01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Données personnelles : Facebook sous le feu des sanctions

FACEBOOK sanctions haas avocats

Par Paul BENELLI et Gérard HAAS

Après de sévères critiques lors de son rachat de WhatsApp, Facebook doit désormais faire face à une vague de sanctions sans précédent.

Ces sanctions, exemplaires, impressionnent tant par leur montant que par leur caractère systématique :

  1. 26 Janvier 2016 : Facebook est mis en demeure par la Présidente de la CNIL de se conformer sur de nombreux points à la loi Informatique et Libertés.
  2. 27 Avril 2017: la CNIL française sanctionne Facebook à hauteur de 150 000 euros tout en rendant publique sa décision : c’est la peine maximale que peut infliger le gendarme Français.
  3. 12 Mai 2017 : L’AGCM, autorité italienne de régulation de la concurrence, sanctionne WhatsApp Inc, société du groupe Facebook, à une amende de 3 millions d’euros.
  4. 16 Mai 2017: Les autorités de protection des données de France, d’Espagne, d’Hambourg, de Hollande et de Belgique publient un communiqué commun où elles indiquent avoir mené des enquêtes séparées tout en annonçant la publication de leurs décisions.
  5. 18 Mai 2017 : La Commission européenne annonce avoir infligé des amendes de 110 millions d’euros à Facebook pour avoir fourni des renseignements inexacts concernant le partage de données avec WhatsApp dans le cadre de son enquête sur l’acquisition du service de messagerie courant 2014.

Le célèbre réseau social est mis à l’amende suite à des infractions au droit de la concurrence et à la réglementation des traitements de données à caractère personnel.

 

I.   Amende de 150 000 euros pour de nombreux manquements à la loi informatique et libertés


Le 26 janvier 2016, Facebook avait été mis en demeure par la Présidente de la CNIL de se conformer sur de nombreux points à la loi Informatique et Libertés.

Comme il est d’usage, cette mise en conformité devait intervenir au maximum dans les 3 mois de la mise en demeure. Evaluant le risque de sanction, Facebook n’a pas souhaité se conformer dans les délais à l’ensemble des exigences de la CNIL.

A l’issue d’une procédure contradictoire au cours de laquelle Facebook a pu étayer sa défense, la commission des sanctions de la CNIL a, le 27 avril 2017, infligé à Facebook sa sanction maximale de 150 000 euros d’amende. La décision vient d’être publiée, le 16 Mai 2017.

En effet, les contrôles conduits par la CNIL au cours de son enquête ont permis de relever l’existence de nombreux manquements à la loi Informatique et Libertés. La Commission française a ainsi notamment relevé que Facebook procédait à :

  • la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire ;
  • au traçage des internautes (membres ou non du réseau social) à leur insu, grâce notamment à l’utilisation du cookie « datr».

Etudions dans le détail ces sanctions.

 

1. Facebook procédait à une combinaison massive non consentie des données personnelles de ses utilisateurs, aux fins de ciblage publicitaire.

Facebook croisait l’ensemble des données qu’il possède, en l’absence de base légale : les utilisateurs de Facebook n’avaient pas consenti[1] à cette combinaison massive et ne pouvaient pas s’y opposer[2] lors de la création ou de l’utilisation subséquente de leur compte Facebook.

Si les utilisateurs peuvent en effet maîtriser l’affichage des publicités ciblées sur Facebook, ils ne pouvaient pas contrôler le traitement massif et sous-jacent de leurs données.

2. Facebook collectait de manière déloyale les données de navigation de nombreux internautes, y compris ceux n’utilisant pas ses services, notamment via son cookie « datr »

Dès qu’un internaute naviguait sur un site tiers comportant un « module social Facebook », ses données personnelles et notamment ses données de navigation étaient collectées et ce de manière systématique.

En dépit de la réglementation applicable et de la directive européenne du 24 Octobre 1995, Facebook n’informait pas suffisamment les internautes de cette collecte : le bandeau cookies de Facebook ne permettait pas une information suffisamment claire et précise et mentionnait uniquement que des informations étaient collectées « sur et en dehors de Facebook, via les cookies ».

3. Une conservation sans limite des adresses IP

L’intégralité des adresses IP[3] des utilisateurs de Facebook étaient conservées par Facebook pendant l’intégralité de la vie du compte de l’utilisateur, voire de manière illimitée.

Facebook se voit sanctionné sur ce point dès lors qu’il ne justifie pas en quoi cette conservation illimitée des adresses IP, qui va bien au-delà des six mois prescrits par la CNIL, est nécessaire[4].

4. Le défaut d’information des utilisateurs Facebook

Pour la CNIL, les utilisateurs de Facebook ne sont pas suffisamment informés, que ce soit sur leurs droits ou sur l’utilisation de leurs données. Sur ce point, les questionnaires de collecte sont absents de la plateforme et les politiques d’utilisation des données sont apparues comme lacunaires.

Ceci constitue un manquement grave à l’obligation d’information prévue par l’article 32 de la loi Informatique et libertés.

5. Des données sensibles recueillies sans consentement exprès

Par principe, la collecte de telles données est interdite. Néanmoins le consentement du titulaire de la donnée peut, dans certains cas, justifier ce traitement.

Pour autant, Facebook recueillait certaines données sensibles de ses utilisateurs (leurs orientations sexuelles, leurs opinions politiques ou religieuses, etc.)[5] sans recueillir de manière expresse leur consentement.

6. Les utilisateurs Facebook ne peuvent s’opposer au dépôt de cookies sur un terminal

En renvoyant aux paramétrages du navigateur, Facebook ne satisfaisait pas à la mise en demeure de la CNIL et à son obligation de mettre à disposition de ses utilisateurs un moyen de s’opposer au dépôt de cookies sur un terminal[6].

 

Face à ces nombreux manquements, la CNIL prononce une double sanction consistant :

  • D’une part à une amende de 150 000 euros ;
  • D’autre part à la publication étendue de cette décision.

Si le montant de l’amende peut, en soit, paraître limité pour un acteur de la taille de Facebook, il s’agit pourtant de la sanction maximale que la CNIL pouvait prononcer à l’époque des faits[7].

Il serait particulièrement dangereux pour Facebook (et pour n’importe quel autre réseau social) d’ignorer cette sanction puisque depuis Octobre 2016, la CNIL peut sanctionner n’importe quel acteur à des amendes pouvant aller jusqu’à 3.000.000 euros, voyant ainsi son pouvoir de sanction multiplié par 20 !

Enfin, ce montant est à lire dans la perspective de l’entrée en force le 25 mai 2018 du nouveau Règlement Général sur la Protection des Données (RGPD). Ce règlement, qui vient révolutionner la réglementation propre aux traitements de donnée, prévoit une explosion du plafond des sanctions administratives : 10 000 000 d’euros ou 2% du chiffre d’affaires mondial pour des manquements à certains obligations techniques et organisationnelles et 20 000 000 d’euros ou 4% du chiffre d’affaires mondial pour des manquements aux grands principes en matière de données personnelles et, notamment, aux droits des personnes.

 

Ainsi, pour des manquements d’une gravité similaire, Facebook pourra encourir, dès mai 2018,  une amende pouvant aller jusqu’à 4% de son chiffre d’affaires, ce qui représenterait 991 millions d’euros[8] !

 

II.   Une amende de 110 millions pour des informations trompeuses portant sur les transferts de données de Whatsapp vers Facebook


Le règlement de l’UE sur les opérations de fusion et de concentration entre entreprises oblige ces dernières à se soumettre à une enquête ayant pour but de prouver que le rapprochement envisagé avec une autre entreprise n’aura pas d’effet néfaste sur le marché et la libre concurrence.

Dans le cadre d’une cette enquête, chaque entreprise contrôlée doit fournir des renseignements exacts et non dénaturés.

En 2014, Facebook a ainsi dû notifier à la Commission Européenne sa volonté d’acquérir l’entreprise WhatsApp[9]. A cette occasion, la Commission a interrogé le réseau social sur l’utilisation qu’il projetait de faire des données des utilisateurs de WhatsApp qu’il allait racheter.

La société californienne avait alors informé la Commission qu’elle ne serait pas en mesure de synchroniser les numéros de téléphone des utilisateurs de WhatsApp avec les profils Facebook de ces derniers et que par conséquent il n’y aurait pas de recoupement de données sans le consentement de leurs titulaires.

Pour autant, en août 2016, WhatsApp a annoncé lors d’une mise à jour de ses Conditions Générales d’Utilisation qu’elle allait désormais associer les numéros de téléphone des utilisateurs de WhatsApp aux profils d’utilisateur de Facebook.

La Commission a donc constaté que, contrairement à ce qu’avait déclaré Facebook en 2014 dans le cadre de la procédure de contrôle des concentrations, la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité.

Si cette déclaration erronée ne remet pas en cause, à ce stade, l’acquisition de WhatsApp par Facebook, elle justifie aujourd’hui que Facebook soit condamné au paiement d’une amende de 110 millions d’euros, après la sanction analogue de 3 millions d’euros prononcée par l’Autorité de la Concurrence Italienne pour des faits similaires, liés au croisement des données de WhatsApp et de Facebook[10].

 

*****

 

Au-delà de l’aspect financier de ces décisions il apparaît désormais clair qu’une véritable prise de conscience est à l’œuvre.

Ainsi, les différentes autorités françaises et européennes semblent désormais (enfin) prendre la mesure de l’importance d’une réglementation forte des traitements de données à caractère personnelles.

 

Cette prise de conscience est accompagnée d’un message public clair : il est désormais évident que les abus dans l’utilisation des données personnelles des internautes ne resteront plus impunis, alors que le Règlement européen en matière de données personnelles entre en vigueur en Mai 2018.

 

Le Cabinet HAAS, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement ses clients du secteur public comme du secteur privé dans la mise en conformité de leurs traitements en vue de la sécurisation de ceux-ci.

Le cabinet HAAS propose à ce titre :

  • La mise à jour de vos Conditions Générales d’Utilisation et de votre Politique de Confidentialité ;
  • L’externalisation de la fonction Correspondant Informatique et Libertés /DPO[11],
  • La réalisation d’études d’impact (PIA),
  • La formalisation de référentiels sécurité ou encore la dispense de formations relatives à la prévention des risques liés aux cyber menaces dans le cadre d’une offre globale de DataCompliance.

Pour plus d’informations, cliquez-ici.

 

*****

 

[1] Article 7 de la loi Informatique et libertés

[2] Article 38 de la loi Informatique et libertés

[3] Les adresses IP sont des données à caractère personnel (Cass. Civ. 1ère, 3 novembre 2016 n°15-22.595)

[4] Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (article 6 5° de la loi Informatique et libertés).

[5] Article 8 II. 1° de la loi Informatique et libertés

[6] Directive 2009/136/CE du 25 novembre 2009, article 32-II de la loi Informatique et libertés et Rapport CNIL du 14 décembre 2016

[7] Article 47 de la loi Informatique et libertés, dans sa version antérieure à Octobre 2016 et l’entrée en vigueur de la loi pour une République Numérique

[8] 4% d’un chiffre d’affaires de 27,638 milliards $ en 2016, soit 24,790 milliards d’euros.

[9] Opération finalement bouclée pour un montant total de …22 milliards de dollars.

[10]

[11] https://www.haas-avocats.com/ecommerce/pourquoi-les-entreprises-doivent-preparer-designer-dpo/

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com