Par une délibération du 27 avril 2017[1], la CNIL sanctionne Facebook au versement d’une somme de 150 000 euros, soit l’amende la plus haute qu’elle pouvait lui délivrer hors cas de récidive, pour violations multiples de la loi Informatique et Libertés de 1978[2].
L’analyse de cette décision permet de revenir sur plusieurs principes fondamentaux de la loi Informatique et Libertés qui encadre aujourd’hui la protection des données personnelles et dont le régime va être renforcé à compter de l’entrée en vigueur du Règlement Général sur la protection des données (« RGPD »)[3] le 25 mai 2018.
La procédure aboutissant à cette délibération
Cette délibération est l’aboutissement d’une procédure entamée en 2015. Les 8 et 9 avril 2015 en effet, la CNIL a procédé à une mission de contrôle sur place, chez Facebook France, filiale en France de Facebook Ireland et Facebook Inc. Ce premier contrôle, qui donna lieu à la rédaction de deux PV, fut suivi d’un contrôle sur pièces et de l’envoi d’un questionnaire à Facebook Inc. Un troisième type de contrôle est réalisé, en ligne cette fois-ci, le 15 décembre 2015, et un PV notifié à Facebook le 23 décembre 2015.
Ces trois contrôles finalisés, la Présidente de la CNIL décide de mettre en demeure[4] publiquement Facebook afin que soient prises en compte les mesures suivantes :
- ne pas procéder sans base légale à la combinaison des données des inscrits à des fins publicitaires ;
- ne pas traiter de données non pertinentes, excessives ou inadéquates au regard des finalités poursuivies, en particulier cesser de demander aux inscrits de justifier de leur identité en fournissant un dossier médical ;
- recueillir le consentement exprès des inscrits, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles – en l’espèce des données relatives aux opinions politiques, religieuses et à l’orientation sexuelle – par tout procédé, tel qu’une case à cocher, apposée à l’endroit de la collecte ;
- procéder à l’information des inscrits, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée en particulier :
- sur les traitements de données à caractère personnel mis en place directement sur le formulaire d’inscription ainsi que sur les pages permettant aux inscrits de compléter leur profil ;
- sur la nature des données transférées hors de l’Union européenne, la finalité du transfert, les destinataires des données, et le niveau de protection offert par les pays destinataires ;
- procéder à une collecte et à un traitement loyal des données des internautes non inscrits au service de FACEBOOK s’agissant des données collectées via le cookie datr et le bouton J’aime ;
- informer et obtenir l’accord préalable des internautes à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci ;
- ne pas conserver de données à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, notamment en supprimant à l’expiration d’un délai de six mois les adresses IP utilisées par les inscrits pour se connecter aux comptes ;
- prendre toutes mesures nécessaires pour garantir la sécurité des données à caractère personnel des inscrits, notamment en renforçant la robustesse des mots de passe des comptes;
- procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation pour l’ensemble des traitements de données ayant pour finalité de lutter contre la fraude et susceptibles d’exclure des personnes ;
- ne pas procéder à des transferts de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor.
La procédure a par la suite pris la forme d’un accompagnement de Facebook par la CNIL, avec la réalisation de plusieurs réunions de travail, ainsi qu’un prolongement du délai de mise en demeure de trois mois, l’ensemble des manquements relevés par la CNIL demandant un important travail pour Facebook.
Le 19 juillet 2016, la société Facebook Ireland fait valoir auprès de la CNIL que selon elle la loi Informatique et Libertés n’est pas applicable et qu’elle conteste l’ensemble des points soulevés sauf deux : la nécessité de veiller à l’adéquation, à la pertinence et au caractère non excessif des données et l’obligation de disposer d’une base légale pour transférer les données à caractère personnel hors de l’Union européenne. Sur ces points, elle indique avoir tenu compte des préoccupations de la CNIL.
La société Facebook Inc. ne réagissant pas, quant à elle, à la mise en demeure, la procédure suit son cours, et débouche in fine sur la délibération du 27 avril.
Les motifs de la décision
La CNIL commence par réaffirmer sa compétence et l’applicabilité de la loi française à l’encontre de Facebook Ireland et Facebook Inc, contrairement au point soulevé par Facebook Ireland. Elle rappelle les critères d’application à savoir : l’existence d’un établissement du responsable de traitement sur le territoire d’un Etat membre et la mise en œuvre du traitement de données dans le cadre des activités de cet établissement. La CNIL identifie sans mal ces éléments, en constatant que Facebook France est un établissement stable qui exerce des activités réelles et effectives et qui prend part aux traitements des données, en participant notamment à la perception des revenus publicitaires ces dernières étant personnalisées par rapport aux centres d’intérêt des utilisateurs. Les responsables de traitement, Facebook Inc et Facebook Ireland, agissant en France par l’intermédiaire d’un établissement stable peuvent donc être poursuivis tous les deux par la CNIL en tant que coresponsables de traitement.
Violation de l’article 32 de la loi Informatique et Libertés
L’analyse des infractions permet un rappel précis de l’importance du consentement des usagers avant tout traitement de données personnelles.
En premier lieu, la CNIL souligne l’absence de mentions obligatoires sur le formulaire d’inscription. Facebook se défend en invoquant un lien placé sur ce formulaire et qui renvoie à sa politique de protection des données.
Pour la CNIL néanmoins, si les informations peuvent être transmises par strates, il n’en demeure pas moins que certaines d’entre elles doivent être accessibles directement sur le formulaire. Les informations devant être nécessairement transmises à l’utilisateur lors de son inscription sont l’identité du responsable du traitement, les finalités du traitement et toute information supplémentaire permettant de garantir un traitement loyal. Cette dernière information reste assez évasive mais l’on comprend qu’il faut que l’utilisateur donne les informations le concernant en connaissance de cause.
Par ailleurs, les droits des utilisateurs concernés (droit d’accès, d’opposition, etc.) et les éventuels transferts hors de l’Union Européenne doivent aussi être des informations transmises au préalable à l’utilisateur. Or ces deux informations sont manquantes sur le formulaire ainsi que dans la politique d’utilisation des données, et empêche ainsi les utilisateurs « d’avoir la maitrise de leurs données et du traitement dont ils font l’objet ».
Ces deux points qualifient un manquement à l’article 32 de la loi Informatique et Libertés.
Violation de l’article 7 de la loi Informatique et Libertés
La CNIL reproche à Facebook de réaliser une combinaison des données en vue de réaliser de la publicité ciblée. Les combinaisons se font avec des données collectées par des sites partenaires tiers ou des sites ou applications appartenant à Facebook. Or, pour pouvoir agir ainsi, Facebook doit recueillir le consentement éclairé, spécifique et libre des utilisateurs.
La CNIL constate que les informations sur ce sujet sont diluées au sein de trois documents différents, au lieu d’être accessibles de façon claire dans celui intitulé « Politique de protection des données ». De plus, l’ensemble de ces informations ne permet pas de cerner l’importance de ce traitement et le volume de données concernées. Le consentement n’est donc pas éclairé. De surcroît, l’impossibilité pour les utilisateurs de pouvoir s’opposer à cette combinaison de données nuit à la liberté du consentement.
Enfin, la CNIL souligne que les utilisateurs s’inscrivent au service de Facebook pour bénéficier du réseau social mais non pas pour recevoir de la publicité ciblée. Cette combinaison de données ne correspond donc pas à l’objet du contrat conclu avec les utilisateurs, quand bien même, comme l’invoque Facebook, cette publicité serait nécessaire pour permettre la mise à disposition gratuite de ce service. L’équilibre entre l’intérêt économique de Facebook et les droits fondamentaux des utilisateurs n’est pas respecté et l’article 7 de la loi Informatique et Libertés violé.
Collecte et traitement loyal des données
Ce point concerne plus précisément le cookie datr utilisé par Facebook qui permet de suivre la navigation de personnes inscrites ou non sur Facebook dès lors qu’elles vont sur Facebook.com ou qu’elles cliquent sur le bouton « j’aime » même si ce boutin est présent sur un site tiers. Ce cookie, d’après Facebook, a une finalité de sécurité en permettant en particulier d’analyser la navigation des internautes afin d’éviter les attaques.
La CNIL relève principalement le manque d’informations délivrées aux utilisateurs dans le bandeau d’informations. Ce bandeau, renvoyant à la politique des données de Facebook, ne comprend pas suffisamment d’éléments permettant à l’Utilisateur de prendre conscience que le dépôt de ce cookie entraîne un suivi détaillé de sa navigation. Par ailleurs, la finalité sécuritaire n’est pas justifiée pour les personnes non inscrites sur Facebook.
Pour toutes ces raisons, le manquement à l’article 1er de la loi de 1978 qui impose une collecte et un traitement loyal des données est caractérisé.
Obligation de recueillir le consentement des personnes concernées pour le traitement de données sensibles relatives aux opinions politiques ou religieuses et à la vie sexuelle
Ce point de la décision est particulièrement intéressant et peut viser de nombreux sites internet, en premier lieu les sites de rencontres. Le formulaire d’inscription contient des informations qui sont cataloguées dans les données sensibles. En particulier les données sur l’origine ethnique et sur la vie sexuelle. Pour le traitement de ces données, l’article 8 de la loi de 1978 demande à ce que le consentement soit exprès.
Pour Facebook, le renseignement volontaire de ces informations par l’utilisateur est la preuve du consentement exprès. Pour la CNIL à l’inverse, le renseignement spontané doit être complété par une action positive prouvant l’existence du consentement (case à cocher par exemple). La CNIL relève par ailleurs que la politique des données personnelles ne comprend pas d’informations spécifiques sur le traitement de ces données sensibles. Le manquement est donc caractérisé.
Obligation de mettre à disposition un moyen valable d’opposition aux informations (cookies) stockées sur l’équipement terminal de communications électroniques des utilisateurs
La CNIL revient sur les cookies déposés par Facebook et relève qu’ils sont de deux ordres : techniques d’une part, et donc indispensables au fonctionnement du réseau social, et first party, d’autre part, à finalité publicitaire. Or, le bandeau d’information, en renvoyant au paramétrage du navigateur pour bloquer les cookies n’offre pas de solution satisfaisante. Soit tous les cookies sont bloqués, ce qui empêche l’utilisateur d’accéder au service, soit l’utilisateur bloque uniquement les cookies third party, mais ne peut pas empêcher le dépôt des cookies first party à finalité publicitaire. Le paramétrage ne permet donc pas de s’opposer valablement ce qui constitue un manquement à l’article 32 de la loi Informatique et Libertés.
Ce point est loin d’être anodin à l’heure du Règlement européen. Celui-ci impose en effet une conformité by design et by default. Il revient au responsable de traitement de créer des outils permettant de s’opposer efficacement aux cookies qui ne sont pas nécessaires à l’exécution d’un service et de prévoir une information accessible sur cette opposabilité.
Durée de conservation des données
Le dernier manquement concerne la durée de conservation des données en particulier des adresses IP. Pour Facebook, la collecte de ces données personnelles correspond à trois finalités : une finalité de sécurité pour lutter contre les contenus illicites, une finalité de protection des enfants liée à la nécessité d’informer rapidement les autorités compétentes lors de la détection d’images pédophiles et enfin une finalité de réponse aux requêtes des autorités publiques.
Ces finalités ne justifient pas, pour la CNIL, que les données soient conservées tant que le compte est ouvert. Il revient au responsable de traitement de pouvoir définir une durée de conservation adéquate et démontrer que celle-ci est nécessaire et proportionnée aux finalités de la collecte. Etant donné que Facebook ne peut réaliser cette démonstration, le manquement à l’article 5 de la loi est caractérisé.
Ce point constitue lui aussi un rappel important pour les responsables de traitement : la durée de conservation choisie, lorsqu’elle n’est pas imposée par un texte, doit pouvoir être justifiée. C’est donc en amont qu’il faut réfléchir à cette question afin de pouvoir expliquer en quoi la durée est proportionnelle à la finalité du traitement.
***
Compte tenu du nombre important des utilisateurs de Facebook et de la collecte massive des données, la CNIL a jugé nécessaire de rendre publique cette délibération.
Elle permet de refaire un tour des points fondamentaux de la loi de 1978, notamment en ce qui concerne l’importance du consentement libre et éclairé de la personne concernée et de son droit d’opposition.
Seule le montant de la sanction peut laisser à désirer pour un acteur de la taille de Facebook.
C’est l’occasion de redire ici que cette ère des sanctions faibles se termine, pour laisser place dès le mois de mai 2018 – après la parenthèse de la loi Lemaire qui n’aura pas eu le temps d’être beaucoup appliquée dans son volet données à caractère personnel -, à l’ère des sanctions potentiellement très élevées (2 à 4% du chiffre d’affaires mondial).
Gageons que Facebook est en train de prendre des mesures de mise en conformité afin d’éviter que ses infractions à la loi de 1978 ne se transforment l’année prochaine en infractions au RGPD dont les conséquences seraient alors toute autre…
Cette délibération donne aussi des pistes – mutatis mutandis – à tous les acteurs du numérique en ce qui concerne les points à considérer, que ce soit pour les cookies, les formulaires d’inscription, ou encore les durées de conservation afin d’éviter à l’avenir à la fois une mauvaise publicité et une sanction pécuniaire pénalisante.
Comme cela a été souligné pour les cookies en particulier, les obligations de privacy by design et by default sont donc à prendre en compte dès aujourd’hui afin de ne pas être en contradiction avec le Règlement en mai prochain. Plus qu’un an…
Pascal Alix, avocat et CIL
Hubert de Segonzac, avocat et CIL
[1] Délibération de la formation restreinte SAN –2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND.
[2] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[3] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
[4] Décision n° 2016-007 du 26 janvier 2016 concernant les traitements de données mis en œuvre dans le cadre du réseau social FACEBOOK.