Condamnation de Facebook par la CNIL au titre d’une collecte illégale, abusive et massive des données des internautes

Pour la CNIL, Facebook doit cesser d’exploiter de manière abusive les données des internautes.

C’est ce qui ressort d’une décision du 27 avril 2017 de sa formation restreinte, qui condamne les sociétés FACEBOOK INC. et FACEBOOK IRELAND à une amende administrative de 150.000 euros.

‍

1. La CNIL met en demeure Facebook de se conformer à la législation française en matière de protection des données personnelles

Après divers contrôles dans les locaux de FACEBOOK FRANCE, sur pièces et en ligne en 2015, la CNIL avait mis en demeure publiquement les sociétés FACEBOOK INC. et FACEBOOK IRELAND de se conformer à la législation française en matière de protection des données personnelles par une décision n°2016-007 du 26 janvier 2016. Entre autres, il était demandé à FACEBOOK INC. et FACEBOOK IRELAND, responsable du traitement des données, de :

• Ne pas procéder sans base légale à la combinaison des données des inscrits à des fins publicitaires
• Recueillir le consentement exprès des inscrits, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles – en l’espèce des données relatives aux opinions politiques, religieuses et à l’orientation sexuelle – par tout procédé, tel qu’une case à cocher, apposée à l’endroit de la collecte
• Procéder à l’information des inscrits, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée en particulier :
  – sur les traitements de données à caractère personnel mis en place directement sur le formulaire d’inscription ainsi que sur les pages permettant aux inscrits de compléter leur profil
  – sur la nature des données transférées hors de l’Union européenne, la finalité du transfert, les destinataires des données, et le niveau de protection offert par les pays destinataires
• Procéder à une collecte et à un traitement loyal des données des internautes non-inscrits au service de FACEBOOK s’agissant des données collectées via le cookie « datr » et le bouton J’aime
• Informer et obtenir l’accord préalable des internautes à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci
• Ne pas conserver de données à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, notamment en supprimant à l’expiration d’un délai de six mois les adresses IP utilisées par les inscrits pour se connecter aux comptes

‍

2. Des éléments de réponse insuffisants de Facebook

Un an plus tard, la CNIL a considéré que les éléments de réponse de FACEBOOK n’étaient pas suffisants et a renvoyé l’affaire devant la formation restreinte afin qu’elle prononce des sanctions.

En synthèse, la CNIL considère dans cette décision que :

‍

a) Concernant la combinaison de données des utilisateurs, FACEBOOK effectuerait ce traitement sans base légale

En effet, si les utilisateurs disposent de moyens pour maitriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori. Ils sont donc dépourvus de tout contrôle sur cette combinaison.

La CNIL avait relevé dans son enquête que :

« pour afficher de la publicité ciblée, [FACEBOOK INC. et FACEBOOK IRELAND] procédaient à la combinaison :
–  des données fournies par les inscrits lors de la création de leur compte sur le site,
–  des données relatives à l’activité des inscrits sur le site (contenus partagés ou consultés par exemple), quel que soit le terminal utilisé par ces derniers,
–  des données relatives aux appareils utilisés par les inscrits (système d’exploitation, coordonnées GPS, type de navigateur, numéro de téléphone mobile par exemple),
–  des données provenant de sites tiers et applications intégrant notamment des boutons « J’aime » ou « Se connecter »,
–  des données provenant de partenaires tiers (partenaires avec qui la société a collaboré pour offrir un service ou annonceurs avec lesquels les inscrits ont interagi),
–  des données provenant des sociétés qui appartiennent ou qui sont exploitées par la société (FACEBOOK Payments Inc., Instagram LLC, WhatsApp Inc. par exemple) ».

Compte tenu de l’ensemble de ces données collectées et combinées dans un seul fichier, la CNIL a considéré que le consentement donné par l’utilisateur de FACEBOOK lorsqu’il s’inscrit n’est pas éclairé, spécifique et libre.

D’autre part, la CNIL relève dans sa décision que cette combinaison de données n’est pas légitime compte tenu de son caractère « potentiellement illimité (…) notamment via le cookie « datr ».

‍

b) Concernant la collecte des données de navigation des internautes au moyen du cookie « datr »

L’information dispensée via le bandeau d’information relatif aux cookies est imprécise.

En effet, pour la CNIL cette mention ne fait qu’indiquer que des informations sont collectées « […] sur et en dehors de Facebook via les cookies », ce qui ne permet pas aux internautes d’être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social.

En effet, la CNIL a constaté que le cookie « datr » est déposé dans les terminaux de tout internaute « dès lors qu’un internaute (inscrits et non-inscrits) consulte une page du site facebook.com ou qu’il clique sur le bouton J’aime figurant sur un site tiers ».

La CNIL relève par ailleurs d’autres manquements à la règlementation sur des principes classiques :

• Information : Absence d’information immédiate aux internautes sur leurs droits qui devrait figurer notamment sur le formulaire d’inscription au service.
• Consentement : Absence d’obtention d’un consentement exprès des internautes lorsqu’ils renseignent des données sensibles dans leurs profils (ex : leurs opinions politiques, religieuses ou leur orientation sexuelle).
• Cookies : la CNIL considère que le seul renvoi au paramétrage du navigateur est insuffisant, ce qu’elle avait déjà dit.
• Proportionnalité : il n’est pas justifié de conserver l’intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte.

‍

3. Une sanction financière dérisoire

Reste cette sanction financière de 150.000 €, qui paraît dérisoire pour les sociétés concernées, mais correspond au cadre légal contraint d’intervention de la CNIL, cadre qui va changer très bientôt avec le Règlement Général de Protection des Données (RGPD)¹ qui introduit des amendes proportionnelles au chiffres d’affaires pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise condamnée².

On rappellera que FACEBOOK, qui revendique la gratuité de son service auprès de ses 1,86 milliard d’utilisateurs, vient de déclarer un chiffre d’affaire mondial de 25,6 milliards d’euros en 2016 (+54% par rapport à 2015) et un résultat net de 9,4 milliards d’euros (+177%). Par conséquent, après l’entrée en vigueur du RGPD, FACEBOOK INC. et FACEBOOK IRELAND pourraient être condamnées à une amende de plus de un milliard d’euros en cas de violation des dispositions de ce règlement.

Dans l’attente d’un arsenal de sanctions plus étoffé, c’est à ce jour la publicité associée à la décision qui, dans l’esprit de la CNIL, est de nature à faire évoluer les pratiques de ces acteurs internationaux. Qu’il soit permis d’en douter…