Facebook sanctionné par la CNIL pour le traitement des données personnelles

La délibération du 27 avril 2017 met un terme à une procédure débutée il y a plus de deux ans entre la CNIL et Facebook Inc et ses filiales Facebook France et Facebook Ireland. Le 17 mars 2015, la CNIL lançait une mission de vérification sur Facebook Inc, à la suite de la modification de leur politique d’utilisation des données, qui débutait par un contrôle sur place au mois d’avril dans les locaux de Facebook France, puis un contrôle en ligne au mois de décembre. Les précisions apportées par Facebook Inc n’ont pas convaincues, et le 26 janvier 2016, la CNIL mettait en demeure Facebook Inc et Facebook Ireland de se conformer à la loi Informatique et Libertés du 6 janvier 1978 dans un délai de trois mois. Les échanges entre Facebook Inc, ses filiales, et la CNIL ont duré toute l’année 2016, jusqu’au 9 août 2016 où Facebook Ireland se positionne en faisant valoir que la loi Informatique et Libertés n’est pas applicable, et la CNIL non compétente.

La CNIL démontre tout d’abord l’existence d’un établissement en France, Facebook France, qui participe aux traitements dont Facebook Inc et Facebook Ireland ont la qualité de responsables de traitement. La loi Informatique et Libertés est ainsi applicable et la CNIL compétente.

La Commission expose six manquements. D’abord, sur l’obligation d’informer les personnes, la CNIL considère que les informations essentielles ne sont pas fournies de manière immédiate sur le formulaire d’inscription, et que la politique d’utilisation des données ne contient pas toutes les informations nécessaires. De plus, Facebook pratique la combinaison massive de données, pour l’affichage de la publicité ciblée, à partir des données fournies par les utilisateurs lors de leur inscription, mais aussi données de sites tiers ou applications, ou les données provenant de sociétés qui appartiennent ou sont exploitées par Facebook (telles que Instagram ou WhatsApp). Facebook répond que cette combinaison est nécessaire pour fournir une offre du service gratuite à ses utilisateurs. De plus, la Commission relève que l’utilisateur n’a aucun moyen de s’opposer à cette combinaison. En conséquence, la CNIL « relève que la combinaison potentiellement illimitée de toutes les données des utilisateurs (…) est par son ampleur, de nature à méconnaître les intérêts des utilisateurs et à porter atteinte à leur droit au respect de la vie privée ». Ensuite, la Commission relève qu’un cookie « datr », permettant le suivi de la navigation, est déposé sur le terminal des internautes non-inscrits sur Facebook dès lors qu’il consulte le site Facebook ou clique sur un bouton « J’aime » d’un site tiers, sans information suffisamment claire et précise. La Commission considère en conséquence que « ces données ne sont pas collectées et traitées de façon loyale ». De plus, Facebook, lors de l’inscription, permet aux utilisateurs de renseigner des informations telles que leurs origines ethniques ou raciales, leurs opinions religieuses ou leur vie sexuelles, qualifiées de données sensibles, sans que Facebook ne recueille un consentement exprès pour leur traitement. La CNIL s’est également penchée sur les cookies stockés sur l’équipement de l’utilisateur, car, même si une action positive de l’utilisateur est requise avant le dépôt des cookies, il n’est ensuite pas proposé un moyen valable de s’y opposer. Enfin, la CNIL relève que Facebook conserve les adresses IP de ses utilisateurs durant toute l’existence du compte, sans que ne soit démontrée en quoi cette conservation est nécessaire, et sa durée de conservation adéquate et proportionnée aux finalités de la collecte.

La CNIL condamne en conséquence les sociétés Facebook à une sanction pécuniaire de 150 000€, c’est-à-dire le montant maximal que peut infliger la Commission actuellement, avant l’entrée en vigueur du Règlement Européen qui portera ces sanctions jusqu’à 4% du montant total mondial annuel du CA de l’entreprise. Ainsi qu’à la publication de cette décision.

Cette sanction est à mettre en relation avec celle infligée par la Commission Européenne le 18 mai d’un montant de 110 millions d’euros. En effet, Facebook, lors de l’acquisition de WhatsApp en 2014, a fourni un renseignement dénaturé quant à « la mise en correspondance automatisée entre les comptes de Facebook et de WhatsApp », « d’une part, dans le formulaire de notification de la concentration et d’autre part, dans la réponse à une demande de renseignements de la Commission », cela ayant pour conséquence d’empêcher la Commission Européenne de disposer de toutes les informations pour apprécier l’opération de concentration.