Articles

Par une délibération du 27 avril 2017[1], la CNIL sanctionne Facebook au versement d’une somme de 150 000 euros, soit l’amende la plus haute qu’elle pouvait lui délivrer hors cas de récidive, pour violations multiples de la loi Informatique et Libertés de 1978[2].

L’analyse de cette décision permet de revenir sur plusieurs principes fondamentaux de la loi Informatique et Libertés qui encadre aujourd’hui la protection des données personnelles et dont le régime va être renforcé à compter de l’entrée en vigueur du Règlement Général sur la protection des données (« RGPD »)[3] le 25 mai 2018.

La procédure aboutissant à cette délibération

Cette délibération est l’aboutissement d’une procédure entamée en 2015. Les 8 et 9 avril 2015 en effet, la CNIL a procédé à une mission de contrôle sur place, chez Facebook France, filiale en France de Facebook Ireland et Facebook Inc. Ce premier contrôle, qui donna lieu à la rédaction de deux PV, fut suivi d’un contrôle sur pièces et de l’envoi d’un questionnaire à Facebook Inc. Un troisième type de contrôle est réalisé, en ligne cette fois-ci, le 15 décembre 2015, et un PV notifié à Facebook le 23 décembre 2015.

Ces trois contrôles finalisés, la Présidente de la CNIL décide de mettre en demeure[4] publiquement Facebook afin que soient prises en compte les mesures suivantes :

  • ne pas procéder sans base légale à la combinaison des données des inscrits à des fins publicitaires ;
  • ne pas traiter de données non pertinentes, excessives ou inadéquates au regard des finalités poursuivies, en particulier cesser de demander aux inscrits de justifier de leur identité en fournissant un dossier médical ;
  • recueillir le consentement exprès des inscrits, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles – en l’espèce des données relatives aux opinions politiques, religieuses et à l’orientation sexuelle – par tout procédé, tel qu’une case à cocher, apposée à l’endroit de la collecte ;
  • procéder à l’information des inscrits, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée en particulier :
  • sur les traitements de données à caractère personnel mis en place directement sur le formulaire d’inscription ainsi que sur les pages permettant aux inscrits de compléter leur profil ;
  • sur la nature des données transférées hors de l’Union européenne, la finalité du transfert, les destinataires des données, et le niveau de protection offert par les pays destinataires ;
  • procéder à une collecte et à un traitement loyal des données des internautes non inscrits au service de FACEBOOK s’agissant des données collectées via le cookie datr et le bouton J’aime ;
  • informer et obtenir l’accord préalable des internautes à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci ;
  • ne pas conserver de données à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, notamment en supprimant à l’expiration d’un délai de six mois les adresses IP utilisées par les inscrits pour se connecter aux comptes ;
  • prendre toutes mesures nécessaires pour garantir la sécurité des données à caractère personnel des inscrits, notamment en renforçant la robustesse des mots de passe des comptes;
  • procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation pour l’ensemble des traitements de données ayant pour finalité de lutter contre la fraude et susceptibles d’exclure des personnes ;
  • ne pas procéder à des transferts de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor.

La procédure a par la suite pris la forme d’un accompagnement de Facebook par la CNIL, avec la réalisation de plusieurs réunions de travail, ainsi qu’un prolongement du délai de mise en demeure de trois mois, l’ensemble des manquements relevés par la CNIL demandant un important travail pour Facebook.

Le 19 juillet 2016, la société Facebook Ireland fait valoir auprès de la CNIL que selon elle la loi Informatique et Libertés n’est pas applicable et qu’elle conteste l’ensemble des points soulevés sauf deux : la nécessité de veiller à l’adéquation, à la pertinence et au caractère non excessif des données et l’obligation de disposer d’une base légale pour transférer les