La CNIL a rendu le 27 avril 2017 une délibération condamnant solidairement les sociétés Facebook Inc. et Facebook Ireland à une amende de 150.000€ et prononçant la publicité de cette délibération pendant une durée de deux ans.

Cette sanction intervient après la mise en demeure adressée le 26 janvier 2016 aux deux sociétés de se mettre en conformité sur certains manquements constatés par la CNIL.

La Commission, dans sa délibération n°2017-006 du 27 avril 2017, relève une série importante de manquements au respect des principes de protection des données :

• L’absence de base légale concernant la combinaison de données. La combinaison massive de données issues du site Facebook et de sites tiers ne peut être réalisée en l’absence d’une information claire et d’un consentement exprès.
• L’absence de caractère loyal de la collecte de données de navigation des internautes, via le cookie « Datr ». Facebook procède à un suivi déloyal des internautes non inscrits sur Facebook, via un cookie « datr » qui lui permet de collecter et de traiter des données des internautes au cours de leur navigation sur des sites tiers dès lors que le module Facebook est présent. En l’absence d’information suffisamment complète et dans la mesure où la finalité liée à la sécurité du service ne concerne que les utilisateurs inscrits, Facebook manque à son obligation de loyauté de la collecte et des traitements de données.
• L’absence d’information immédiate sur les droits et l’utilisation des données sur le formulaire d’inscription. La CNIL rappelle la nécessité de fournir une information par strate et précise que les informations de premier niveau, notamment concernant le transfert de données, doivent être fournies immédiatement, dès la collecte de celles-ci, c’est à dire dès l’inscription aux services ainsi que sur les pages permettant de compléter son profil.
• L’absence de consentement exprès des internautes lors de la collecte de données sensibles. Le fait que les utilisateurs renseignent volontairement leurs origines, opinions religieuses ou orientation sexuelle ne décharge pas Facebook de son obligation d’informer spécifiquement l’utilisateur et de recueillir son consentement exprès - c’est-à-dire informé et spécifique - concernant le traitement de ces données sensibles conformément à l’article 8 de la loi Informatique et Libertés.
• L’absence de possibilité, pour les internautes, de s’opposer valablement à la dépose de cookies sur leur équipement terminal, en particulier les cookies first party à finalité publicitaire déposés par Facebook.
• La durée excessive de conservation de l’adresse IP. La conservation de l’intégralité de l’adresse IP pendant toute la durée de vie du compte et jusqu’à 90 jours après la fermeture du compte apparait excessive au regard de la finalité du traitement.
  Face à ces manquements, la CNIL a condamné solidairement les sociétés Facebook à une sanction pécuniaire de 150.000€ et a prononcé la publicité de sa délibération pendant une durée de deux ans. Cette sanction s’inscrit dans le cadre d’actions concomitantes réalisées par la Belgique, les Pays-Bas, l’Allemagne et l’Espagne à l’encontre de ces sociétés.

Cette décision est également l’occasion pour la CNIL de préciser les règles relatives à l’application de la Loi Informatique et Libertés et à la compétence de la CNIL en apportant notamment des éléments sur la définition d’établissement (I). Elle précise également les conditions nécessaires à la réalisation de combinaison de données personnelles ainsi que les éléments permettant d’apprécier la loyauté d’un traitement (II).

I. L’application territoriale de la loi Informatique et Libertés

L’application de la loi Informatique et Libertés suppose l’existence d’un établissement en France (A) participant de manière indissociable aux traitements en cause (B) et entraine la responsabilité conjointe des responsables traitement (C).

A. La notion d’établissement issue de la jurisprudence européenne

La loi Informatique et Libertés est applicable dès lors qu’il existe un établissement sur le territoire français, participant à la mise en œuvre d’un traitement de données dans le cadre de ses activités. [1]

Facebook Inc. et Facebook Ireland contestent l’application de la loi française au motif que Facebook n’aurait pas d’établissement en France. Facebook France agirait uniquement comme sous-traitant du responsable de traitement, Facebook Ireland, de sorte que seul le droit Irlandais serait applicable.

La CNIL procède à un rappel des décisions de la CJUE sur la notion d’établissement. La jurisprudence de la Cour de justice de l’Union européenne est aujourd’hui un élément majeur permettant de comprendre et d’appliquer la réglementation européenne en matière de protection des données personnelles.

Reprenant les critères posés par la CJUE, la CNIL constate l’existence d’une « installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de télémarketing ».

Ainsi, la CNIL apprécie la stabilité de l’installation, son activité réelle et les moyens mis en œuvre pour qualifier Facebook France d’établissement de Facebook Inc. et Facebook Ireland. En outre, la CNIL précise que l’éventuelle qualité de sous-traitant est sans incidence sur la qualification d’établissement.

Une fois l’existence d’un établissement en France caractérisée, la CNIL analyse la participation de cet établissement aux traitements en cause.

B. Le caractère indissociable de la participation aux traitements en cause

La CNIL relève que Facebook France assure la promotion commerciale des espaces publicitaires du service Facebook auprès des entreprises françaises et contribue à en assurer la rentabilité. Elle souligne en particulier que « Cette activité est donc indissociable du traitement des données des utilisateurs et notamment de leur combinaison ».

Pour apprécier ce critère, la CNIL s’appuie également sur des décisions de la CJUE, en particulier une décision concernant un établissement de Google qui participe à la promotion et vente des espaces publicitaires.

Facebook France participe donc bien aux traitements mis en cause, notamment à la combinaison des données personnelles des utilisateurs en exerçant une fonction « indissociable ».

Par conséquent, le droit français s’applique à ces traitements et la CNIL est bien compétente pour mettre en cause et prononcer des sanctions à l’égard des responsables de traitements.

C. La responsabilité conjointe des responsables de traitement

La responsabilité mise en cause pour les manquements visés à la loi Informatique et Libertés est celle du responsable de traitement.

Facebook conteste la qualité de responsable de traitement de Facebook Inc. au motif que seul Facebook Ireland serait responsable des traitements mis en œuvre pour les utilisateurs situés en dehors des Etats-Unis et du Canada.

Toutefois, pour apprécier la qualité de responsable de traitement de Facebook Inc. la CNIL analyse précisément les procédés de prise de décision dans les traitements faisant l’objet de la présente mise en cause notamment :

• la détermination conjointe des finalités de traitement telle que la combinaison des données des utilisateurs ;
• l’existence d’une politique d’utilisation des données commune pour les utilisateurs nord-américains et européens ;
• l’existence de traitements réalisés par Facebook Inc., tels que décrits dans les clauses contractuelles types permettant le transfert de ces données personnelles aux Etats-Unis, qui sont directement liés au fonctionnement du réseau social et réalisés par Facebook Inc. quelle que soit la localisation de l’utilisateur.

La CNIL retient de l’analyse de ces différents indices que Facebook Ireland et Facebook Inc. doivent être qualifiées de responsables de traitements conjoints et devront ainsi être condamnées solidairement par la CNIL pour les manquements constatés.

II. Les manquements constatés concernant la combinaison massive de données et le suivi des internautes

Parmi les manquements constatés par la CNIL, il convient de revenir en particulier sur l’opposition de la CNIL au croisement massif de données en l’absence de base légale (A) et l’absence de caractère loyal de la collecte et du traitement des données de navigation des internautes via le cookie « datr » (B).

A. L’opposition de la CNIL au croisement massif de données en l’absence de base légale

La CNIL a mis en demeure Facebook Inc. et Facebook Ireland de cesser de procéder, sans base légale, à la combinaison des données des utilisateurs afin de leur proposer des publicités ciblées.

On entend par données combinées, les données fournies lors de l’inscription, celles relatives à l’activité de l’utilisateur quel que soit le terminal utilisé, mais également les données provenant de sites tiers ou encore de sociétés qui appartiennent ou qui sont exploitées par Facebook. La combinaison de ces données permet un suivi massif des internautes.

La CNIL relève que si les utilisateurs ont la possibilité de supprimer les préférences associées à leur compte, ils n’ont aucun moyen de « s’opposer à la collecte de ces informations et à leur combinaison, de sorte qu’ils ne peuvent mettre fin au suivi massif dont ils font l’objet ». Les utilisateurs du réseau social sont ainsi dépourvus de tout contrôle sur la combinaison de leurs données à caractère personnel, ce qui porte nécessairement atteinte au droit au respect de leur vie privée.

La CNIL apporte ici des éléments d’appréciation sur les manquements à l’obligation d’information de l’utilisateur, au recueil du consentement et à l’absence de mécanisme d’opposition, concluant ainsi au manque de base légale.

La CNIL relève que malgré un « croisement massif », il n’est donné aucune information précise concernant la combinaison de ces données. Il n’est pas non plus précisé à quel moment cette combinaison est réalisée. La CNIL considère que, au regard du caractère particulièrement intrusif de la combinaison des donnés, de ses incidences sur la vie privée, et de l’ampleur des combinaisons réalisées portant tant sur les données de Facebook mais de sites tiers, cette information est essentielle pour les utilisateurs et « de premier niveau ». Aussi, cette information devrait donc être fournie immédiatement dans la « politique d’utilisation des données ».

En outre, la formation restreinte de la CNIL relève que le consentement ne peut pas être éclairé ni spécifique dans la mesure où l’information est « diluée dans trois documents distincts ». En effet il apparait que le consentement est donné simultanément pour les trois documents « politique d’utilisation des données », « politique d’utilisation des cookies » et « déclaration des droits et responsabilités ».

Enfin le consentement ne peut être libre dans la mesure où il n’y a pas de possibilité d’opposition à la combinaison des données. L’inscription sur le réseau emporte nécessairement cette combinaison.

A cet égard, la CNIL rejette aussi les éléments soulevés par Facebook tenant à la liberté d’entreprendre et l’intérêt légitime.

B. Le manque de loyauté dans le suivi des internautes et la collecte des données de navigation via le cookie « datr »

Facebook avait été mis en demeure de procéder à une collecte et à un traitement loyal des données des internautes concernant les données collectées via le cookie « datr » et le module social Facebook (ex : bouton « j’aime »).

Ce cookie « datr » est déposé « dès lors qu’un internaute consulte une page du site facebook.com ou qu’il clique sur le bouton « j’aime » figurant sur un site tiers ».

Cette fonctionnalité permet à Facebook de collecter des données d’internautes inscrits mais également non inscrits sur Facebook, et de les suivre sur des sites tiers dès lors qu’ils contiennent ce module.

Facebook précise ici que l’information préalable est délivrée via un bandeau d’information sur les cookies et que la finalité de ce traitement est légitime à des fins de sécurité du service.

Néanmoins, la CNIL considère que le bandeau d’information relatif aux cookies est trop imprécis pour permettre à l’utilisateur d’apprécier l’étendue de la collecte des données réalisée, en particulier le fait que les données peuvent être collectées lors de visite de sites tiers, dès lors qu’un module Facebook y est intégré. Par conséquent, la collecte de données n’est pas loyale.

Cette délibération s’inscrit dans la continuité de la politique menée par la CNIL sur les cookies, notamment sa délibération 2013-378 du 5 Décembre 2013, qui vise à mieux informer les internautes des collectes de données personnelles réalisées au moyen de cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 et tout dernièrement mise à jour à la suite des contrôles qu’elle a menés en 2016 et 2017 sur les émetteurs de cookies tiers établis en France et aux Etats-Unis.

La justification avancée par Facebook pour l’utilisation de ce type de cookies reposerait sur la sécurité. Il permettrait « une analyse de la navigation des internautes afin notamment d’éviter les attaques, la création de faux comptes ou l’usurpation de comptes ».

La CNIL considère que, si elle est légitime à des fins de sécurité des services pour les utilisateurs inscrits, elle ne l’est pas pour les utilisateurs non inscrits dans la mesure où l’éventualité d’une usurpation de compte ne concerne pas ces derniers.

Par conséquent, la CNIL considère, « en l’absence d’une information suffisamment claire et précise sur la collecte des données effectuées et dès lors que le cookie « datr » permet d’effectuer un suivi détaillé de la navigation de l ‘ensemble des internautes inscrits ou non sur le réseau » que Facebook manque à son obligation de réaliser une collecte et un traitement loyal de ces données.

Nul doute que la publicité donnée à cette sanction sera davantage de nature à gêner la société Facebook que le montant de l’amende elle-même.

Les nouvelles sanctions prévues part le Règlement européen du 27 avril 2017 auront un effet beaucoup plus dissuasif.

[1] L’article 5 de la loi n° 78-17 du 6 janvier 1978 dispose que la loi Informatique et Libertés est applicable aux traitements dont le responsable est établi sur le territoire français et précise que « Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi. ».