A autoridade regulatória francesa Commission Nationale de l'Informatique et des Libertés (CNIL) impôs multa de 150 mil euros contra o Facebook por conta de "várias violações" à Lei de Proteção de Dados da França. A decisão veio após inspeções online e auditoria de documentos que constataram que a rede social estaria descumprindo a legislação do país com a coleta maciça de dados, incluindo navegação em sites de terceiros, e falta de transparência com usuários. A investigação é parte de uma iniciativa europeia entre autoridades de proteção de dados de cinco nações (França, Bélgica, Holanda, Espanha e Hamburgo/Alemanha) para investigar o site.
Segundo a CNIL, "o Facebook precedeu com compilação maciça de dados pessoais de usuários de Internet para exibir publicidade direcionada" sem possuir base legal e sem mecanismos de opt-out (descadastro) da prática uma vez criada uma conta no site. Além disso, acusa a rede social de coletar dados e atividades de navegação de usuários sem consentimento em sites de terceiros por meio do cookie "datr". Esse tipo de cookie, que a empresa alega ser utilizado para prevenir criação de contas falsas ou de spam e para proteger usuários de roubo de informações, foi um dos objetos de ação sobre quebra de privacidade contra o site em 2015 na Bélgica.
Segundo a Comissão, a coleta de dados fora do Facebook "não permite a eles (os usuários) um entendimento claro de que os dados são sistematicamente coletados assim que eles navegam em um site terceiro que inclua o plugin social". E, portanto, a coleta maciça de dados por meio do datr é "injusta por conta da falta de informação clara e precisa".
O conselho da CNIL emitiu uma notificação formal em janeiro do ano passado (com uma prorrogação) exigindo que o Facebook (e a subsidiária na Irlanda) cumprissem com a legislação francesa. No entanto, a entidade considerou as respostas da companhia "insatisfatórias", o que a levou a apontar um relator para discutir sanções ao site de relacionamentos em um comitê restrito na Comissão. No último dia 23 de março deste ano, o comitê considerou as acusações e constatou que as empresas não são claras com usuários sobre os direitos dos dados no formulário de cadastro, coletam dados sensíveis sem consentimento explícito, não permitem que usuários protestem contra a prática; e não demonstram necessidade de reter endereços IP inteiros de usuários por toda a vida útil da conta na rede social.