des moyens clairs pour signaler les contenus illicites ou portant atteinte aux droits des personnes, ce qui contribue à la protection des données personnelles dans un sens plus large.
Il suffit de sélectionner le post concerné et dans le menu clqiuer sur signaler le contenu. C’est assez simple mais en pratique je ne l’ai jamais fait!
5 points négatifs de compatibilité de Facebook avec le RGPD
1. La complexité des paramétrages de confidentialité
Malgré la présence d’outils, la myriade de paramètres et leur organisation rendent leur compréhension et leur gestion complexes pour l’utilisateur moyen. Beaucoup d’options sont « cachées » ou peu intuitives.
2. Le traitement des données pour la publicité ciblée
C’est sans doute le point le plus litigieux. Facebook collecte une quantité massive de données pour le ciblage publicitaire, souvent sans un consentement éclairé et spécifique. Le consentement est souvent « groupé » ou difficile à retirer.
3. Le transfert de données hors de l’UE
Facebook, en tant qu’entreprise américaine, transfère une grande partie de ses données vers les États-Unis. Suite à l’invalidation du « Privacy Shield » puis à la mise en place du « Data Privacy Framework », la conformité de ces transferts est une question qui a suscité de nombreux débats juridiques et des sanctions de la part des autorités de protection des données (APDs).
4. Utilisation des données pour l’IA
Depuis fin mai 2025, Meta a commencé à utiliser les données de ses utilisateurs européens pour entraîner ses systèmes d’IA. (Source : Communiqué de Meta du 24 mai 2025 et article déjà publié https://www.conseils-er.fr/ia-meta/ ).
5. Les fuites de données et la sécurité
Bien que Facebook ait mis en place des mesures de sécurité, l’historique de la plateforme est jalonné d’incidents de sécurité et de fuites de données à grande échelle. Ces incidents soulèvent des questions sur la robustesse de leurs mesures techniques et organisationnelles pour protéger les données. En cherchant dans les actualités, une fuite massive de plus de 533 millions d’utilisateurs dont 20 millions en France remonterait à 2019.
Conclusion : Le verdict de compatibilité
Évaluer Facebook sous l’angle du RGPD est un exercice d’équilibre. D’un côté, l’entreprise a mis en place des outils et des politiques qui témoignent d’une volonté de se conformer à certaines exigences du règlement. De l’autre, des points fondamentaux comme le consentement pour la publicité ciblée, les transferts hors UE et maintenant le développement de l’IA sur les donénes personnelles de ses utilisateurs restent des défis majeurs et des sources de contentieux constants avec les Autorités européennes.
Mon évaluation : 45% de compatibilité avec le RGPD.
Cette note reflète le décalage entre les outils de conformité mis en place et la réalité du modèle économique de la plateforme, fondé explicitement sur la collecte et le traitement de données personnelles à grande échelle, et souvent au-delà des exigences du RGPD.