La CNIL a mis en demeure Facebook de corriger plusieurs violations flagrantes de la législation française sur les données personnelles. Le réseau social pourrait toutefois subir de plus lourdes sanctions, en raison de la loi Lemaire.
Lundi, la CNIL a épinglé dans le réseau social plusieurs violations de la loi de 1978 « Informatique et Libertés ». Et pas des moindres : ciblages publicitaires aiguisés sans l’aval des utilisateurs, recueil d’opinions religieuses, politiques ou d’éléments de la vie sexuelle sans consentement exprès, une politique antifraude dans les conditions générales d’utilisation non déclarée à la CNIL, ou encore un transfert illicite de ces données personnelles vers les États-Unis par le bateau du Safe Harbor, aujourd'hui invalidé...
Que risque Facebook ? Pour l’instant rien, puisque la CNIL a accordé trois mois au réseau social pour corriger le tir. Et si à ce terme, les infractions perdurent ? Elle pourra décider de lui infliger jusqu’à 150 000 euros d’amende, le plafond de la loi de 1978. Sans préjudice d’une action en justice puisque le Code pénal sanctionne jusqu’à 1,5 million d’euros certaines de ces indélicatesses (articles 226-16 , 226-24 et 131-38 du Code pénal).
Les sanctions de la loi Lemaire applicables au cas Facebook ?
Ces sommes ne représentent grosso modo rien pour le géant Facebook. Toutefois, la loi Lemaire sur la République Numérique renforcera ces pouvoirs de sanction. Le montant maximal des amendes infligées par la CNIL pourra être de 20 millions d’euros, voire 4 % du chiffre d’affaires annuel mondial, du moins en l'état du texte. On change donc de périmètre. Seul hic, ce n’est encore qu’un projet de loi. D’où une question : que se passera-t-il si, la loi votée, la CNIL constate que Facebook n’est toujours pas au carré ?
Cette problématique est celle de l’application des lois de sanction dans le temps, face à des infractions dites continues. Questionnée, la CNIL nous répond que « la loi Lemaire sera sans doute votée en avril, ce qui veut dire que si Facebook ne se mettait pas en conformité dans les 3 mois, les sanctions pourraient être plus importantes ». Cependant, ce scénario est mince, puisque les services de la Commission nous rappellent aussi que « la loi Lemaire suppose des aménagements dans la Loi Informatiques et Libertés, tout cela en cohérence avec le projet de règlement européen qui devrait être adopté aussi au printemps et qui sera applicable en 2018. Cela suppose donc du travail et du temps ainsi que des disponibilités dans le calendrier législatif. »
