Le leader mondial des réseaux sociaux tant décrié pour ses pratiques en matière de données à caractère personnel, va-t-il enfin plier face à la CNIL ? Le G29 est à l’assaut de Facebook depuis mars 2015. La France est la première à se prononcer sur le cas du site internet. (Par Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC)
Dans une décision du 26 janvier 2016, la CNIL a mis en demeure Facebook de se conformer à la loi Informatique et Libertés du 6 janvier 1978. Eu égard à « la gravité des manquements constatés et de l’atteinte consécutive aux intérêts et libertés fondamentaux des personnes concernées », la CNIL a choisi d’en faire la publicité.
Elle reproche tout d’abord à Facebook, de suivre la navigation des internautes non-titulaires d’un compte, sur des sites tiers. Pour ce faire, le réseau social dépose un cookie sur le terminal de chaque personne ayant visité une page Facebook publique. L’article 32-II de la loi Informatique et Libertés dispose que la mise en place de cookies sur le terminal d’un utilisateur implique le consentement préalable de ce dernier, ce qui n’est pas le cas en l’espèce.
Il est également fait grief au réseau social de ne pas recueillir le consentement exprès des internautes au moment de la collecte et du traitement des données relatives à leurs opinions politiques ou religieuses, et à leur orientation sexuelle. S’agissant de données sensibles, Facebook aurait dû solliciter de la CNIL une autorisation antérieurement à la réalisation dudit traitement ou de la personne concernée son consentement.
De plus, elle relève que le site internet ne met pas à disposition des utilisateurs un mécanisme qui permettrait à ces derniers de s’opposer à la combinaison des données à caractère personnel à des fins publicitaires. Or, un tel traitement de données est soumis à l’article 7 de la loi Informatique et Libertés qui prévoit qu’à défaut d’obtenir le consentement de la personne concernée, le traitement n’est autorisé que s’il entre dans l’une des situations ci-après énoncées : s’il est effectué dans le respect d’une obligation légale incombant au responsable du traitement ; pour sauvegarder la vie de la personne concernée ; dans le cadre de l’exécution d’une mission de service public ; en vue de l’exécution d’un contrat ou de mesures précontractuelles ; si le responsable du traitement poursuit un intérêt légitime. La Politique d’utilisation des données de Facebook précise que l’utilisation des données à leur disposition permet de présenter des publicités pertinentes. Le traitement qu’elle réalise est donc contraire à l’article précité.
Enfin la CNIL constate que Facebook continue à transférer les données provenant de l’Union européenne vers les Etats-Unis sur la base du Safe Harbor, lequel a été invalidé le 6 octobre 2015 par la Cour de justice de l’Union européenne. Depuis lors, il n’est plus possible aux entreprises de procéder à des transferts de données à caractère personnel sur le fondement dudit accord. Cependant, le 3 février dernier le G29 a déclaré que les entreprises pourraient dans l’attente de l’entrée en vigueur l’« EU-US Privacy Shield » (ou « bouclier de l’Union européenne et des Etats-Unis pour la protection de la vie privée »), continuer à exporter les données des citoyens européens vers les Etats-Unis sans être inquiétées. Il semblerait donc que Facebook ne sera pas sanctionné sur ce point.
Le réseau social a trois mois pour adopter les mesures propres à pallier ce défaut de conformité à la loi Informatique et Libertés. Passé ce délai, la présidente de la CNIL pourra désigner un rapporteur. Ce dernier peut être amené le cas échéant à proposer à la formation restreinte de la CNIL, le prononcé d’une sanction à l’encontre de Facebook.
Parallèlement, les autres CNIL du G29 (Belgique, Allemagne, Espagne et Pays-Bas) continuent leurs investigations. D’autres mises en demeure et sanctions pourraient bientôt tombées. [En Belgique, par exemple, les cookies FB ne peuvent plus suivre les Belges, ND DataSecurityBreach.fr]
