Par une décision du 26 janvier 2016 [1], la Cnil a procédé à une mise en demeure de sociétés Facebook Inc. et Facebook Ireland Limited d’avoir à remédier à un certain nombre de manquements à la loi « Informatique et libertés » du 6 janvier 1978.
A la suite de l’annonce par Facebook de la modification de sa politique de confidentialité, un groupe composé des cinq autorités de protection ayant décidé de mener des investigations (France, Belgique, Pays-Bas, Espagne et Land d’Hambourg) a été créé au sein du G29 (groupe des Cnil européennes) en mars 2015.
C’est dans ce contexte que la Cnil a effectué des contrôles sur place, sur pièces et en ligne pour vérifier la conformité du réseau social à la loi « Informatique et Libertés » du 6 janvier 1978. En effet, la Cnil a relevé plusieurs manquements de Facebook à la loi « Informatique et Libertés ».
La Cnil a souligné en premier qu’en vertu de la jurisprudence « Costeja » (CJUE, 13 mai 2014, affaire C-131/12, Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos et Mario Costeja González) Facebook Inc. et Facebook Ireland Limited sont conjointement responsables, la loi française leur étant applicable dès lors que le traitement a été effectué sur le territoire français.
Collecte déloyale et illicite
En déposant des cookies sur le terminal de chaque internaute qui visite une page Facebook (pages d’un événement public ou d’un ami par exemple), le site est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers, alors même qu’ils ne disposent pas de compte Facebook. Ce cookie permet alors au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton Facebook (« J’aime » ou « Se connecter » par exemple).
Manquement à l´obligation de recueillir préalablement le consentement des utilisateurs pour le traitement de données sensibles
Le réseau social ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, ou à leur orientation sexuelle. En effet, les internautes peuvent, en complétant leur profil sur Facebook, indiquer leurs orientations sexuelles, leurs opinions religieuses ou politiques. Or, la Cnil considère que la saisine d´un tel formulaire ne correspond pas à la définition du consentement libre spécifique et informé exigé pour leur traitement au titre de l´article 8 de la loi « Informatique et libertés ». Cette position dérive de l´interprétation retenue pas la Commission dans des délibérations antérieures mettant en demeure des sites de rencontre de se conformer à la loi en recueillant le consentement par le biais d´une case à cocher.
Manquement à l´obligation d´information
Le site dépose sur l´ordinateur des internautes des cookies à finalité publicitaire, sans les en avoir au préalable correctement informés ni avoir recueilli leur consentement. Ces petits fichiers permettent de surveiller la navigation de l´internaute pour ensuite cibler les publicités qui lui seront proposées en fonction de ses goûts. La Commission reproche à Facebook de ne pas avoir respecté les conditions d’installation des cookies prévues à l’article 32 II de la loi « Informatique et libertés » du 6 janvier 1978 et ainsi que ses recommandations en la matière.
La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) a également dénoncé le 9 février 2016 les conditions d´utilisation de Facebook. « Le pouvoir discrétionnaire de retirer des contenus ou informations publiés par l’internaute » et « le droit de modifier unilatéralement ses conditions d’utilisation sans que l’internaute en soit informé préalablement ou en présumant son accord » ont notamment été dénoncés par l’autorité, qui donne deux mois pour supprimer ces clauses qui créent « un déséquilibre ».
Absence de base légale à la combinaison de données
La Commission a constaté que les deux sociétés procèdent à une combinaison massive des données recueillies dans des contextes différents sans avoir recueilli préalablement le consentement des utilisateurs sur le fondement de l’article 7 de la loi « Informatique et libertés ». D´ailleurs, selon la Cnil, Facebook procède à une combinaison des données non seulement au regard des différentes utilisations du réseau social mais également en combinant des données de plusieurs sociétés du groupe.
Manquement à l´obligation de limiter la durée de conservation des données
La Commission a constaté également un manquement à l’obligation de définir et de respecter une durée de conservation proportionnée de données au regard des finalités poursuivies, dès lors que Facebook est en l’état de conserver les adresses IP utilisées pour l´ouverture d´un compte pour une période qui dépasse six mois.
La sécurité de données dans les flux transatlantiques
Enfin, Facebook transfère les données personnelles de ses membres aux États-Unis sur la base du Safe Harbor qui a été invalidée par la Cour de justice de l’Union européenne dans une décision du 6 octobre 2015 (CJUE, 6 octobre 2015, affaire C-362/14, Maximillian Schrems / Data Protection Commissioner).
En outre, la Cnil a relevé un manquement à l’obligation d’information des internautes sur les flux transfrontières de données mis en œuvre vers les États-Unis.
Les étapes prochaines
De même, la Commission a précisé que, « l’objet de cette mise en demeure n’est pas de se substituer au réseau social pour fixer les mesures concrètes à mettre en place, mais de le conduire à se mettre en conformité avec la loi, sans entraver son modèle économique ni sa capacité d’innovation.
Il a été décidé de rendre public cette mise en demeure notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées par le service Facebook (plus de 30 millions d’utilisateurs en France) ».
Facebook inc. et Facebook Ireland disposeront de 3 mois pour se conformer à la loi « Informatique et libertés ». Si Facebook ne se conforme pas à cette mise en demeure dans le délai imparti, la Cnil pourra prononcer une sanction à son égard.
Les autorités de protection des données de Belgique, d’Allemagne (Land d’Hambourg), d’Espagne, et des Pays-Bas poursuivent leurs investigations, dans le cadre de leurs procédures nationales ainsi que dans le cadre d’une coopération administrative internationale [2].
Discussions en cours :
L’article rédigé il y a deux jours évoque une mise en demeure datée de janvier 2016, assortie d’un délai de régularisation de trois mois (fin avril)... Nous devrions dès lors avoir à ce jour suffisamment de recul pour tirer les enseignements de cette procédure, non ? Qu’en est-il ?
Bien que l’article n’en fasse pas mention, il semblerait que la CNIL ait accordé un délai complémentaire de 3 mois à Facebook pour se conformer.
En conséquence, il faudra certainement patienter jusqu’à début août prochain afin de pouvoir tirer quelques enseignements complémentaires.
Source : http://www.journaldunet.com/media/publishers/1179364-la-cnil-octroie-un-delai-de-trois-mois-supplementaires-a-facebook/
Florent Gastaud
http://www.florentgastaud.fr