Enews Legipresse

Recevez la newsletter et entrez dans le Club Légipresse
Valider
Valider l'adresse e-mail pour inscription à l'E-news

Le club Légipresse

Les 2 derniers inscrits
Rachel EMMA

Étudiant
Hervé Hugueny

Chef des informations

Vidéos

02/09/2016
Fabrice Arfi, Médiapart

Forum 2015 - Informer n'est pas un délit

Toutes les vidéos
Accueil > Communications électroniques > Facebook sanctionnée par la CNIL pour de nombreux manquements à la loi Informatique et libertés - Communications électroniques

Informatique et libertés
/ Cours et tribunaux


19/07/2017


Facebook sanctionnée par la CNIL pour de nombreux manquements à la loi Informatique et libertés



La formation restreinte de la CNIL, chargée de prononcer les sanctions à l'égard des responsables de traitement ne respectant pas la loi, a constaté de nombreux manquements à la loi Information et liberté et considéré que :
- Facebook combine massivement les données des utilisateurs et ce, sans base légale. En effet, à aucun moment les utilisateurs consentent à la combinaison de leurs données, que ce soit lors de la création de leur compte ou a posteriori lors de l’utilisation de la plateforme. Ils sont également dépourvus de tout contrôle sur cette combinaison puisqu'ils ne peuvent s'y opposer.
- Facebook collecte les données de navigation des internautes, qu'ils soient inscrits ou non sur le réseau social, via le cookie « datr », et ce, sans fournir une information suffisante. Aussi, en renvoyant les utilisateurs au paramétrage du navigateur, Facebook ne leur permet pas de s’opposer aux cookies déposés sur leur équipement terminal.
La CNIL considère également que :- Facebook ne fournit aucune information immédiate aux utilisateurs sur leurs droits et sur l’utilisation qui sera faite de leurs données notamment lors de leur inscription sur le réseau.
- Facebook ne recueille pas le consentement exprès des utilisateurs lorsqu'ils renseignent des données sensibles sur leur profil et ne donne aucune information spécifique sur le caractère sensible de certaines données.
- La durée de conservation des adresses IP des utilisateurs par Facebook n'est pas proportionnelle à la finalité du traitement qu'elle effectue.C'est pour l'ensemble de ces raisons que la formation restreinte de la CNIL a prononcé la sanction maximale de 150.000 € à l'encontre de Facebook et rendu publique sa décision.

Cnil, (formation restreinte), 27 avril 2017, Facebook inc. et a.
François-Pierre Lani
Avocat associé, Cabinet Derriennic Associés
Pas d'autre article de cet auteur pour le moment.
Emilie Bacq
Avocat au Barreau de Paris, Cabinet Derriennic Associés
Pas d'autre article de cet auteur pour le moment.
 

Le 16 mai dernier, la CNIL a rendu publique la délibération de sa formation restreinte du 27 avril 2017 prononçant une amende de 150.000 euros à l’encontre de Facebook pour ses nombreux manquements à la Loi Informatique et libertés relative à la protection des données à caractère personnel, soit l’amende maximale.

Le modèle d’affaire des réseaux sociaux tels que Facebook repose sur la valorisation des données à caractère personnel des utilisateurs mais également des non utilisateurs. Ces réseaux sociaux ont donc tendance à faire une exploitation commerciale massive des données à caractère personnel de leurs utilisateurs dont les utilisateurs français et ce, sans se soucier du respect de leurs droits.

Ainsi, après plusieurs contrôles effectués chez Facebook et sur son site internet en 2015, l’autorité française avait mis la société en demeure le 26 janvier 2016 de se conformer à la Loi Informatique et libertés et notamment de :

« ne pas procéder sans base légale à la combinaison des données des inscrits à des fins publicitaires »,

« ne pas traiter de données non pertinentes, excessives ou inadéquates au regard des finalités poursuivies, en particulier cesser de demander aux inscrits de justifier de leur identité en fournissant un dossier médical » ;

« recueillir le consentement exprès des inscrits, sur la base d'une information spécifique, à la collecte et au traitement de leurs données sensibles »

« procéder à l'information des inscrits » quant aux traitements mise en place et aux transferts des données hors de l’Union européenne ;

« procéder à une collecte et à un traitement loyal des données des internautes non inscrits s'agissant des données collectées via le cookie datr et le bouton J'aime ».

Au vu des réponses peu satisfaisantes de Facebook, la CNIL n’a eu d’autres choix que d’engager une procédure de sanction à son encontre. Ce n’est d’ailleurs pas le premier contrôle ni la première sanction de Facebook sur ce sujet. Cette décision s’inscrit, en effet, dans le prolongement des enquêtes effectuées par d’autres autorités européennes de contrôle en matière de protection des données(1).

La CNIL a dû répondre à plusieurs problématiques d’ordre juridique avant de prononcer la sanction.


1. L’applicabilité de la loi Informatique et libertés française

Cette problématique est, en effet, très importante puisque Facebook persiste à affirmer auprès des autorités européennes que seul le droit irlandais serait applicable pour les traitements des données des utilisateurs non américains ou canadiens, dès lors que Facebook Ireland serait le seul responsable de traitement des données des utilisateurs européens. La société a ainsi soulevé lors de la séance restreinte de la CNIL le 23 mars 2017 que Facebook France serait un simple sous-traitant de Facebook et que seule Facebook Ireland réaliserait les traitements de données des utilisateurs ou non utilisateurs français.

Or, la CNIL conteste cette position. Elle précise que Facebook Ireland et Facebook Inc doivent être qualifiées conjointement de responsables de traitement et rappelle que pour que la Loi Informatique et libertés française ait vocation à s’appliquer, il ressort à la fois des dispositions de l’article 4 §1, a) de la directive 95/46/CE et de l’article 5 1°) de la Loi Informatique et libertés qu’il est nécessaire de déterminer si (i) le responsable de traitement possède un établissement sur le territoire de l’Etat membre et (i) si le traitement des données est mis en œuvre dans le cadre des activités de cet établissement.

La CNIL, dans sa récente délibération, interprète d’ailleurs ces textes à la lumière de la jurisprudence de la Cour de justice de l’Union européenne dans ses arrêts Google Spain(2), Weltimmo(3) et Amazon(4) pour retenir l’applicabilité de la Loi Informatique et libertés française pour les traitements de données à caractère personnel effectués par Facebook dans le cadre des activités de Facebook France établie en France(5).


Facebook France est un établissement de Facebook

La CNIL va rappeler que le responsable de traitement est considéré « comme établi sur le territoire d’un Etat membre dès lors que le traitement de données est effectué dans le cadre des activités d’un établissement de ce responsable sur le territoire de l’État membre »(6) ;

Cette notion d’établissement s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable(7).

En l’espèce, la société Facebook France, qui a été constituée le 3 février 2011 sous la forme d’une société à responsabilité limitée à associé unique a notamment pour objet social « de fournir au groupe FACEBOOK des prestations de service en rapport avec la vente d’espaces publicitaires, le développement commercial, le marketing (…) et toutes autres prestations de service visant à développer les services et la marque Facebook en France » .

Les activités de Facebook France ont donc pour but de servir et de promouvoir les activités et intérêts commerciaux de Facebook et l’entité française « constitue une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires ». La CNIL va d’ailleurs jusqu’à préciser que la qualité de sous-traitant n’a aucune incidence sur la qualification d’établissement si l’ensemble des critères exposés précédemment sont réunis et conclure que Facebook France doit être qualifiée d’établissement à la fois de Facebook Inc. et de Facebook Irlande.


Facebook France participe aux traitements de données

On rappellera que la Cour de justice de l’Union européenne précise dans les arrêts précités qu’un traitement de données est considéré comme effectué dans le cadre des activités d’un établissement s’il est destiné à « assurer la promotion et la vente des espaces publicitaires » dans l’Etat membre en question.

La CNIL rappelle également que la Cour de justice a déjà admis qu’un droit national pouvait s’appliquer à une société établie dans un autre Etat membre(8).

Tel est bien le cas en l’espèce puisque Facebook France est bien une filiale destinée à assurer la promotion d’espaces publicitaires du service Facebook auprès des entreprises françaises et contribue donc à la perception des revenus publicitaires de Facebook qui constitue la principale source de revenu du réseau social(9).

L’autorité française relève également que les activités de Facebook sont nécessairement dirigées vers le public français, dès lors que Facebook France fait appel à des annonceurs français afin de proposer des publicités pertinentes aux utilisateurs situés en France. Il suffit, pour s’en rendre compte, de se connecter à son compte Facebook !

Ainsi dans la mesure où les critères sont réunis, la CNIL conclut que la Loi Informatique et libertés française est bien applicable en l’espèce.


2. Les manquements à la loi Informatique et libertés française

Outre le manque d'information des utilisateurs quant à leurs droits et au traitement de leurs données à caractère personnel (i), la CNIL reproche à Facebook de collecter des données relatives à des personnes non inscrites sur son réseau social et donc d'être en mesure de les tracer (ii).


Facebook collecte les données des personnes non inscrites sur son réseau social

L’article 6 1° de la Loi Informatique et libertés impose au responsable de traitement de collecter et traiter les données de manière loyale et licite.

Sur ce point, la CNIL avait mis Facebook en demeure de se conformer à la Loi Informatique et libertés notamment en ce qui concerne les internautes non-inscrits. En effet, Facebook utilise le cookie datr et un module social (« j’aime » ou « like ») sur des sites tiers pour collecter les données de navigation des internautes et ce, à leur insu. Cela permet donc à Facebook, sans informer les internautes, de suivre leur navigation qu’ils soient inscrits ou non sur le réseau social. Facebook, par ce biais, dépose un cookie sur le terminal de chaque internaute qui visite une page Facebook publique ou un site tiers contenant un module social Facebook.

En défense, Facebook prétendait que les internautes recevaient une information complète via le bandeau d’information et la politique d’utilisation des cookies avant l’installation du cookie sur son terminal et affirmait que ce cookie était utilisé à des fins sécuritaires.

Or, l’autorité française de contrôle considère que le bandeau d’information relatif aux cookies apparaissant sur le site Facebook ne permet pas de fournir une information claire et précise aux internautes dès lors qu’il ne fait pas référence aux informations collectées sur des sites tiers. La CNIL considère d’ailleurs que le renvoi à la politique d’utilisation des cookies n’est pas pertinent s’agissant des internautes non-inscrits dès lors qu’ils n’ont aucune raison de le consulter s’ils ne souhaitent pas s’inscrire sur le réseau social.

S’agissant de la finalité sécuritaire, si celle-ci est légitime pour les personnes inscrites sur le réseau social puisque ce cookie permet de protéger leur compte, il en est tout autrement pour les internautes non-inscrits qui ne peuvent faire l’objet d’aucune usurpation de compte sur Facebook(10) !


Facebook n’informe pas la personne concernée par les traitements

Pour rappel, aux termes de l’article 32 I de la Loi Informatique et libertés, le responsable de traitement a l’obligation d’informer la personne concernée par le traitement notamment sur :

- l’identité du responsable de traitement,

- la finalité du traitement,

- les destinataires ou catégories de destinataires des données,

- leurs droits,

-le transfert éventuel des données hors de l’Union européenne,

- la durée de conservation des données.

A ce titre, la CNIL relève que FACEBOOK ne fournit aucune de ces informations directement sur le formulaire d’inscription ni sur les pages permettant aux personnes inscrites de modifier leur profil.

Elle ajoute que Facebook recourt à de nombreux supports d’information, ne permettant pas aux internautes d’avoir une information claire et précise des traitements mis en œuvre. A ce titre, elle va rappeler que si le Groupe de travail de l’article 29 (G29) recommande une information par « strate » comme le soutient Facebook, cela suppose de dissocier deux niveaux d’information : d’une part les informations de premier niveau qui sont les plus importantes à connaître pour les personnes concernées par les traitements ; d’autre part les informations de second niveau qui ne présentent vraisemblablement d’intérêt qu’en seconde intention et qui ne devraient concerner que des services spécifiques ou des exemples sur la façon dont les informations sont traitées. Il est donc nécessaire que les informations essentielles, telles que l’identité du responsable de traitement, les finalités du traitement et le transfert des données hors de l’Union européenne, aient bien été portées à la connaissance de l’utilisateur dans les documents contractuels et que les documents supplémentaires n’aient qu’une valeur effectivement ludique et pédagogique pour ce dernier.

Or, la présentation par « strate » effectuée par Facebook ne respecte pas ces exigences puisque la politique d’utilisation des données, considérée par Facebook comme le principal support de diffusion de l’information, ne fournit pas immédiatement l’information aux utilisateurs. En effet, ce document, comme les autres documents contractuels de Facebook, utilise de nombreux liens hypertextes pour fournir les informations.

La Commission des clauses abusives avait d’ailleurs recommandé, dans sa recommandation n°2014-02 du 7 novembre 2011, que soient éliminées des contrats proposés par les réseaux sociaux les clauses ayant pour objet ou pour effet d’opérer des renvois excessifs entre les différents documents contractuels proposés aux utilisateurs(11). On sait, par ailleurs, que l’UFC – Que choisir poursuit en justice Facebook pour que soient modifiées ses conditions générales.

Outre ces deux manquements, la CNIL a également relevé que Facebook ne disposait d’aucune base légale pour les traitements mis en œuvre par elle et ce, en violation de l’article 7 de la Loi Informatique et libertés qui précise qu’à défaut de consentement de la personne concernée, le responsable de traitement doit satisfaire l’une des conditions énoncées (respect d’une obligation légale, réalisation d’un intérêt légitime…) ; qu’elle ne recueillait pas le consentement des personnes concernées lors de la collectes et le traitement de leurs données sensibles(12) et que la durée de conservation des données n’était pas proportionnée à la finalité du traitement.

Si l’amende de 150.000 euros parait dérisoire eu égard au chiffre d’affaires du réseau social estimé à près de 28 milliards de dollars pour l’année de 2016(13), il s’agissait au moment du contrôle de l’amende maximale que la CNIL pouvait prononcer. A noter que la loi pour une République numérique a fixé ce plafond maximal à 3 millions et qu’à compter de l’entrée en vigueur du règlement européen sur la protection des données, la sanction pourra atteinte 20 millions d’euros ou 4% du chiffre d’affaires, ce qui devrait inciter les entreprises telles que Facebook à porter une attention particulière au respect de la réglementation européenne.

Le fait que la CNIL décide de publier sa décision comme elle l’avait fait pour la mise en demeure alourdit d’autant plus la sanction à l’encontre de Facebook. La CNIL justifie cette publicité eu égard à la nature des données objets du traitement et au nombre d’utilisateurs en France (33 millions).





19 juillet 2017 - Légipresse N°352
3072 mots
> Commenter
Ajouter un commentaire
Titre du commentaire :
Message :
Envoyer
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer de meilleurs services et de meilleures performances, des fonctionnalités de partage, des informations et des publicités adaptées à vos centres d’intérêts, et les statistiques de visites. Pour en savoir plus sur notre politique d'utilisation des cookies.
X Fermer ce message
Powered by Walabiz