Par une décision du 26 janvier 2015, rendue publique le 8 février, la Commission Nationale Informatique et Libertés (CNIL), l’autorité administrative française en charge de la protection des données personnelles, a prononcé une mise en demeure à l’encontre de Facebook, reprochant au réseau social américain de ne pas respecter la législation française.
En effet, dans un long réquisitoire, le gendarme informatique pointe les nombreux manquements dont Facebook est l’auteur vis-à-vis de la Loi informatique et libertés, en date du 6 janvier 1978, et notamment en matière de collecte et d’exploitation des données de ses 30 millions d’utilisateurs français.
- Une longue liste de manquements
Tout d’abord, la CNIL reproche à Facebook un ciblage publicitaire sans consentement de l’utilisateur, ce qui est contraire à l’article 7 de la loi de 1978. Pour ce faire, le réseau social combine les données personnelles de ses membres, notamment les données fournies par les inscrits lors de la création de leur compte sur le site, les données relatives à leur activité sur le site ainsi que les données relatives aux appareils qu’ils utilisent pour se connecter ou encore les données provenant des sites tiers, et acquises par le biais des boutons « J’aime » ou « Se connecter ».
Ainsi, la combinaison est effectuée non seulement au regard des différentes utilisations du réseau social, mais également en combinant des données de plusieurs sociétés du groupe.
En l’espèce, la Commission, après avoir effectué une balance entre l’intérêt légitime revendiqué par la firme américaine et l’intérêt, les droits et libertés fondamentaux des personnes concernées, a conclut que Facebook ne disposait pas d’un fondement légal lui permettant la mise en œuvre du traitement et n’organisait pas non plus cette combinaison dans le cadre contractuel.
La CNIL constate que la question de la combinaison des données personnelles en vue de la publicité est bien évoquée dans les conditions d’utilisation du réseau social, mais, affirme que cette prévention est insuffisante.
En effet, la combinaison en question n’est pas strictement prévue dans ce « contrat » entre l’usager et Facebook et nécessite donc une approbation distincte de l’internaute.
Actuellement, le site ne propose pas aux internautes de mécanisme leur permettant de s’opposer à la combinaison de l’ensemble de leurs données à des fins publicitaires, ce qui méconnait leurs droits et intérêts fondamentaux et porte atteinte au respect de la vie privée.
Sur ce point, la CNIL mène donc une forte charge contre la publicité ciblée, ajoutant que Facebook pourrait s’affranchir de ce consentement explicite en arguant, conformément à la loi, que l’affichage de la publicité est faite dans l’intérêt de l’usager, mais, selon la CNIL, cet intérêt est trop faible et la collecte des données trop intrusive pour que Facebook se dispense d’un consentement.
De plus, à l’instar de la justice belge, la CNIL fait le constat que Facebook glane des informations relatives à la navigation des internautes alors même que ceux-ci ne sont pas inscrits sur son réseau social. A cette fin, la société américaine utilise le mécanisme du cookie, qui est déposé sur le terminal de chaque internaute qui visite une page publique Facebook, et sans l’en informer.
Par ailleurs, il apparait que la firme de Mark Zuckerberg ne recueille pas le consentement exprès de ses utilisateurs lors de la collecte et du traitement de leurs données à caractère personnel, c’est-à-dire les données relatives à leurs opinions politiques ou religieuses, et à leur orientation sexuelle. De la même manière, aucune information n’est délivrée aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données sur le formulaire d’inscription au service. En l’espèce, la CNIL juge que, pour se conformer à la loi, Facebook devrait indiquer précisément ce qu’il compte faire de ces informations, compte tenu de leur sensibilité et de leur nature particulière.
Parmi les autres manquements relevés par le gendarme informatique français, il y a le fait que Facebook, contrairement à ce que prévoit l’article 6-3 de la Loi informatique et libertés, exige un dossier médical comme justificatif d’identité auprès de certains inscrits, ce qui constitue une faute eu égard au principe de proportionnalité des données par rapport à la finalité poursuivie.
Ensuite, le réseau social doit également cesser de conserver les données à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, notamment en supprimant, à l’expiration d’un délai de 6 mois, les adresses IP utilisées par les inscrits pour se connecter aux comptes, ou encore en renforçant la robustesse des mesures de sécurité.
Enfin, malgré l’annulation de l’accord Safe Harbor, depuis la décision de la Cour de Justice de l’Union Européenne, en date du 6 octobre 2015, Facebook continue de transférer les données personnelles de ses membres vers les Etats-Unis.
Il y a donc ici le reproche d’un manquement aux dispositions relatives à la mise en œuvre des flux transfrontaliers de données sur le continent américain
Pour résumé, dans le réquisitoire de la CNIL en date du 26 janvier 2015, les manquements reprochés à Facebook sont nombreux puisqu’ils concernent l’absence de base légale à la combinaison des données, l’absence de respect du principe de proportionnalité des données, mais aussi l’absence de recueil du consentement de l’internaute pour le traitement de données sensibles, ou encore l’absence de mention dans le formulaire d’inscription ainsi que l’absence de collecte loyale et licite.
De façon additionnelle, la pratique des cookies par le réseau social américain est aussi visée tout comme l’absence de durée de conservation proportionnée et l’absence d’autorisation pour le traitement de lutte contre la fraude.
- L’inspiration européenne
Pour fonder sa mise en demeure, la CNIL s’est appuyée sur trois décisions fondamentales de la Cour de justice de l’Union Européenne.
La première est l’arrêt Max Schrems, en date du 6 octobre 2015, qui a annulé le fameux Safe Harbor, du nom de l’accord signé par la Commission Européenne qui autorisait les entreprises américaines à utiliser les données personnelles des Européens pour les traiter dans leurs serveurs, en raison de l’accès direct de la NSA sur ces données et de l’absence de recours possible des citoyens européens.
La deuxième est l’arrêt Costeja, du 13 mai 2014, qui a estimé qu’un site Internet qui collecte, extrait, enregistre et organise des données dans son index, les conserve sur son serveur et les communique ou les met à disposition des utilisateurs, réalise des traitements de données personnelles et est donc responsable puisqu’il en détermine les finalités et les moyens.
Enfin, le troisième est l’arrêt du 1er octobre 2015, appelé Weltimmo, qui a étendu les compétences des autorités de contrôle européennes.
Ces trois décisions sont très importantes car, d’une part, elles remettent les autorités de contrôle, à l’instar de la CNIL, au premier rang et, d’autre part, elles étendent les obligations dans la sécurisation des flux.
Ainsi, la CNIL, au sens de la décision Weltimmo, a pu contrôler Facebook, étant donné que le réseau social a un établissement en France, et prononcer sa mise en demeure.
- Un pouvoir de sanction limité
Cependant, pour l’heure, aucune sanction n’a encore été infligé, Facebook disposant d’un délai de trois mois pour se mettre en conformité avec la loi française, mais, en l’état de la législation, l’entreprise risque 150 000 euros d’amende, voire 300 000 euros en cas de récidive.
Sur le plan pénal, en vertu des articles 226-16, 226-24 et 131-38 du Code pénal, la justice française pourrait également infliger une amende de 1,5 millions d’euros au réseau social américain.
Néanmoins, le pouvoir de sanction de la CNIL apparait encore limité et ces sommes ne représentent rien pour le géant américain.
C’est la raison pour laquelle le projet de loi Pour une République Numérique, porté par la secrétaire d’Etat Axelle Lemaire, prévoit de renforcer les pouvoirs de sanction de la CNIL. Le montant maximal des amendes pourrait être de 20 millions d’euros, voire 4% du chiffre d’affaires annuel mondial.
De plus, la CNIL pourra aussi ordonner aux personnes sanctionnées d’informer individuellement de leur condamnation « chacune des personnes concernées » par l’ensemble des manquements, ce qui correspond davantage à une sanction morale que pécuniaire.
A l’heure actuelle, ces sanctions sont inapplicables à ces faits, mais, la CNIL a tout de même décidé de rendre cette mise en demeure publique ce qui, à défaut d’être une sanction au sens juridique du terme, porte atteinte à l’e-réputation de Facebook, patiemment construite au fil des années, et pourrait conduire à des conséquences douloureuses pour ses retombées publicitaires.
Par conséquent, à défaut de faire la preuve d’un pouvoir de sanction important, cette mise en demeure de la CNIL, de par son caractère public, démontre qu’une décision d’une autorité administrative française peut avoir des conséquences vis-à-vis d’un géant économique américain.
Cependant, s’il apparait que la CNIL met en demeure Facebook d’avoir à mettre en œuvre un certain nombre d’actions correctrices, certaines seront plus compliquées que d’autres à effectuer, notamment en raison de l’absence de base légale en matière de combinaison des données à des fins publicitaires et qui est sans doute l’action ayant le plus d’impact d’un point de vue économique.
Désormais, le réseau social dispose d’un délai de trois mois pour pallier aux manquements repérés par la CNIL, ou demander une extension de ce délai.
A l’expiration de cette période, la Commission pourra, si elle estime que Facebook n’a pas suffisamment modifié ses pratiques, entamer une procédure de sanction.
SOURCES :
COMMISSION NATIONALE INFORMATIQUE ET LIBERTES, « La CNIL met publiquement en demeure FACEBOOK de se conformer, dans un délai de trois mois, à la Loi Informatique et Libertés», publié le 9 février 2016, consulté le 20 février 2016, <https://www.cnil.fr/fr/la-cnil-met-publiquement-en-demeure-facebook-de-se-conformer-dans-un-delai-de-trois-mois-la-loi>
UNTERSINGER (M.), « Données personnelles: le violent réquisitoire de la CNIL contre Facebook», lemonde.fr, publié le 9 février 2016, consulté le 23 février 2016 <http://www.lemonde.fr/pixels/article/2016/02/09/donnees-personnelles-le-virulent-requisitoire-de-la-cnil-contre-facebook_4861621_4408996.html>
REES (M.), « Données personnelles, pourquoi la CNIL met en demeure Facebook», nextimpact.com, publié le 9 février 2016, consulté le 24 février 2016, <http://www.nextinpact.com/news/98449-donnees-personnelles-pourquoi-cnil-met-en-demeure-facebook.htm>
AVIGNON (C.), « Mise en demeure de Facebook par la CNIL», alain-bensoussan.com, publié le 9 février 2016, consulté le 18 février 2016, <http://www.alain-bensoussan.com/mise-en-demeure-de-facebook/2016/02/09/>