Ce qu'il faut retenir de la sanction imposée par la Cnil à Facebook

Au terme d’une procédure d’enquête de deux ans menée au niveau européen, les sociétés Facebook Inc. et Facebook Ireland viennent d’être condamnées à payer 150 000 euros d’amende à la CNIL en France, en raison de multiples violations de la Loi Informatique & Libertés. Plus que le montant de l'amende, c'est le principe de la sanction qui doit attirer l'attention.

Facebook est-il un gentil réseau social où échanger des nouvelles et les photographies de ses enfants ou une gigantesque machine à collecter, traiter, combiner des données à caractère personnel dans un but publicitaire ? 

Probablement les deux, si l’on en croit la décision de la Commission Nationale Informatique & Libertés (CNIL) du 27 avril 2017, qui vient d’être rendue publique, et qui a condamné les deux sociétés exploitant ce site internet à la plus forte amende actuellement prévue par la loi protégeant les données à caractère personnel en France. 

Des représentants de la CNIL avaient procédé à des contrôles au sein de la société Facebook France en avril 2015, ainsi qu’à un contrôle en ligne en décembre de la même année. Des constatations avaient été effectuées et avaient été suivies d’un questionnaire auquel Facebook avait répondu, de manière insatisfaisante aux yeux de la CNIL, puisque l’autorité avait adressé une mise en demeure à l’exploitant du réseau social en janvier 2016. 

Cette mise en demeure n’ayant pas permis d’obtenir les rectifications attendues, la CNIL vient donc de prononcer cette sanction, qui fait écho à celle rendue à l’encontre de Google en janvier 2014, d’un même montant et sur les mêmes bases. 

Préalablement, dans cette délibération, la CNIL a répondu à l’argument de Facebook consistant à contester à la fois la compétence de la loi française et de l’autorité française.  

Sur le premier point, l’argument paraissait difficilement recevable dès lors que la Loi Informatique & Libertés s’applique en cas de traitement effectué sur le territoire national par un responsable de traitement disposant d’un établissement sur ce même territoire. La jurisprudence Google Spain de la Cour de Justice de l’Union européenne militait pour que cette notion d’établissement soit appréciée de manière large. Facebook France a donc logiquement été considérée comme un "établissement" de Facebook en France, même si cette société n’a officiellement pour fonction que de fournir des services de support marketing. 

Sur le second point, la CNIL a, sans surprise, considéré qu’elle était compétente pour statuer dès lors que, le droit français étant applicable, la Commission a compétence pour prononcer des sanctions à l’encontre des responsables des traitements mis en oeuvre sur le territoire national (articles 45 et 48 de la Loi Informatique & Libertés). 

Sur le fond du litige, pour l’essentiel, il est reproché à Facebook d’exploiter massivement les données à caractère personnel de ses membres à des fins publicitaires, souvent à l’insu de ces derniers. En effet, la CNIL a relevé que Facebook procédait à des "combinaisons de données" permettant aux annonceurs de cibler telle catégorie d’internautes (par exemple des hommes de moins de 40 ans politiquement modérés et appréciant le cordon bleu et la blanquette de veau…), sans que les internautes en question n’en soient informés. 

Or la Loi Informatique & Libertés énonce une obligation - essentielle - d’information des personnes dont les données sont collectées et traitées. En l’espèce, la CNIL relève que nulle part sur le site de Facebook il n’est indiqué que les données des membres font l’objet d’un "croisement massif", l’idée même de combinaison n’étant d’ailleurs pas du tout évoquée alors qu’elle est, selon sa décision, "particulièrement intrusive" dans la vie privée des internautes. Selon la CNIL, le consentement des utilisateurs n’est pas "éclairé" et n’est donc pas valablement donné, étant retenu également que les mentions relatives à l’utilisation des données des internautes sont disséminées dans trois documents différents.  

Toujours en ce qui concerne l’obligation d’information, on relèvera également que certaines données "sensibles" au sens de la Loi sont collectées sur Facebook, sans que l’attention des membres du réseau ne soit portée précisément sur leur caractère très intime, telles que la religion ou l’orientation sexuelle. Certes, ces données sont fournies librement par les internautes, mais ces derniers n’ont pas nécessairement conscience de la gravité d’une telle divulgation de données que la Loi traite avec davantage de soin. 

Enfin, un autre point important de la décision concerne le "tracking" des internautes, même une fois qu’ils ont quitté le site Facebook. Le réseau utilise en effet un cookie intitulé "datr", qui permet de suivre les utilisateurs au gré de leurs pérégrinations sur internet. Les données de navigation sont alors transmises à Facebook, ce qui donne lieu généralement à l’affichage de publicités ciblées.
Ici encore, la CNIL critique le manque d’information des internautes, Facebook se contentant de faire figurer un bandeau relatif aux cookies dont les termes généraux ne permettent pas de mesurer la porter de l’utilisation de ces fichiers. En outre, Facebook n’offre pas la possibilité de s’opposer à l’inscription du cookie en question sur l’ordinateur des internautes. 

En conclusion, c’est au vu de ces nombreux manquements que Facebook a fait l’objet d’une condamnation qui peut ne pas paraître très lourde au regard de son montant et des revenus générés par le réseau social. À cet égard, comme chacun sait, la nouvelle législation relative à la protection des données à caractère personnel, qui entrera en vigueur en mai 2018, alourdira sensiblement le montant des condamnations éventuelles, qui pourront s’élever, selon l’infraction, de 10 à 20 millions d’euros ou 2 à 4 % du montant du chiffre d’affaires mondial.  
Facebook aurait donc tout intérêt à se mettre en conformité avec le nouveau droit européen. Et les internautes devraient, dans l’intervalle, se méfier avant de mettre en ligne des contenus personnels et intimes sur ce site, comme sur internet de manière générale.