La CNIL donne une leçon de droit européen à
Publié sur Dalloz Actualité (http://www.dalloz-actualite.fr)
La CNIL donne une leçon de droit européen à notre ami
américain Facebook
le 23 février 2016
ADMINISTRATIF | Droit fondamental et liberté publique
CIVIL | Droit et liberté fondamentaux
EUROPÉEN ET INTERNATIONAL | Marché intérieur - Politique communautaire | Principes -
Généralités
Auteur: Olivia Tambou
Dans une décision de mise en demeure d’une ampleur sans précédent, la Commission nationale de
l’informatique et des libertés (CNIL) explique comment Facebook se livre à des collectes et des
traitements massifs non autorisés des données personnelles de l’ensemble des internautes.
Facebook a trois mois pour mettre un terme à ces pratiques (CNIL 26 janv. 2016,décis. n°
2016-007 mettant en demeure les sociétés Facebook INC. et Facebook Ireland).
La décision de la CNIL s’attaque au phénomène bien connu de la collecte et du traitement des
données personnelles à des fins de publicité ciblée. Trois raisons ont incité la CNIL à rendre
publique cette mise en demeure : l’ampleur des manquements constatés, une dizaine au total, la
gravité des violations en cause et enfin l’importance du nombre de personnes concernées puisque
Facebook a plus de 30 millions d’utilisateurs en France.
Cette décision a une valeur explicative. Elle permet à chacun de comprendre comment Facebook
utilise à notre insu nos données personnelles pour en faire le moteur de son économie. Cette prise
de conscience ne suffira sans doute pas à faire changer nos habitudes. Elle devrait néanmoins
amener Facebook à modifier les siennes. Cette décision illustre également le rôle crucial assuré par
les autorités de protection des données personnelles, telles que la CNIL, en Europe. Sans elles, le
droit de la protection des données personnelles pourrait apparaître bien théorique. La régulation
qu’elles mènent au quotidien avec les acteurs économiques a pour but de faire émerger une
véritable culture partagée de la protection des données personnelles. Plus que la volonté de
sanctionner à terme, c’est sans doute cela que recherche la CNIL. L’ultimatum lancé est d’autant
plus sérieux qu’il doit être replacé dans son contexte. D’une part, le futur règlement général de la
protection des données renforce considérablement les obligations des responsables de données.
D’autre part, ce début d’année est marqué par la multiplication des contentieux contre Facebook
tant dans le domaine de la protection des données en Belgique et en Allemagne que dans celui des
clauses abusives. C’est donc une leçon de droit européen de la protection des données qui est
livrée à Facebook mais aussi un avertissement incitant l’ensemble des acteurs du numérique à
changer de paradigme.
La décision rappelle clairement à Facebook les principes-clés de la protection des données en droit
européen fixés dans la directive 95/46/CE pour l’ensemble des vingt-huit États membres.
Leçonn° 1 : l’obligation de recueillir le consentement ou à défaut d’invoquer un intérêt
légitime
Facebook ne respecte pas cela en pratiquant la combinaison de l’ensemble des données des
inscrits à des fins de publicité ciblée. Le traitement concerne non seulement les données livrées lors
de l’inscription mais également les données relatives à leur activité sur le site, quel que soit le
terminal utilisé, les données en provenance d’autres réseaux sociaux qui peuvent être reliés à
Facebook comme Instragram, WhatsApp, des données en provenance de site tiers disposant des
boutons « J’aime » ou « Se connecter ».
Cette pratique massive n’est fondée sur aucun des motifs légitimes inscrits à l’article 7 de la loi n°
78-17 du 6 janvier 1978. Elle est faite à l’insu des internautes. Le simple fait d’énumérer, dans la
politique d’utilisation des données, les types de données collectées par la société ne constitue pas
Dalloz actualité @ Éditions Dalloz
Page 1 de 3
Publié sur Dalloz Actualité (http://www.dalloz-actualite.fr)
un consentement. L’article 2 de la directive 95/46/CE définit en effet le consentement comme «
toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée
accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Cette collecte des données ne repose pas non plus sur une relation contractuelle entre Facebook et
l’internaute. Le contrat entre Facebook et son utilisateur a pour objet principal de permettre à
l’internaute d’utiliser ses services. Il s’agit là d’une caractéristique du modèle économique de ces
acteurs du numérique qui proposent des services gratuits en se rémunérant en contrepartie sur
l’exploitation des données. De là, l’adage bien connu : si c’est gratuit, c’est vous le produit.
La CNIL rejette ensuite la possibilité pour Facebook de s’appuyer sur son intérêt économique et
commercial au détriment de « l’intérêt des inscrits et leur droit fondamental à la vie privée ». Même
quand Facebook permet aux utilisateurs de ne pas recevoir de publicité ciblée, la société continue à
combiner les données des personnes concernées. Autrement dit, l’ingérence dans la vie privée
n’est pas écartée. Les utilisateurs n’ont pas la possibilité de s’opposer à la combinaison de leurs
données à des fins publicitaires.
De la même manière, le traitement de « données dites sensibles par Facebook ne fait l’objet
d’aucun consentement explicite contrairement à ce qui est exigé par l’article 8 de la loi précitée de
1978. Les internautes livrent leurs données personnelles relatives à leurs opinions politiques,
religieuses ou leur orientation sexuelle sans avoir reçuune information adéquate sur l’usage qui
sera fait des données personnelles ». Le fait de renseigner ces données ne constitue pas un
consentement exprès. Pour ce faire, Facebook devrait mettre en place une case dédiée à cocher.
Enfin, l’absence de consentement est au cœur de la condamnation de l’utilisation par Facebook de
cookies pour tracer les internautes qui se connectent sur Facebook. La CNIL en profite pour citer sa
recommandation n° 2013-378 relative aux cookies. Malgré son caractère non contraignant, la CNIL
s’appuie longuement sur ce texte pour rappeler à Facebook l’étendue de ses obligations. Elle lie
l’absence de consentement aux cookies à l’absence d’information notamment sur leur finalité et sur
la possibilité de changer leurs paramètres.
Leçon n° 2 : l’obligation d’informer l’internaute
Cela implique pour l’utilisateur de savoir qui traite ses données, dans quelle finalité, la possibilité
d’avoir accès au traitement, de demander des rectifications et de s’opposer au traitement.
L’internaute doit être notamment informé si ses données personnelles sont transférées hors de
l’Union européenne. Sur l’ensemble de ces points, Facebook est pris en défaut.
Leçon n° 3 : l’obligation de collecter les données de façon licite et loyale
Facebook installe le cookie « datr » dès lors qu’un internaute même non inscrit visite son site. Cette
pratique justifiée par la société par des raisons de sécurité permet en réalité de tracer la navigation
sur des sites tiers à l’insu des internautes. Cela constitue un manquement au principe de collecte
loyale et licite.
Leçon n° 4 : l’obligation de pouvoir faire opposition au traitement
La CNIL rappelle la nécessité pour Facebook de respecter le droit des internautes de s’opposer aux
traitements à des fins de publicité ciblée. Cela a été dit à propos de la combinaison à des fins
publicitaires des données des internautes inscrits à ce site. La CNIL l’évoque également pour
l’utilisation par Facebook du cookie « datr ». L’évocation dans la politique d’utilisation des cookies
de la possibilité de les supprimer par un paramétrage du navigateur ne constitue pas un véritable
droit d’opposition. Autrement dit, Facebook ne peut pas renvoyer l’internaute vers l’installation de
modules proposés par Mozilla pour ne pas être tracé par ses propres cookies.
Leçon n° 5 : l’obligation de veiller au caractère non excessif de la collecte des données
au regard de sa finalité
Chaque collecte des données doit être faite pour une finalité donnée et ne peut excéder ce qui est
Dalloz actualité @ Éditions Dalloz
Page 2 de 3
Publié sur Dalloz Actualité (http://www.dalloz-actualite.fr)
nécessaire par rapport à cette finalité. Il n’est pas pertinent de demander le dossier médical des
inscrits comme le fait Facebook pour justifier leur identité. Conserver les données des inscrits
pendant plus de six mois pour lutter contre les risques d’usurpations de compte n’est pas
proportionné à la finalité du traitement.
Leçon n° 6 : l’obligation simplement de respecter le droit européen actuel et futur
Au final, le réquisitoire de la CNIL face à la société américaine pourrait se résumer ainsi. Facebook
ne peut se retrancher derrière son siège californien et sa culture juridique différente pour ne pas
appliquer le droit européen. Depuis quelques années, certains Américains ont décrit d’une manière
générale ce Brussels effect. C’est le sens des récents arrêts de la Cour de justice de l’Union
européenne (CJUE), Google Spain ou Schrems. C’est aussi la portée de la condamnation par la CNIL
de l’absence de base légale du système mis en place par Facebook pour exclure certains inscrits en
cas de fraude et d’abus. Du pain béni pour l’avocat de l’internaute qui s’est vu fermer son compte
Facebook pour avoir osé poster une photo de l’œuvre « L’origine du monde » de Courbet(V. l’
article sur Lefigaro.fr). C’est aussi le sens du rappel à l’impossibilité pour cette société de continuer
à fonder ses transferts de données hors de l’Union européenne sur le Safe Harbor. Cette décision a
été récemment invalidée par la CJUE dans son affaire Schrems ayant, elle aussi, en toile de fond le
réseau social Facebook.
Dans son ensemble, la décision de mise en demeure de la CNIL est lourde de conséquences. Elle
implique pour les acteurs du numérique un véritable changement culturel et économique pour se
conformer au droit européen. Elle laisse augurer à quel point ils devront évoluer en offrant des
services respectueux des données personnelles dès la conception (Privacy By Design) voire des
services incluant par défaut un niveau de protection des données personnelles (Privacy By Default).
Elle encourage globalement les sociétés américaines désireuses de continuer à transférer les
données personnelles hors de l’Union européenne à choisir des solutions assurant sans équivoque
un niveau de protection des données personnelles équivalent à celui exigé par l’Union européenne.
Une sage alternative avant la validation de la conformité au droit européen du nouvel accord EU-US
Privacy Schield qui n’a pas encore été rendu public.
La décision anticipe les futures exigences renforcées du règlement général de la protection des
données en matière de consentement, le principe d’accountability, mais aussi en termes de
coopération internationale entre les autorités de protection des données personnelles. Le nouveau
règlement permet une prise de décision collégiale des autorités nationales de protection des
données pour inciter un acteur tel que Facebook à modifier son comportement pour l’ensemble de
l’Union. En cas de résistance, des sanctions sont prévues allant jusqu’à de 4% du chiffre d’affaires
annuel mondial de la société. De quoi inciter notre ami américain Facebook à réfléchir alors qu’en
janvier, il annonçait un chiffre d’affaires record de 5,84 milliards de dollars, soit une hausse de 52%
par rapport à l’an passé.
Dalloz actualité @ Éditions Dalloz
Page 3 de 3
1
/
3
100%
![[VDD] Facebook Power Volume1](http://s1.studylibfr.com/store/data/009052136_1-ce4c1a3d400417983bfd11b8a49bb2a0-300x300.png)
