150 000€. C’est l’amende maximale à laquelle la CNIL peut pour l’instant condamner tout responsable d’un traitement automatisé de données à caractère personnel qui ne respecterait pas les obligations découlant de la loi « Informatique et libertés » du 6 janvier 1978.
Cette sanction pécuniaire, qui peut paraître dérisoire au regard des milliards de dollars de bénéfices net engrangés par Facebook chaque année, constitue néanmoins un signal fort envoyé par la CNIL aux GAFAM[1] : le régime juridique européen de protection des données tel qu’il est mis en place dans les pays de l’UE ne tolère aucun traitement de données tant que le consentement « éclairé » des internautes n’a pas été clairement donné.
Quelles sont les motivations de cette sanction ? La CNIL avait déjà averti l’exploitant du réseau social le 26 janvier 2016 de certains manquements à la loi dans la collecte et le traitement des données personnelles des utilisateurs via une mise en demeure. Ainsi, Facebook procède non seulement à une combinaison massive des données personnelles des internautes (fichage de l’individu recensant ses goûts, opinions politiques, orientation sexuelle…) à des fins de ciblage publicitaire mais trace aussi les internautes à leur insu, avec ou sans compte (via un cookie nommé « datr » qui permet de suivre les sites consultés par l’individu).
Malheureusement, cette mise en demeure n’a pas eu les effets escomptés, et dans sa décision du 23 mars 2017, la CNIL s’est prononcée sur les manquements en question. Pour cette combinaison massive de données, il est reproché à Facebook que ses utilisateurs ne consentent pas directement à cette pratique d’autant plus qu’ils ne peuvent s’y opposer, avant ou après la création de leur compte : ils sont dépourvus de tout contrôle sur cette combinaison. Pour la collecte des données de navigation via le cookie « datr », l’information dispensée via le bandeau d’information relatif aux cookies[2] est trop imprécise : les internautes ne sont pas clairement informés que leurs données sont systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social[3].
Les images suivantes sont des captures d’écran issues de 3 sites différents. Les cercles rouges désignent les modules sociaux en question. Aussi appelés « Social Plugins », ils permettent de partager l’article en question, de s’abonner à la page Facebook du site ou encore d’incruster directement des commentaires reliés aux comptes Facebook des lecteurs.
En outre, la CNIL reproche à Facebook de ne pas informer les internautes sur l’utilisation qui sera faite de leurs données, au moment de leur inscription sur le service. Le consentement des internautes n’est pas non plus jugé « exprès » par l’autorité qui estime, lorsque les internautes complètent et renseignent leurs profils, qu’aucune information spécifique sur le caractère sensible de certaines données n’est délivrée (l’orientation sexuelle ou les opinions politiques/religieuses étant des informations jugées plus intimes qu’un nom ou une photo). La conservation à vie de l’intégralité des adresses IP des internautes n’a pas non plus été démontrée comme nécessaire pour le bon fonctionnement du service.
Ces différents manquements non exhaustifs ont motivé la condamnation de la CNIL. Si les condamnations pécuniaires prononcées par l’autorité sont peu fréquentes et assez faibles, il est essentiel de rappeler la transformation du rôle de la CNIL à l’aube de l’entrée en vigueur du nouveau Règlement adopté en 2016[4]. Ainsi, il lui sera désormais possible de prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise.
Comme développé dans un article précédent[5], l’équilibre du règlement européen et la crédibilité de son régime reposent désormais sur les pouvoirs de sanction a posteriori. C’est bel et bien aux autorités de contrôle comme la CNIL de se saisir de cet outil, à défaut de quoi le niveau global de protection des personnes pourrait bien diminuer.
Aux termes de cette affaire, Facebook s’est bien brûlé, mais avec une allumette. A charge pour la CNIL de transformer cette allumette en tison. Et peut-être que Facebook réfléchira à deux fois avant de jouer avec le feu, et avec les données de ses utilisateurs.
Benjamin Baratta
1ère année Master IP/IT
Sources :
- https://www.cnil.fr/fr/facebook-sanctionne-pour-de-nombreux-manquements-la-loi-informatique-et-libertes
- http://www.journaldunet.com/ebusiness/expert/66974/ce-qu-il-faut-retenir-de-la-sanction-imposee-par-la-cnil-a-facebook.shtml
- http://www.lesnumeriques.com/vie-du-net/150-000-euros-amende-infliges-par-cnil-a-facebook-n63079.html
- https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000034728338&fastReqId=390211096&fastPos=2
Notes :
[1] acronyme utilisé par la presse désignant des structures qui prennent la forme d’entreprises et qui ont su se construire les plus grosses bases utilisateurs du monde. On retrouve derrière cette expression des sociétés comme : Google, Apple, Facebook, Amazon, Microsoft, Yahoo, Twitter, LinkedIn…
[2] comportant actuellement la mention suivante : « Nous utilisons des cookies pour personnaliser le contenu, ajuster et mesurer les publicités et offrir une expérience plus sûre. En cliquant sur le site ou en le parcourant, vous nous autorisez à collecter des informations sur et en dehors de Facebook via les cookies. Pour en savoir plus, notamment sur les moyens de contrôle disponibles, consultez la Politique d’utilisation des cookies. »
[3] à ce sujet, cette conférence : https://ldn-fai.net/liberer-internet-sexe-alcool-et-vie-privee/
[4] Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données (RGPD), entrera en vigueur le 25 mai 2018
[5] http://master-ip-it-leblog.fr/au-revoir-cil-bonjour-dpo/#_ftn2, par le même auteur de ces lignes