Laure Landes-Gronowski et Sylvie Jonas décryptent les enjeux de la condamnation de Facebook par la CNIL, dans une tribune libre parue le 6 juin 2017 dans le magazine financier Le Revenu.
Par une délibération du 27 avril rendue publique le 16 mai 2017, la CNIL a prononcé une sanction de 150.000 € à l’encontre de Facebook pour de nombreux manquements à la loi Informatique et Libertés.
Cette décision de la CNIL contre ce réseau social mondial montre la détermination de l’autorité de contrôle à faire appliquer la loi française. Peu importe le faible montant de la sanction pour une entreprise de cette envergure – 150.000 euros – la violation des données est sanctionnée et le signal est fort.
La CNIL rejoint son homologue belge, la Commission de la protection de la Vie Privée, et ses recommandations de mai 2015.
L’enjeu : les données privées de 1,5 milliard d’utilisateurs Facebook… et des autres
Plus de 1,5 milliard d’utilisateurs actifs du site Facebook par mois et dans le monde. Plus de 1,5 milliard de personnes dont les données personnelles sont traitées et combinées afin de proposer le ciblage publicitaire le plus pertinent. A ces données, s’ajoutent celles de l’ensemble des internautes, avec ou sans compte Facebook, tracés à leur insu sur des sites tiers via le cookie «datr» et le bouton “J’aime” (*).
C’est dans ce contexte que la procédure de contrôle par la CNIL, qui a débuté en avril 2015, a conduit à une mise en demeure publique en date du 26 janvier 2016 des sociétés Facebook Inc. et Facebook Ireland de mettre en conformité leurs traitements de données à caractère personnel aux exigences de la loi française Informatique et Libertés.
Alors que Facebook affirmait que la Loi Informatique et Libertés ne lui était pas applicable et que la CNIL n’était donc pas compétente, cette dernière, s’appuyant sur une jurisprudence constante, a au contraire rappelé dans sa récente décision du 27 avril 2017 que le droit français s’appliquait à cette société multinationale.
La loi française s’applique
En effet, la CNIL rappelle tout d’abord dans sa décision que l’application de la loi française dépend de deux conditions cumulatives, à savoir : d’une part, l’existence d’un établissement du responsable de traitement sur le territoire français et d’autre part, la mise en œuvre du traitement de données à caractère personnel dans le cadre des activités de cet établissement.
Forte de ce constat, elle relève que Facebook dispose d’un établissement en France, Facebook France, qui vend des espaces publicitaires et assure le développement commercial et le marketing de Facebook en France. La CNIL en conclut que Facebook France participe aux traitements de données à caractère personnel réalisés par Facebook Inc. et Facebook Ireland et que, dès lors, la loi française s’applique à Facebook et la CNIL est compétente.
Cette démonstration faite, la CNIL dresse un constat accablant des manquements de Facebook à la règlementation française en matière de protection des données à caractère personnel :
- Absence de transparence et d’information des personnes concernées sur le traitement qui est fait de leurs données, sur les finalités de ce traitement, sur le transfert de ces données vers des États hors Union européenne, etc.
- Absence d’indication claire et explicite qu’un cookie Facebook permet de collecter systématiquement les données des utilisateurs dès lors qu’ils naviguent sur un site tiers comportant un «bouton Facebook».
- Absence de recueil du consentement éclairé, spécifique et libre des utilisateurs quant au traitement de potentielles données «sensibles» (opinions politiques, orientation sexuelle,…) dans le cadre de leurs profils.
Demain : jusqu’à 20 millions d’euros d’amende !
La CNIL insiste en outre, sur le caractère éminemment intrusif de la combinaison massive des données des utilisateurs qui est réalisée par Facebook et sur les incidences en résultant sur leur vie privée, ces derniers s’inscrivant sur Facebook pour participer à ce réseau social et non pas pour recevoir de la publicité ciblée.
Certes, le géant américain peut encore interjeter appel de cette décision devant le Conseil d’État. Certes le montant de la sanction prononcée peut paraître «ridicule» au regard du chiffre d’affaires de Facebook. Néanmoins, le principe de l’application de la loi française à Facebook est confirmé et le signal de la CNIL, en prononçant la sanction maximum qui lui était possible d’infliger est fort.
Demain, avec l’entrée en application le 25 mai 2018 du nouveau règlement européen sur la protection des données, aussi désigné RGPD (ou GDPR en anglais), c’est une amende pouvant aller jusqu’à 20 millions d’euros, voire 4% du chiffre d’affaires annuel mondial qui sera encouru par les organismes qui contreviendront aux dispositions relatives à la protection des données à caractère personnel !
En outre, ce règlement est encore plus limpide que notre règlementation actuelle s’agissant de sa possible application à des organismes non établis en Union européenne : il sera applicable à l’ensemble des entreprises même établies hors Union européenne, en ce incluant les GAFA (Google, Apple, Facebook, Amazon), dès lors que ces entreprises proposent des services à l’égard d’utilisateurs européens.
Une occasion pour ces dernières de se mettre en conformité avec cette nouvelle règlementation particulièrement protectrice de la vie privée ? Affaire à suivre…
Tribune libre publiée sur le site du magazine Le Revenu le 6 juin 2017.
—
Par AGIL’IT – Pôle IT & Data protection
Laure Landes-Gronowski, Avocate associée
Sylvie Jonas, Avocate associée
(*) Comprendre le “cookie datr” : « La Cnil a constaté que le site Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte Facebook. En effet, le site dépose un cookie sur le terminal de chaque internaute qui visite une page Facebook publique, sans l’en informer (pages d’un événement public ou d’un ami par exemple). Ce cookie permet alors au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton Facebook. ».