Données personnelles : pourquoi la CNIL met en demeure Facebook

De Like à Kill 75
image dediée
Crédits : Xavier Berne
Loi

La CNIL a mis publiquement en demeure Facebook suite à une longue série de manquements à la législation sur les données personnelles. Le réseau risque une sanction de 150 000 euros, voire 1,5 million d’euros en justice, sauf à colmater ces problèmes d’ici trois mois.

Pour fonder sa mise en demeure, la CNIL s’est appuyée sur trois décisions fondamentales de la Cour de justice de l’Union européenne :

  • L’arrêt Max Schrems qui a annulé le Safe Harbor. Cette fameuse décision datant de 2000, signée de la Commission européenne autorisait jusqu’alors les entreprises américaines à butiner les données personnelles des Européens pour les traiter dans leurs serveurs. Problème : l’accès direct de la NSA sur ces flux et l’absence de droit aux recours des citoyens européens ont été condamnés par la justice européenne.
  • L’arrêt Costeja qui a estimé qu’un site qui « collecte » des données et les « extrait », les « enregistre », les « organise » dans son index, les « conserve » sur ses serveurs et les « communique » ou les « met à disposition » des utilisateurs, réalise des traitements de données personnelles. Il en est donc responsable puisqu’il en détermine les finalités et les moyens. En outre, ces opérations seront réputées se réaliser en Europe si elles ont lieu « dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre ».
  • L’arrêt Weltimmo : qui a étendu les compétences des autorités de contrôle européennes. Pour comprendre cet arrêt, passé sous les radars médiatiques, on pourra relire notre interview de Me Benjamin May : « la directive de 95 dit qu’à l’intérieur de l’Union européenne, lorsque vous avez un responsable du traitement d’un État A qui intervient en prestation de service dans un État B, alors la conformité aux règles relatives aux données personnelles revient à l’autorité de contrôle du pays d’origine, la CNIL de l’État A. Mais la directive précise que c’est à la condition qu’il n’y ait pas d’établissement de l’entreprise dans l’État tiers ». Dans l’affaire Weltimmo, la CJUE a estimé que « constituent des moyens de traitement établis dans cet autre État, pratiquement n’importe quoi. La simple présence physique d’un représentant, l’ouverture d’un compte bancaire, quoique ce soit qui peut faire penser à une présence effective avec des critères minces. Ceci redonne donc compétence à la CNIL de l’État B pour contrôler la conformité à la loi locale ».

Ces trois décisions sont cruciales : Weltimo et Costeja remettent les autorités de contrôle au premier plan. Et l’arrêt Schrems étend les obligations dans la sécurisation des flux. Passons à la délibération de la CNIL qui a considéré que la loi française était applicable à Facebook, avant de constater les différents manquements.

La loi française s’applique à Facebook

Puisque Facebook a un établissement en France, au sens de la décision Weltimmo, la CNIL estime que la loi de 1978 est indéniablement applicable au réseau social. Dès mars 2015, elle effectue donc plusieurs contrôles sur place dans les locaux de Facebook France. Vérifications doublées par des contrôles en ligne, comme le lui autorise une disposition de la loi Hamon. Qu’est-ce que la CNIL a relevé ? Tout simplement une pluie de manquements à lui faire saigner les yeux. 

Un ciblage publicitaire sans contentement de l’utilisateur (article 7 loi 1978)

Facebook effectue d’abord un minutieux ciblage publicitaire pour faire fructifier au mieux ses revenus publicitaires. Elle exploite et combine une grande masse de données sur le dos des personnes flirtant avec son réseau social. La liste est longue :

cnil facebook

Or, ce traitement se fait sans le consentement des inscrits. Certes, la loi de 1978 prévoit bien des exceptions légales permettant de s’en passer, mais Facebook n’en respecte aucune. Il y a bien l’article 7 de la loi de 1978 qui autorise un tel traitement, mais à la condition notamment, que cela ne menace pas les droits et libertés fondamentaux de la personne concernée.

Pour la CNIL, en effet, une telle combinaison de données est « par sa nature même, son ampleur et son caractère massif, susceptible de méconnaitre l’intérêt des utilisateurs inscrits et leur droit fondamental au respect de la vie privée ». De même l’utilisateur ne dispose pas d’outils pour faire solidement obstacle à ces publicités ciblées. Il peut s’y opposer, mais Facebook conserve toujours le droit de lui adresser des publicités « moins pertinentes ».

Des dossiers médicaux pour contrôler l’identité des personnes (article 6-3)

Facebook incite les personnes qui veulent par exemple remplacer leur nom par celui d’une célébrité à lui fournir des documents justifiant leur identité, notamment des dossiers médicaux. Pour la CNIL, cette demande est non pertinente, et donc excessive puisque d’autres pièces pourraient très bien faire l’affaire sans que Facebook soit en situation de connaître les bobos de Mme ou M. Michu.

Opinions religieuses, politiques, vie sexuelle (article 8)

Normalement, pour glaner ces informations sensibles, il faut un consentement exprès des personnes concernées. Ce consentement doit ainsi être donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles.

Comme le Conseil d’État, la CNIL estime que le fait de renseigner des données sensibles (je suis un homme qui cherche un homme ou une femme, je suis catholique, musulman, juif, socialiste, LR…) ne vaut pas consentement exprès.

Obligation d’information des personnes (article 32)

Facebook demande laconiquement à ses inscrits qu’ils acceptent que leurs données soient transférées et traitées aux États-Unis. Cependant, l’article 32 de la loi informatique et Libertés demandent que des précisions soient apportées sur la nature des données transférées, la finalité du traitement, le droit d’accès, de rectification ou d’opposition des personnes, etc. Autant d’informations qui manquent dans les CGU de Facebook. 

Collecte et traitement loyal des données (article 1)

La CNIL fait la même remarque que son homologue belge : Facebook glane des données relatives à la navigation des internautes alors même que ceux-ci ne sont pas inscrits sur son réseau social. La société américaine utilise à cette fin le cookie « datr » dès lors qu’on surfe sur une page du site Facebook.com, cookie qui lui sert ensuite à pister l’internaute si celui-ci se rend sur un site tiers contenant un module Facebook.

Comme en Belgique, Facebook a expliqué que ce cookie lui permettait d’assurer la sécurité de son réseau. Une explication certes légitime, mais qui ne convainc pas à la Commission informatique et Libertés.

Pas d’accord préalable à l’installation de 13 cookies (article 32-II)

En France, les cookies à finalité publicitaire ne peuvent être déposés sans information et accord préalable des personnes intéressées. Facebook se voit cette fois reprocher l’installation d’une batterie de ces petits marqueurs, sans que leur finalité ne soit exposée aux yeux des internautes, ni qu’ils aient la possibilité de paramétrer ces cookies via un bandeau dédié.

Conservation des données disproportionnée face à la finalité du traitement

La délégation de la CNIL avait créé un compte Facebook le 9 avril 2015. Elle avait, plusieurs mois plus tard, utilisé une fonctionnalité de Facebook permettant de télécharger une copie des données publiées sur son compte. À cette occasion, elle a remarqué que dans la colonne « sécurité » figurait l’ensemble des IP utilisés depuis avril 2015. Selon la CNIL, ce délai de rétention est beaucoup trop long : si on veut lutter contre les usurpations de compte, 6 mois est largement suffisant, pas au-delà.

Sécurité des mots de passe jugée trop simple (34)

La CNIL reproche à Facebook d’accepter des mots de passe trop simples, de 6 caractères ou ne comportant que deux règles de complexité (chiffres et lettres).

Une politique antifraude non déclarée (25-I)

Facebook s’octroie la possibilité d’accéder à toutes vos données personnelles pour traiter les cas de fraude « ou toute autre activité illicite ». Ou bien pour se protéger, protéger les tiers, empêcher le suicide, etc. Mais ce n’est pas tout : « nous pouvons partager des informations concernant la fiabilité de votre compte à nos partenaires tiers afin d’éviter toute forme de fraude et d’abus à travers comme en dehors de nos services ». Et Facebook se réservant la possibilité d’exclure un inscrit qui violerait l’esprit ou la lettre de sa déclaration de sécurité…

Seul souci là encore, Facebook n’a pas demandé d’autorisation pour ces traitements, alors que la loi de 1978 lui impose un passage par la CNIL.

Pas de base légale pour le transfert des données vers les États-Unis (68)

Au jour de son constat, la CNIL a remarqué que Facebook s’abritait toujours derrière le Safe Harbor pour justifier du transfert de données personnelles des Européens, vers ses serveurs aux États-Unis. Le réseau social estime ainsi que la décision de la CJUE qui a annulé le Safe Harbor compte pour du beurre, du vide, du rien, n’existe pas. La CNIL est limpide : « dans la mesure où cette décision a été invalidée, il n’est désormais plus possible pour la société de procéder à un transfert de données personnelles vers les États-Unis sur la base du Safe Harbor ».

Ce 8 février, Facebook indique encore et toujours adhérer « aux programmes « Safe Harbor framework » (Sphère de sécurité) établis entre les États-Unis et l’Union européenne » sur sa page relative à sa Politique d’utilisation des données….

Menace de 150 000 euros d’amende par la CNIL, voire 1,5 million en justice

Pour l’heure aucune sanction n’est infligée. Au final, la CNIL laisse trois mois à Facebook pour corriger tous les défauts constatés. En l’état de la législation, l’entreprise risque 150 000 euros d’amende, voire 300 000 euros en cas de récidive. Seulement, au plan pénal, la société fait face à une somme plus rondelette : par le jeu combiné des articles 226-16226-24  et 131-38 du Code pénal, la justice pourrait lui infliger une prune de 1,5 million d’euros.

Ces sommes ne sont rien pour Facebook. Le projet de loi Lemaire prévoit de renforcer les pouvoirs de sanction de la CNIL. Le montant maximal des amendes pourra être de 20 millions d’euros voire 4 % du chiffre d’affaires annuel mondial. La CNIL pourra aussi ordonner aux personnes sanctionnées d’informer individuellement de leur condamnation « chacune des personnes concernées » par l’ensemble des manquements. Toujours en discussion et susceptible de modification, pour l’heure ces nouveaux pouvoirs sont inapplicables à ces faits. (Nous reviendrons cependant plus en détail sur les possibles scénarios).

Soulignons toutefois que la CNIL a déjà décidé de rendre publique la mise en demeure. Pourquoi ? Car les faits sont graves, tout comme les atteintes aux droits et libertés fondamentaux. Ce n’est pas juridiquement une sanction, mais sur le terrain de la e-reputation, c’est bien une baffe pour Facebook, aux conséquences douloureuses pour ses retombées publicitaires, lui qui multiplie d’effort pour soigner sa bulle de confiance.

La mise en demeure va d'ailleurs se répandre comme une trainée de poudre sur tous les médias, et pas seulement français, accentuant ce mouvement peu glorieux.

Publiée le 09/02/2016 à 08:00
Marc Rees

Journaliste, rédacteur en chef Droit, LCEN, copie privée, terrorisme, données personnelles, surveillance, vie privée, et toutes ces choses...

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...