Articles

Le 9 novembre 2018, le Conseil de l’Union Européenne a approuvé le texte du règlement sur la libre circulation des données non-personnelles[1], destiné non plus à protéger les droits des personnes physiques dans le cadre du traitement de leurs données à caractère personnel, mais à éliminera les obstacles à la libre circulation des données à caractère non personnel dans l’UE. Un accord provisoire avait été conclu le 19 juin 2018 entre le Conseil de l’UE, la Commission et le Parlement Européen[2] sur la base du texte adopté le 4 octobre 2018 au Parlement de Strasbourg[3]. Selon la revue « Clubic »[4], cette nouvelle réglementation « boosterait considérablement l’économie numérique sur le marché mondial et la croissance de la zone (à hauteur de 4 % du PIB d’ici 2020) ».

 

Objectifs

Selon Andrus Ansip, vice-président chargé du marché unique numérique : «Les restrictions liées à la localisation des données sont des signes de protectionnisme […]. Nous avons franchi une nouvelle étape grâce à cet accord pour la libre circulation des données à caractère non personnel afin de promouvoir les innovations technologiques et de nouveaux modèles économiques et de créer un espace européen pour tous les types de données.».

L’idée est d’ouvrir la voie à un véritable marché unique européen du stockage et du traitement des données et, partant, à un secteur européen des services en nuage compétitif, sûr et fiable.

Selon le Parlement européen, « le développement rapide de l’économie des données et des technologies émergentes telles que l’intelligence artificielle, les produits et les services en lien avec l’internet des objets, les systèmes autonomes et la 5G soulèvent de nouvelles questions juridiques quant à l’accès aux données et à leur réutilisation, à la responsabilité, à l’éthique et à la solidarité. Des travaux devraient être envisagés sur la question de la responsabilité, notamment par la mise en œuvre de codes de conduite par autorégulation et d’autres bonnes pratiques, en tenant compte des recommandations, des décisions et des mesures prises sans interaction humaine tout au long de la chaîne de valeur du traitement des données. Ces travaux pourraient également porter sur des mécanismes appropriés visant à déterminer les responsabilités et à transférer les responsabilités entre services coopérant, les assurances et les audits. »[5].

Selon le Conseil d’UE, cette nouvelle règlementation européenne est destinée à « dynamiser l’économie des données et le développement de technologies émergentes telles que les systèmes autonomes transfrontières et l’intelligence artificielle. ». Le but est de créer un espace européen unique (« marché numérique unique ») des données au sein duquel des données de plus en plus nombreuses pourront circuler sans entrave.

La libre-circulation des données non personnelles dans l’UE. Une mesure qualifiée de « cinquième liberté », après les personnes, les biens, les services et les capitaux[6].

Les données concernées sont les données statistiques, les données relatives aux personnes morales, les données anonymisées, ainsi que l’ensemble des autres données qui ne répondent pas à la définition de la donnée à caractère personnel[7][8][9].

 

Les nouvelles règles sur la libre circulation des données à caractère non personnel

La nouvelle réglementation reposera sur les principes suivants :

  1. Assurer la libre circulation des données à travers les frontières

La libre circulation des données à travers les frontières supposera l’interdiction des restrictions liées à leur localisation. En clair, cela signifie l’interdiction pour les États d’imposer le stockage ou le traitement des données non personnelles sur leur sol, à moins qu’elles ne concernent la sécurité publique[10].

Selon la rapporteure suédoise Anna Maria Corazza Bildt (PPE), « Cette législation change vraiment la donne, en offrant à la fois aux entreprises et aux autorités publiques des gains potentiels énormes en termes d’efficacité. Cela réduira le protectionnisme en matière de données, qui menace l’économie numérique, et ouvrira la voie à l’intelligence artificielle, à l’informatique en nuage et à l’analyse des mégadonnées »[11].

Les États membres devront notifier à la Commission toute restriction résiduelle ou prévue concernant des cas précis et limités de traitement des données du secteur public (traitements souverains). Le #RGPD et le #RDNP devront « fonctionner ensemble » pour permettre à la fois la protection des données à caractère personnel et la libre circulation de toutes les données, à caractère personnel et à caractère non personnel.

En cas de jeux de « données composites » (par ex. jeux de données comprenant à la fois (1) des données inférées ou dérivées constituant des données à caractère personnel et (2) des données statistiques ou des données d’exploitation non identifiantes), la disposition du RGPD garantissant la libre circulation des données à caractère personnel s’appliquera à la partie personnelle du jeu[12].

 

  1. Assurer la disponibilité des données à des fins de contrôle réglementaire

Les pouvoirs publics doivent pouvoir avoir accès aux données à des fins de contrôle et de surveillance quel que soit l’endroit où elles sont stockées ou traitées dans l’UE, sous peine de sanction en cas d’entrave [13]. Cet aspect de la nouvelle réglementation est probablement un de ceux qui sera examiné de près par les acteurs du Cloud ainsi que par les acteurs de la protection des données à caractère personnel.

Le projet de #RDNP prévoit que les « autorités compétente » peuvent, après avoir vainement demandé l’accès aux donnés d’un utilisateur et faute d’accord de coopération spécifique, « solliciter l’assistance de l’autorité compétente dans un autre État membre, conformément à la procédure prévue à l’article 7[14] ».

Rappelons qu’EUROPOL s’inquiétait des conséquences des nouvelles règles sur la protection des données en ce qu’elles peuvent parfois « compliquer l’accès des bases de données listant les propriétaires des sites internet lors des enquêtes policières »[15]. Comme dans d’autres domaines, il sera parfois nécessaire d’arbitrer entre liberté et sécurité.

 

  1. Encourager l’instauration de codes de conduite de l’UE pour les services en nuage (Cloud)

Il s’agit de lever les obstacles au changement de fournisseur de services de stockage en nuage et à la portabilité de l’ensemble des données numériques – et pas seulement des données à caractère personnelle – pour leur rapatriement sur les systèmes informatiques internes des utilisateurs ou vers d’autres systèmes informatiques.

Le projet de règlement prévoit qu’au plus tard le … [48 mois à partir de la date de publication du présent règlement [16]], la Commission soumet un rapport au Parlement européen, au Conseil et au Comité économique et social européen, notamment sur « l’élaboration et la mise en œuvre effective des codes de conduite, ainsi que la fourniture effective d’informations par les fournisseurs de services ».

Le projet de #RDNP prévoit, comme le #RGPD, des « sanctions effectives, proportionnées et dissuasives en cas de manquement à l’obligation de fournir des données, conformément au droit de l’Union et au droit national »[17]

Le projet de #RDNP prévoit, comme le #RGPD, une période transitoire de 24 mois pendant laquelle les organismes doivent se mettre en conformité[18].

Pascal ALIX, Avocat à la Cour et Délégué à la Protection des Données

 

[1] http://data.consilium.europa.eu/doc/document/PE-53-2018-INIT/en/pdf

[2] http://europa.eu/rapid/press-release_IP-18-4227_fr.htm

[3] http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0381&format=XML&language=FR

[4] « l’Union européenne crée un « Schengen » de la donnée » https://www.clubic.com/pro/it-business/securite-et-donnees/actualite-844266-libre-circulation-union-europeenne-cree-schengen-donnee.html

[5] http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0381&format=XML&language=FR

[6] https://www.euractiv.fr/section/economie/news/a-fifth-freedom-of-the-eu-meps-back-end-of-data-localisation/

[7] Article 3 1) du projet de règlement : « «données», les données autres que les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679 »

[8] Article 4 1) du RGPD : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou social

[9] par exemple « les lots de données agrégées et anonymisées utilisés pour le big data et l’analyse, les données sur l’agriculture de précision qui peuvent aider à surveiller et optimiser l’utilisation de pesticide et d’eau, ou les données sur les besoins de maintenance de machines industrielles » (https://www.nextinpact.com/brief/l-ue-s-apprete-a-signer-le-reglement-sur-la-libre-circulation-des-donnees-6523.htm).

[10] Le lobby « Cispe Cloud », représentant les acteurs du cloud (dont Amazon, OVH, Hetzner ou encore Ikoula) se félicite de cette adoption.

[11] https://www.euractiv.fr/section/economie/news/a-fifth-freedom-of-the-eu-meps-back-end-of-data-localisation/

[12] http://europa.eu/rapid/press-release_IP-18-4227_fr.htm

[13] Considérant 24 du projet de Règlement : « le présent règlement devrait clairement préciser qu’il ne porte pas atteinte au pouvoir des autorités compétentes de demander ou d’obtenir l’accès à des données conformément au droit de l’Union ou au droit national, et que les autorités compétentes ne peuvent se voir refuser l’accès aux données au motif que les données sont traitées dans un autre État membre. ».

[14] Article 5 2.

[15] https://www.euractiv.fr/section/economie/news/privacy-regulators-in-hotseat-over-future-of-fundamental-website-owners-list/

[16] Projet actuel

[17] Article 5 4.

[18] Par ex. article 4

Lire la suite

Que ce soit pour un simple besoin d’hébergement des données ou pour une transmission de données à un sous-traitant, la vie des affaires impose bien souvent de transférer des données personnelles à une entreprise établie dans un pays tiers, c’est-à-dire dans un pays n’appartenant pas à l’Union européenne.

Le RGPD modifie les procédures permettant les transferts en offrant une plus grande flexibilité. En effet, comme à chaque fois que sont concernées les données personnelles, la difficulté est de trouver le bon équilibre entre la protection de celles-ci et leur nécessaire utilisation malgré tout dans le monde des affaires.

La complexité du transfert des données personnelles vers les pays tiers

Aujourd’hui, le transfert vers les pays tiers est relativement complexe.

La première possibilité, la plus simple, concerne le transfert vers un pays tiers qui assure un niveau de protection « suffisant » des données personnelles. L’article 68 de la loi n’indique pas ce qu’il convient d’entendre sous ce terme mais les moyens d’analyser le degré de suffisance. Il faut pour cela prendre en considération à la fois les dispositions en vigueur dans cet Etat, les mesures de sécurité qui y sont appliquées, les caractéristiques propres du traitement telles que sa fin et sa durée ainsi que la nature, l’origine et la destination des données traitées.

Les pays tiers considérés comme garantissant un niveau de protection « suffisant » sont reconnus comme tels par la Commission européenne, qui,  après analyse de la protection des données par un Etat, peut décider d’adopter une décision indiquant que cet Etat est susceptible de devenir destinataire de données. C’est par exemple le cas pour les Etats-Unis avec l’accord PrivacyShield. Avec ces décisions, la Commission reconnaît que le pays tiers accorde un niveau de protection équivalent à celui imposé par la réglementation européenne.

Lorsque le transfert envisagé concerne un pays ne bénéficiant pas d’une telle décision de reconnaissance, le responsable du traitement n’est pas pour autant totalement démuni. L’article 69 apporte en effet plusieurs exceptions au principe établi à l’article 68. Parmi ces exceptions, le transfert est autorisé s’il est nécessaire à la sauvegarde de la vie de la personne concernée, à la sauvegarde de l’intérêt public ou encore, sans être exhaustif, si le transfert est nécessaire au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice.

De plus, l’article 69 permet à la CNIL d’autoriser un transfert lorsque des clauses contractuelles ou des règles internes imposent des obligations strictes au bénéficiaire du transfert et garantissent ainsi un niveau de protection suffisant. Ces décisions d’autorisation de transfert doivent être portées à la connaissance de la Commission européenne. L’Union européenne a mis à disposition des responsables de traitement des clauses contractuelles types pour un transfert entre deux entités distinctes et des Binding Corporate Rules (« BCR ») lorsque les transferts sont intragroupes. Le recours à ces outils n’empêche néanmoins en rien au responsable de traitement de demander l’autorisation préalable de la CNIL.

Face à ce système complexe qui oblige à passer fréquemment par l’autorisation de l’autorité de régulation – les délais de traitement des demandes d’autorisation ayant tendance à s’allonger compte tenu du nombre de demandes –, le Règlement qui entrera en vigueur en 2018 apportera un peu de flexibilité.

La flexibilité apportée par le Règlement

Le premier élément remarquable relatif aux transferts dans un pays tiers est la formulation de l’article 44 du Règlement. Alors que jusqu’à présent ce type de transfert était interdit sauf exceptions, la formulation de l’article est cette fois-ci sous forme positive : ces transferts peuvent avoir lieu si le responsable du traitement et le sous-traitant respectent les règles décrites dans le chapitre dédié aux transferts vers les pays tiers.

Parmi les principes, le premier d’entre eux est le pouvoir reconnu à la Commission de reconnaître les pays tiers assurant une sécurité équivalente. La Commission peut également modifier, abroger ou suspendre une décision d’adéquation.

C’est dans le cas où une telle décision ne pourrait être adoptée que le Règlement apporte de réelles nouveautés. Le responsable du traitement ou le sous-traitant pourront en effet procéder au transfert s’ils apportent des garanties appropriées que les droits des personnes concernées sont respectés et effectifs, ces garanties pouvant être fournies « sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle » (article 46), ce en application du principe d’accountability, qui est le principe-clé de tout le Règlement. L’absence de demande d’autorisation est une petite révolution.

Ces « garanties appropriées » – sans nécessité d’autorisation préalable – sont :

  1. un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;
  2. des règles d’entreprise contraignantes conformément à l’article 47 (cf. « binding corporate rules » ou « BCR »); Le Règlement définit les caractéristiques que doivent respecter ces règles d’entreprises pour pouvoir être approuvées par l’autorité de contrôle. Elles devront en particulier être contraignantes pour toutes les entités concernées du groupe d’entreprises engagées dans une activité commune et conférer aux personnes concernées des droits opposables.
  3. des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  4. des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
  5. un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou
  6. un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

D’autres garanties sont possibles, mais « sous réserve de l’autorisation de l’autorité de contrôle compétente » :

  1. des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou
  2. des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Enfin, l’article 49 du Règlement dresse une liste des situations pour lesquelles le transfert est autorisé même en l’absence de l’une des garanties citées ci-dessus. On retrouve les raisons déjà présentes dans la réglementation en vigueur avant l’adoption du Règlement. Le transfert est ainsi notamment autorisé dès lors que la personne concernée a donné son consentement explicite au transfert « après avoir été informée des risques (…) en raison de l’absence de décisions d’adéquation et de garanties appropriées ».

Le Règlement prend en compte la rigidité des règles actuellement en vigueur ainsi que la difficulté pour les responsables de traitement de pouvoir procéder à un transfert – et notamment à des transferts multiples – dans un pays tiers. La possibilité d’effectuer de tels transferts sans avoir à demander d’autorisation mais en se soumettant volontairement à des normes qui garantissent la sécurité du traitement est une évolution qui confirme la place prise par l’#accountability dans le traitement des données personnelles.

Par ailleurs, la possibilité de créer des codes de conduite permettra de mettre en place des normes sectorielles répondant plus précisément aux attentes et habitudes des entreprises du secteur concerné.

Néanmoins les modalités de reconnaissance et de contrôle des codes de conduite ainsi que les mécanismes de certification devront être précisés par la Commission par le biais d’actes délégués. Ces derniers demanderont donc un certain délai avant de pouvoir être mis en place mais permettront à terme aux responsables du traitement de bénéficier d’outils nouveaux et a priori moins contraignants.

Pascal ALIX, Avocat à la Cour et DPO externe

Hubert de Segonzac, Avocat à la Cour et DPO externe

Lire la suite

Par une délibération du 27 avril 2017[1], la CNIL sanctionne Facebook au versement d’une somme de 150 000 euros, soit l’amende la plus haute qu’elle pouvait lui délivrer hors cas de récidive, pour violations multiples de la loi Informatique et Libertés de 1978[2].

L’analyse de cette décision permet de revenir sur plusieurs principes fondamentaux de la loi Informatique et Libertés qui encadre aujourd’hui la protection des données personnelles et dont le régime va être renforcé à compter de l’entrée en vigueur du Règlement Général sur la protection des données (« RGPD »)[3] le 25 mai 2018.

La procédure aboutissant à cette délibération

Cette délibération est l’aboutissement d’une procédure entamée en 2015. Les 8 et 9 avril 2015 en effet, la CNIL a procédé à une mission de contrôle sur place, chez Facebook France, filiale en France de Facebook Ireland et Facebook Inc. Ce premier contrôle, qui donna lieu à la rédaction de deux PV, fut suivi d’un contrôle sur pièces et de l’envoi d’un questionnaire à Facebook Inc. Un troisième type de contrôle est réalisé, en ligne cette fois-ci, le 15 décembre 2015, et un PV notifié à Facebook le 23 décembre 2015.

Ces trois contrôles finalisés, la Présidente de la CNIL décide de mettre en demeure[4] publiquement Facebook afin que soient prises en compte les mesures suivantes :

  • ne pas procéder sans base légale à la combinaison des données des inscrits à des fins publicitaires ;
  • ne pas traiter de données non pertinentes, excessives ou inadéquates au regard des finalités poursuivies, en particulier cesser de demander aux inscrits de justifier de leur identité en fournissant un dossier médical ;
  • recueillir le consentement exprès des inscrits, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles – en l’espèce des données relatives aux opinions politiques, religieuses et à l’orientation sexuelle – par tout procédé, tel qu’une case à cocher, apposée à l’endroit de la collecte ;
  • procéder à l’information des inscrits, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée en particulier :
  • sur les traitements de données à caractère personnel mis en place directement sur le formulaire d’inscription ainsi que sur les pages permettant aux inscrits de compléter leur profil ;
  • sur la nature des données transférées hors de l’Union européenne, la finalité du transfert, les destinataires des données, et le niveau de protection offert par les pays destinataires ;
  • procéder à une collecte et à un traitement loyal des données des internautes non inscrits au service de FACEBOOK s’agissant des données collectées via le cookie datr et le bouton J’aime ;
  • informer et obtenir l’accord préalable des internautes à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci ;
  • ne pas conserver de données à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, notamment en supprimant à l’expiration d’un délai de six mois les adresses IP utilisées par les inscrits pour se connecter aux comptes ;
  • prendre toutes mesures nécessaires pour garantir la sécurité des données à caractère personnel des inscrits, notamment en renforçant la robustesse des mots de passe des comptes;
  • procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation pour l’ensemble des traitements de données ayant pour finalité de lutter contre la fraude et susceptibles d’exclure des personnes ;
  • ne pas procéder à des transferts de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor.

La procédure a par la suite pris la forme d’un accompagnement de Facebook par la CNIL, avec la réalisation de plusieurs réunions de travail, ainsi qu’un prolongement du délai de mise en demeure de trois mois, l’ensemble des manquements relevés par la CNIL demandant un important travail pour Facebook.

Le 19 juillet 2016, la société Facebook Ireland fait valoir auprès de la CNIL que selon elle la loi Informatique et Libertés n’est pas applicable et qu’elle conteste l’ensemble des points soulevés sauf deux : la nécessité de veiller à l’adéquation, à la pertinence et au caractère non excessif des données et l’obligation de disposer d’une base légale pour transférer les données à caractère personnel hors de l’Union européenne. Sur ces points, elle indique avoir tenu compte des préoccupations de la CNIL.

La société Facebook Inc. ne réagissant pas, quant à elle, à la mise en demeure, la procédure suit son cours, et débouche in fine sur la délibération du 27 avril.

Les motifs de la décision

La CNIL commence par réaffirmer sa compétence et l’applicabilité de la loi française à l’encontre de Facebook Ireland et Facebook Inc, contrairement au point soulevé par Facebook Ireland. Elle rappelle les critères d’application à savoir : l’existence d’un établissement du responsable de traitement sur le territoire d’un Etat membre et la mise en œuvre du traitement de données dans le cadre des activités de cet établissement. La CNIL identifie sans mal ces éléments, en constatant que Facebook France est un établissement stable qui exerce des activités réelles et effectives et qui prend part aux traitements des données, en participant notamment à la perception des revenus publicitaires ces dernières étant personnalisées par rapport aux centres d’intérêt des utilisateurs. Les responsables de traitement, Facebook Inc et Facebook Ireland, agissant en France par l’intermédiaire d’un établissement stable peuvent donc être poursuivis tous les deux par la CNIL en tant que coresponsables de traitement.

Violation de l’article 32 de la loi Informatique et Libertés

L’analyse des infractions permet un rappel précis de l’importance du consentement des usagers avant tout traitement de données personnelles.

En premier lieu, la CNIL souligne l’absence de mentions obligatoires sur le formulaire d’inscription. Facebook se défend en invoquant un lien placé sur ce formulaire et qui renvoie à sa politique de protection des données.

Pour la CNIL néanmoins, si les informations peuvent être transmises par strates, il n’en demeure pas moins que certaines d’entre elles doivent être accessibles directement sur le formulaire. Les informations devant être nécessairement transmises à l’utilisateur lors de son inscription sont l’identité du responsable du traitement, les finalités du traitement et toute information supplémentaire permettant de garantir un traitement loyal. Cette dernière information reste assez évasive mais l’on comprend qu’il faut que l’utilisateur donne les informations le concernant en connaissance de cause.

Par ailleurs, les droits des utilisateurs concernés (droit d’accès, d’opposition, etc.) et les éventuels transferts hors de l’Union Européenne doivent aussi être des informations transmises au préalable à l’utilisateur. Or ces deux informations sont manquantes sur le formulaire ainsi que dans la politique d’utilisation des données, et empêche ainsi les utilisateurs « d’avoir la maitrise de leurs données et du traitement dont ils font l’objet ».

Ces deux points qualifient un manquement à l’article 32 de la loi Informatique et Libertés.

Violation de l’article 7 de la loi Informatique et Libertés

La CNIL reproche à Facebook de réaliser une combinaison des données en vue de réaliser de la publicité ciblée. Les combinaisons se font avec des données collectées par des sites partenaires tiers ou des sites ou applications appartenant à Facebook. Or, pour pouvoir agir ainsi, Facebook doit recueillir le consentement éclairé, spécifique et libre des utilisateurs.

La CNIL constate que les informations sur ce sujet sont diluées au sein de trois documents différents, au lieu d’être accessibles de façon claire dans celui intitulé « Politique de protection des données ». De plus, l’ensemble de ces informations ne permet pas de cerner l’importance de ce traitement et le volume de données concernées. Le consentement n’est donc pas éclairé. De surcroît, l’impossibilité pour les utilisateurs de pouvoir s’opposer à cette combinaison de données nuit à la liberté du consentement.

Enfin, la CNIL souligne que les utilisateurs s’inscrivent au service de Facebook pour bénéficier du réseau social mais non pas pour recevoir de la publicité ciblée. Cette combinaison de données ne correspond donc pas à l’objet du contrat conclu avec les utilisateurs, quand bien même, comme l’invoque Facebook, cette publicité serait nécessaire pour permettre la mise à disposition gratuite de ce service. L’équilibre entre l’intérêt économique de Facebook et les droits fondamentaux des utilisateurs n’est pas respecté et l’article 7 de la loi Informatique et Libertés violé.

Collecte et traitement loyal des données

Ce point concerne plus précisément le cookie datr utilisé par Facebook qui permet de suivre la navigation de personnes inscrites ou non sur Facebook dès lors qu’elles vont sur Facebook.com ou qu’elles cliquent sur le bouton « j’aime » même si ce boutin est présent sur un site tiers. Ce cookie, d’après Facebook, a une finalité de sécurité en permettant en particulier d’analyser la navigation des internautes afin d’éviter les attaques.

La CNIL relève principalement le manque d’informations délivrées aux utilisateurs dans le bandeau d’informations. Ce bandeau, renvoyant à la politique des données de Facebook, ne comprend pas suffisamment d’éléments permettant à l’Utilisateur de prendre conscience que le dépôt de ce cookie entraîne un suivi détaillé de sa navigation. Par ailleurs, la finalité sécuritaire n’est pas justifiée pour les personnes non inscrites sur Facebook.

Pour toutes ces raisons, le manquement à l’article 1er de la loi de 1978 qui impose une collecte et un traitement loyal des données est caractérisé.

Obligation de recueillir le consentement des personnes concernées pour le traitement de données sensibles relatives aux opinions politiques ou religieuses et à la vie sexuelle

Ce point de la décision est particulièrement intéressant et peut viser de nombreux sites internet, en premier lieu les sites de rencontres. Le formulaire d’inscription contient des informations qui sont cataloguées dans les données sensibles. En particulier les données sur l’origine ethnique et sur la vie sexuelle. Pour le traitement de ces données, l’article 8 de la loi de 1978 demande à ce que le consentement soit exprès.

Pour Facebook, le renseignement volontaire de ces informations par l’utilisateur est la preuve du consentement exprès. Pour la CNIL à l’inverse, le renseignement spontané doit être complété par une action positive prouvant l’existence du consentement (case à cocher par exemple). La CNIL relève par ailleurs que la politique des données personnelles ne comprend pas d’informations spécifiques sur le traitement de ces données sensibles. Le manquement est donc caractérisé.

Obligation de mettre à disposition un moyen valable d’opposition aux informations (cookies) stockées sur l’équipement terminal de communications électroniques des utilisateurs

La CNIL revient sur les cookies déposés par Facebook et relève qu’ils sont de deux ordres : techniques d’une part, et donc indispensables au fonctionnement du réseau social, et first party, d’autre part, à finalité publicitaire. Or, le bandeau d’information, en renvoyant au paramétrage du navigateur pour bloquer les cookies n’offre pas de solution satisfaisante. Soit tous les cookies sont bloqués, ce qui empêche l’utilisateur d’accéder au service, soit l’utilisateur bloque uniquement les cookies third party, mais ne peut pas empêcher le dépôt des cookies first party à finalité publicitaire. Le paramétrage ne permet donc pas de s’opposer valablement ce qui constitue un manquement à l’article 32 de la loi Informatique et Libertés.

Ce point est loin d’être anodin à l’heure du Règlement européen. Celui-ci impose en effet une conformité by design et by default. Il revient au responsable de traitement de créer des outils permettant de s’opposer efficacement aux cookies qui ne sont pas nécessaires à l’exécution d’un service et de prévoir une information accessible sur cette opposabilité.

Durée de conservation des données

Le dernier manquement concerne la durée de conservation des données en particulier des adresses IP. Pour Facebook, la collecte de ces données personnelles correspond à trois finalités : une finalité de sécurité pour lutter contre les contenus illicites, une finalité de protection des enfants liée à la nécessité d’informer rapidement les autorités compétentes lors de la détection d’images pédophiles et enfin une finalité de réponse aux requêtes des autorités publiques.

Ces finalités ne justifient pas, pour la CNIL, que les données soient conservées tant que le compte est ouvert. Il revient au responsable de traitement de pouvoir définir une durée de conservation adéquate et démontrer que celle-ci est nécessaire et proportionnée aux finalités de la collecte. Etant donné que Facebook ne peut réaliser cette démonstration, le manquement à l’article 5 de la loi est caractérisé.

Ce point constitue lui aussi un rappel important pour les responsables de traitement : la durée de conservation choisie, lorsqu’elle n’est pas imposée par un texte, doit pouvoir être justifiée. C’est donc en amont qu’il faut réfléchir à cette question afin de pouvoir expliquer en quoi la durée est proportionnelle à la finalité du traitement.

***

Compte tenu du nombre important des utilisateurs de Facebook et de la collecte massive des données, la CNIL a jugé nécessaire de rendre publique cette délibération.

Elle permet de refaire un tour des points fondamentaux de la loi de 1978, notamment en ce qui concerne l’importance du consentement libre et éclairé de la personne concernée et de son droit d’opposition.

Seule le montant de la sanction peut laisser à désirer pour un acteur de la taille de Facebook.

C’est l’occasion de redire ici que cette ère des sanctions faibles se termine, pour laisser place dès le mois de mai 2018 – après la parenthèse de la loi Lemaire qui n’aura pas eu le temps d’être beaucoup appliquée dans son volet données à caractère personnel -, à l’ère des sanctions potentiellement très élevées (2 à 4% du chiffre d’affaires mondial).

Gageons que Facebook est en train de prendre des mesures de mise en conformité afin d’éviter que ses infractions à la loi de 1978 ne se transforment l’année prochaine en infractions au RGPD dont les conséquences seraient alors toute autre…

Cette délibération donne aussi des pistes mutatis mutandis – à tous les acteurs du numérique en ce qui concerne les points à considérer, que ce soit pour les cookies, les formulaires d’inscription, ou encore les durées de conservation afin d’éviter à l’avenir à la fois une mauvaise publicité et une sanction pécuniaire pénalisante.

Comme cela a été souligné pour les cookies en particulier, les obligations de privacy by design et by default sont donc à prendre en compte dès aujourd’hui afin de ne pas être en contradiction avec le Règlement en mai prochain. Plus qu’un an…

Pascal Alix, avocat et CIL

Hubert de Segonzac, avocat et CIL

[1] Délibération de la formation restreinte SAN –2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND.

[2] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[3] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant  la directive 95/46/CE.

[4] Décision n° 2016-007 du 26 janvier 2016 concernant les traitements de données mis en œuvre dans le cadre du réseau social FACEBOOK.