Dans une décision de mise en demeure d’une ampleur sans précédent, la Commission nationale de l’informatique et des libertés (CNIL) explique comment Facebook se livre à des collectes et des traitements massifs non autorisés des données personnelles de l’ensemble des internautes. Facebook a trois mois pour mettre un terme à ces pratiques (CNIL 26 janv. 2016, décis. n° 2016-007 mettant en demeure les sociétés Facebook INC. et Facebook Ireland).
La décision de la CNIL s’attaque au phénomène bien connu de la collecte et du traitement des données personnelles à des fins de publicité ciblée. Trois raisons ont incité la CNIL à rendre publique cette mise en demeure : l’ampleur des manquements constatés, une dizaine au total, la gravité des violations en cause et enfin l’importance du nombre de personnes concernées puisque Facebook a plus de 30 millions d’utilisateurs en France.
Cette décision a une valeur explicative. Elle permet à chacun de comprendre comment Facebook utilise à notre insu nos données personnelles pour en faire le moteur de son économie. Cette prise de conscience ne suffira sans doute pas à faire changer nos habitudes. Elle devrait néanmoins amener Facebook à modifier les siennes. Cette décision illustre également le rôle crucial assuré par les autorités de protection des données personnelles, telles que la CNIL, en Europe. Sans elles, le droit de la protection des données personnelles pourrait apparaître bien théorique. La régulation qu’elles mènent au quotidien avec les acteurs économiques a pour but de faire émerger une véritable culture partagée de la protection des données personnelles. Plus que la volonté de sanctionner à terme, c’est sans doute cela que recherche la CNIL. L’ultimatum lancé est d’autant plus sérieux qu’il doit être replacé dans son contexte. D’une part, le futur règlement général de la protection des données renforce considérablement les obligations des responsables de données. D’autre part, ce début d’année est marqué par la multiplication des contentieux contre Facebook tant dans le domaine de la protection des données en Belgique et en Allemagne que dans celui des clauses abusives. C’est donc une leçon de droit européen de la protection des données qui est livrée à Facebook mais aussi un avertissement incitant l’ensemble des acteurs du numérique à changer de paradigme.
La décision rappelle clairement à Facebook les principes-clés de la protection des données en droit européen fixés dans la directive 95/46/CE pour l’ensemble des vingt-huit États membres.
Leçon n° 1 : l’obligation de recueillir le consentement ou à défaut d’invoquer un intérêt légitime
Facebook ne respecte pas cela en pratiquant la combinaison de l’ensemble des données des inscrits à des fins de publicité ciblée. Le traitement concerne non seulement les données livrées lors de l’inscription mais également les données relatives à leur activité sur le site, quel que soit le terminal utilisé, les données en provenance d’autres réseaux sociaux qui peuvent être reliés à Facebook comme Instragram, WhatsApp, des données en provenance de site tiers disposant des boutons « J’aime » ou « Se connecter ».
Cette pratique massive n’est fondée sur aucun des motifs légitimes inscrits à l’article 7 de la loi n° 78-17 du 6 janvier 1978. Elle est faite à l’insu des internautes. Le simple fait d’énumérer, dans la politique d’utilisation des données, les types de données collectées par la société ne constitue pas un consentement. L’article 2 de la directive 95/46/CE définit en effet le consentement comme « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Cette collecte des données ne repose pas non plus sur une relation contractuelle entre Facebook et l’internaute. Le contrat entre Facebook et son utilisateur a pour objet principal de permettre à l’internaute d’utiliser ses services. Il s’agit là d’une caractéristique du modèle économique de ces acteurs du numérique qui proposent des services gratuits en se rémunérant en contrepartie sur l’exploitation des données. De là, l’adage bien connu : si c’est gratuit, c’est vous le produit.
La CNIL rejette ensuite la possibilité pour Facebook de s’appuyer sur son intérêt économique et commercial au détriment de « l’intérêt des inscrits et leur droit fondamental à la vie privée ». Même quand Facebook permet aux utilisateurs de ne pas recevoir de publicité ciblée, la société continue à combiner les données des personnes concernées. Autrement dit, l’ingérence dans la vie privée n’est pas écartée. Les utilisateurs n’ont pas la possibilité de s’opposer à la combinaison de leurs données à des fins publicitaires.
De la même manière, le traitement de « données dites sensibles par Facebook ne fait l’objet d’aucun consentement explicite contrairement à ce qui est exigé par l’article 8 de la loi précitée de 1978. Les internautes livrent leurs données personnelles relatives à leurs opinions politiques, religieuses ou leur orientation sexuelle sans avoir reçu une information adéquate sur l’usage qui sera fait des données personnelles ». Le fait de renseigner ces données ne constitue pas un consentement exprès. Pour ce faire, Facebook devrait mettre en place une case dédiée à cocher.
Enfin, l’absence de consentement est au cœur de la condamnation de l’utilisation par Facebook de cookies pour tracer les internautes qui se connectent sur Facebook. La CNIL en profite pour citer sa recommandation n° 2013-378 relative aux cookies. Malgré son caractère non contraignant, la CNIL s’appuie longuement sur ce texte pour rappeler à Facebook l’étendue de ses obligations. Elle lie l’absence de consentement aux cookies à l’absence d’information notamment sur leur finalité et sur la possibilité de changer leurs paramètres.
Leçon n° 2 : l’obligation d’informer l’internaute
Cela implique pour l’utilisateur de savoir qui traite ses données, dans quelle finalité, la possibilité d’avoir accès au traitement, de demander des rectifications et de s’opposer au traitement. L’internaute doit être notamment informé si ses données personnelles sont transférées hors de l’Union européenne. Sur l’ensemble de ces points, Facebook est pris en défaut.
Leçon n° 3 : l’obligation de collecter les données de façon licite et loyale
Facebook installe le cookie « datr » dès lors qu’un internaute même non inscrit visite son site. Cette pratique justifiée par la société par des raisons de sécurité permet en réalité de tracer la navigation sur des sites tiers à l’insu des internautes. Cela constitue un manquement au principe de collecte loyale et licite.
Leçon n° 4 : l’obligation de pouvoir faire opposition au traitement
La CNIL rappelle la nécessité pour Facebook de respecter le droit des internautes de s’opposer aux traitements à des fins de publicité ciblée. Cela a été dit à propos de la combinaison à des fins publicitaires des données des internautes inscrits à ce site. La CNIL l’évoque également pour l’utilisation par Facebook du cookie « datr ». L’évocation dans la politique d’utilisation des cookies de la possibilité de les supprimer par un paramétrage du navigateur ne constitue pas un véritable droit d’opposition. Autrement dit, Facebook ne peut pas renvoyer l’internaute vers l’installation de modules proposés par Mozilla pour ne pas être tracé par ses propres cookies.
Leçon n° 5 : l’obligation de veiller au caractère non excessif de la collecte des données au regard de sa finalité
Chaque collecte des données doit être faite pour une finalité donnée et ne peut excéder ce qui est nécessaire par rapport à cette finalité. Il n’est pas pertinent de demander le dossier médical des inscrits comme le fait Facebook pour justifier leur identité. Conserver les données des inscrits pendant plus de six mois pour lutter contre les risques d’usurpations de compte n’est pas proportionné à la finalité du traitement.
Leçon n° 6 : l’obligation simplement de respecter le droit européen actuel et futur
Au final, le réquisitoire de la CNIL face à la société américaine pourrait se résumer ainsi. Facebook ne peut se retrancher derrière son siège californien et sa culture juridique différente pour ne pas appliquer le droit européen. Depuis quelques années, certains Américains ont décrit d’une manière générale ce Brussels effect. C’est le sens des récents arrêts de la Cour de justice de l’Union européenne (CJUE), Google Spain ou Schrems. C’est aussi la portée de la condamnation par la CNIL de l’absence de base légale du système mis en place par Facebook pour exclure certains inscrits en cas de fraude et d’abus. Du pain béni pour l’avocat de l’internaute qui s’est vu fermer son compte Facebook pour avoir osé poster une photo de l’œuvre « L’origine du monde » de Courbet (V. l’article sur Lefigaro.fr). C’est aussi le sens du rappel à l’impossibilité pour cette société de continuer à fonder ses transferts de données hors de l’Union européenne sur le Safe Harbor. Cette décision a été récemment invalidée par la CJUE dans son affaire Schrems ayant, elle aussi, en toile de fond le réseau social Facebook.
Dans son ensemble, la décision de mise en demeure de la CNIL est lourde de conséquences. Elle implique pour les acteurs du numérique un véritable changement culturel et économique pour se conformer au droit européen. Elle laisse augurer à quel point ils devront évoluer en offrant des services respectueux des données personnelles dès la conception (Privacy By Design) voire des services incluant par défaut un niveau de protection des données personnelles (Privacy By Default). Elle encourage globalement les sociétés américaines désireuses de continuer à transférer les données personnelles hors de l’Union européenne à choisir des solutions assurant sans équivoque un niveau de protection des données personnelles équivalent à celui exigé par l’Union européenne. Une sage alternative avant la validation de la conformité au droit européen du nouvel accord EU-US Privacy Schield qui n’a pas encore été rendu public.
La décision anticipe les futures exigences renforcées du règlement général de la protection des données en matière de consentement, le principe d’accountability, mais aussi en termes de coopération internationale entre les autorités de protection des données personnelles. Le nouveau règlement permet une prise de décision collégiale des autorités nationales de protection des données pour inciter un acteur tel que Facebook à modifier son comportement pour l’ensemble de l’Union. En cas de résistance, des sanctions sont prévues allant jusqu’à de 4 % du chiffre d’affaires annuel mondial de la société. De quoi inciter notre ami américain Facebook à réfléchir alors qu’en janvier, il annonçait un chiffre d’affaires record de 5,84 milliards de dollars, soit une hausse de 52 % par rapport à l’an passé.
