Après lui avoir laissé trois mois pour se mettre en conformité à la réglementation relative aux données personnelles, la Commission Nationale Informatique et Libertés (CNIL) a condamné Facebook à une amende de 150 000 euros le 16 mai dernier (CNIL, déc. n° 2016-007, 26 janv. 2016). Les contrôles qui ont abouti à ces mise en demeure et condamnation sont intervenus dans le cadre d’une vague impliquant cinq autorités (France, Belgique, Pays-Bas, Espagne et Land de Hambourg). Ils s’inscrivent par ailleurs dans une période transitoire, entre l’adoption du Règlement européen général sur la protection des données (RGDP), le 27 avril 2016, et son entrée en vigueur, le 25 mai 2018, ainsi que dans une série de sanctions infligées à Facebook (la Commission européenne l’a notamment condamnée, le 10 mai, à 110 millions d’amendes pour lui avoir fourni, lors du rachat de WhatsApp en 2014, des « renseignements inexacts ou dénaturés », Facebook ayant déclaré ne pas croiser automatiquement les profils des utilisateurs WhatsApp et Facebook). Judith Rochfeld, Professeur à l’Université Paris 1 Panthéon-Sorbonne et co-directrice de l’Institut de recherche juridique de la Sorbonne (IRJS), commente la décision de la CNIL et ses conséquences.

« La CNIL a pris la décision de rendre publique sa délibération (comme elle l’avait fait pour la mise en demeure), ce qui constitue une sanction en soi dans un univers où l’e-réputation constitue une valeur capitale. »

Quels sont les faits ici reprochés au réseau social Facebook ?

La liste des manquements relevés est assez impressionnante et donnerait à elle seule matière à illustrer bien des principes à respecter pour le traitement des données personnelles ! Tout d’abord, il faut pouvoir s’appuyer sur une base légale de traitement : le consentement de la personne, la nécessité de ce traitement pour l’exécution du contrat, le respect d’une obligation légale, l’intérêt légitime du responsable de traitement, etc. Or, il est reproché à Facebook de procéder sans fondement à la combinaison massive de données des utilisateurs pour organiser une publicité ciblée : celles qu’ils précisent lors de leur inscription, celles de leur activité sur le site, ainsi que sur d’autres sites partenaires, voire sur les sites des sociétés également exploitées par Facebook comme WhatsApp… Les utilisateurs n’ont pas spécifiquement consenti à cette combinaison et elle n’est ni nécessaire pour l’exécution du contrat, ni légitime dans l’intérêt de l’opérateur. Par ailleurs, leur droit de s’y opposer ne peut s’exercer.

Il faut ensuite respecter un principe de loyauté : informer sur les traitements, l’identité de ceux qui y procèdent, les données traitées, la finalité, la durée de conservation, les droits des personnes, ainsi que sur les transferts vers des Etats tiers à l’UE (car ils peuvent être moins regardants quant à la protection). Or, d’une part, à l’égard des personnes inscrites au réseau social, l’information serait insuffisante : dans le formulaire d’inscription lui-même, rien de précis sur les traitements et les droits des utilisateurs ; seul un renvoi est effectué à une autre page, via un lien (ce qui est considéré comme une stratification compliquée pour l’internaute) ; de même sur les pages permettant de compléter les profils. Cette insuffisance est spécialement constatée à l’égard des transfert des données : rien n’est précisé sur la nature des données transférées, sur la finalité de ces transferts, sur les destinataires et sur le niveau de protection. Par ailleurs, des transferts ont eu lieu vers les Etats-Unis sur la base d’un accord — le Safe Harbor, avec l’UE — qui a pourtant été remis en question après les révélations d’Edward Snowden (CJUE, 6 octobre 2015). Cette dernière problématique est particulièrement importante à l’heure où l’Administration Trump vient de faire sauter les barrières à la vente, par les entreprises américaines, des données des consommateurs. Mais plus grave ! L’information manquait également à l’égard des non-inscrits, toute personne venant visiter une page Facebook ou « likant » un contenu. Or, un cookie (« datr ») — petites suites de code — était pourtant installé sur le disque dur de son ordinateur, prêt à livrer de nombreuses informations à Facebook et à des sites partenaires sur son matériel et sa navigation. Ce point ayant été rectifié après la mise en demeure, il restait à laisser au visiteur une véritable possibilité de s’opposer à ce cookie.

Il faut également respecter un principe de proportionnalité : traiter uniquement les données nécessaires à la finalité proclamée, ce pour la durée également nécessaire. Or, Facebook traite des données qui ne se justifient pas (l’entreprise demande aux inscrits d’établir leur identité en fournissant des documents de santé,…) et conserve trop longtemps certaines d’entre elles (par exemple, l’adresse IP utilisée pour se connecter à son compte, au-delà de 6 mois). Par ailleurs, Facebook ne recueille pas un consentement spécifique pour le traitement de données sensibles (sur son profil, l’utilisateur précise parfois sa religion, ses opinions politiques, ses préférences sexuelles, etc.) ; c’est pourtant une exigence (la CNIL tient même à ce que soit cochée une case spéciale).

Quel est le droit auquel l’entreprise américaine doit se conformer ?

En l’espèce, la décision implique trois entités de Facebook : Facebook Inc., Facebook Ireland et Facebook France. Comme il est habituel, Facebook Irlande a contesté la compétence de la CNIL et plaidé pour l’autorité irlandaise (mais n’a pas remis en question l’application du droit européen, ce qui arrive souvent). La clé de solution gisait donc dans le statut de Facebook France : pouvait-elle être considérée comme traitant des données alors que son activité consiste à fournir des services de support marketing pour la conclusion de contrats publicitaires en France ? Il est vrai que la compétence de l’autorité française est normalement conditionnée au fait que le traitement de données relève d’un responsable de traitement « établi » sur le territoire français ; cela peut cependant se limiter à une « installation, quelle que soit sa forme juridique (filiale, succursale, etc. ; article 5 de la loi IL et 4 de la directive européenne de 1995). Normalement toujours, il faudrait donc identifier un établissement stable en France et vérifier que les activités du responsable de traitement en relèvent. Pour autant, les interprétations extensives du groupe des CNIL européennes (G29) et de la Cour de Justice de l’UE ont rendu possible d’attraire devant des autorités de contrôles, non seulement des entreprises qui disposent d’« installations », voire de « moyens humains et techniques nécessaires à la fourniture de services », mais également qui ne mènent pas à proprement parler des activités de traitements des données. Par exemple, qui procèdent à de la publicité ciblée vers des habitants de l’Etat européen en question (voire à la gestion des « relations avec les utilisateurs dans une juridiction donnée », cf. Groupe de l’article 29, avis n° 1/2008, 4 avr. 2008, WP 148, p. 11). L’extension est fondée sur l’idée que, si ces activités ne sont pas stricto sensu des traitements de données, elles reposent néanmoins sur l’économie de la donnée ; elles sont « dans le cadre de cette activité » (puisque la publicité ciblée repose sur l’analyse massive des données). La spectaculaire décision Google Spain de la CJUE intronisant le « droit à l’oubli » (13 mai 2014) avait par exemple admis la compétence de l’autorité espagnole de contrôle à l’égard de la filiale espagnole de Google en charge de la publicité sur le territoire espagnol. L’extension peut également se réclamer d’une anticipation de l’entrée en vigueur du règlement européen général de protection des données qui prévoit la compétence du droit européen pour des activités de « suivi du comportement [de personnes sur le territoire de l’Union], dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union ».

La sanction appliquée est-elle réellement dissuasive ?

La somme de 150 000 euros paraît particulièrement faible au regard des capacités financières de l’entreprise (actuellement valorisée à près de 450 milliards de dollars), pour ne pas dire dérisoire. Le moins que l’on puisse dire est qu’elle n’est certainement pas dissuasive. C’est pourtant le maximum encouru, et la CNIL prend soin de justifier ce montant en relevant le nombre et la gravité des manquement, ainsi que la multitude d’internautes touchés, les 33 millions d’utilisateurs en France (sans compter les non-inscrits, impliqués pourtant). De nouveau, ce point est amené à changer et c’est une bonne chose : la loi pour une République numérique du 7 octobre 2016 a ouvert à la CNIL des possibilités de sanctions allant jusqu’à 3 millions d’euros (en l’espèce, les anciens plafonds ont été appliqués car les constats en manquements avaient été dressés antérieurement à l’entrée en vigueur du texte) ; le règlement général de protection des données prévoit, lui, au titre de sanctions « effectives, proportionnées et dissuasives » jusqu’à 20 millions euros d’amendes et 4% du chiffre d’affaires mondial. Ces plafonds considérablement rehaussés renforceront la force de la législation, sur le modèle de ce qu’a connu le droit la concurrence. Ce changement témoigne d’une évolution de la considération de la protection des données, qui, d’une question « mineure », doit devenir l’une des préoccupations primordiales des entreprises qui en traitent (en relation avec les dangers encourus). Par ailleurs, la CNIL a pris la décision de rendre publique sa délibération (comme elle l’avait fait pour la mise en demeure). C’est une sanction en soi dans un univers où l’e-réputation constitue une valeur capitale.

Par Judith Rochfeld