L’Essentiel : La CNIL a infligé une amende de 150 000 euros à Facebook après une enquête de deux ans, révélant des manquements graves à la loi sur la protection des données. L’enquête, initiée en avril 2015, a mis en lumière la combinaison massive des données personnelles des 33 millions d’utilisateurs français, ainsi que la collecte déloyale d’informations sur les internautes non-inscrits via le cookie datr. Facebook a été critiqué pour son manque de transparence concernant l’utilisation de ces données à des fins publicitaires, ainsi que pour la durée excessive de conservation des informations.

Suite d’une enquête de 2 années

On se souvient que dans le cadre de son enquête initiée en avril 2015, la CNIL avait mis en demeure le réseau social de corriger plusieurs manquements sévères au respect de la loi informatique et libertés (1) et en particulier la combinaison massive des données personnelles des internautes (33 millions inscrits en France) et la collecte déloyale des données des internautes non-inscrits à Facebook via le cookie datr et les boutons « J’aime ».  En raison de la persistance de ses manquements, Facebook a écopé d’une sanction 150.000 €.

Sanction de la combinaison massive des données

Le réseau social procède à la combinaison des données des inscrits à des fins de ciblage publicitaire. Pour afficher de la publicité ciblée, il procède à la combinaison des données fournies par les inscrits lors de la création de leur compte sur le site, des données relatives à l’activité des inscrits sur le site (contenus partagés ou consultés par exemple), quel que soit le terminal utilisé par ces derniers, des données relatives aux appareils utilisés par les inscrits (système d’exploitation, coordonnées GPS, type de navigateur, numéro de téléphone mobile par exemple), des données provenant de sites tiers et applications intégrant notamment des boutons J’aime ou Se connecter , des données provenant de partenaires tiers (partenaires avec qui la société a collaboré pour offrir un service ou annonceurs avec lesquels les inscrits ont interagi) et des données provenant des sociétés qui appartiennent ou qui sont exploitées par la société (Facebook Payments Inc., Instagram LLC, WhatsApp Inc. par exemple).

Outre le fait que la combinaison de données n’est pas expressément mentionnée dans les CGU de Facebook, l’information sur l’affichage d’une publicité ciblée est diluée dans trois documents distincts intitulés « la politique d’utilisation des données », « la politique d’utilisation des cookies » et la page « propos de la publicité sur Facebook », de sorte qu’il est difficile pour un utilisateur d’avoir une compréhension des processus en cause.

Le caractère particulièrement intrusif de la combinaison des données et les incidences de celles-ci sur la vie privée des utilisateurs doivent conduire à la considérer comme une information essentielle de premier niveau qui devrait, conformément à l’avis du G29, être fournie immédiatement aux utilisateurs, c’est-à-dire dans la politique d’utilisation des données. Le consentement des utilisateurs à ces recoupements massifs n’est pas éclairé.

Sanction du Cookie Datr

Le cookie datr est déposé sur le terminal des internautes non-inscrits sur le site de Facebook. Ce cookie permet notamment, sans qu’ils en soient informés, de suivre et de collecter les données relatives à leur navigation sur des sites tiers, dès lors que ces derniers contiennent un module social Facebook.  En ce qui concerne la finalité sécuritaire poursuivie par le cookie datr, la CNIL a considéré qu’elle était légitime pour les internautes inscrits mais a contrario, une telle finalité ne peut être ni légitime ni justifiée pour les internautes non inscrits dès lors que ces derniers ne peuvent pas faire l’objet d’une usurpation de compte ou d’une attaque. Ces données ne sont donc pas collectées et traitées de façon loyale.

Données de connexion : 6 mois maximum

Le 5° de l’article 6 de la loi du 6 janvier 1978 modifiée dispose que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Il appartient aux responsables de traitement de définir une durée de conservation adéquate et de démontrer que celle-ci est nécessaire et proportionnée aux finalités de la collecte. En l’espèce, au regard de la pluralité des finalités invoquées par Facebook, rien ne justifie une conservation de l’intégralité des adresses IP des inscrits, pendant toute la durée de vie de leur compte. Une durée de conservation des données de connexion de 6 mois est recommandée.

Clarté et accès de la politique de confidentialité

Autre manquement relevé, Facebook ne dispense aucune information directement sur le formulaire d’inscription, ainsi que sur les pages permettant aux utilisateurs inscrits de compléter leurs profils. S’agissant de la fourniture d’une information par strate (multiplicité des CGU), la CNIL a rappelé que l’internaute devait bénéficier immédiatement lors de son inscription, aux  informations de premier niveau, qui sont les plus importantes pour les personnes. Les informations se rapportant aux transferts des données hors de l’Union européenne doivent également être regardés comme essentiels et leur être fournis immédiatement.

Facebook France impliqué

En défense, la société Facebook a tenté de faire valoir que le droit français ne lui était pas applicable. Elle a contesté ainsi la qualification d’établissement stable de Facebook France (EURL) en précisant qu’il ne s’agissait que d’un sous-traitant et que seule Facebook Ireland était concernée. Or, la structure française a pour objet de fournir au groupe Facebook des prestations de service en rapport avec la vente d’espaces publicitaires, le développement commercial, le marketing et toutes autres prestations de service visant à développer les services et la marque Facebook en France . Elle dispose d’un siège social à Paris et d’un effectif d’une cinquantaine de salariés. La société constitue donc bien une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de marketing.

(1) La décision n° 2016-007 du 26 janvier 2016 invitait Facebook à : i) ne pas procéder sans base légale à la combinaison des données des inscrits à des fins publicitaires ; ii) ne pas traiter de données non pertinentes, excessives ou inadéquates au regard des finalités poursuivies, en particulier cesser de demander aux inscrits de justifier de leur identité en fournissant un dossier médical ; iii) recueillir le consentement exprès des inscrits, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles – en l’espèce des données relatives aux opinions politiques, religieuses et à l’orientation sexuelle – par tout procédé, tel qu’une case à cocher, apposée à l’endroit de la collecte ; iv) procéder à l’information des inscrits  sur les traitements de données à caractère personnel mis en place directement sur le formulaire d’inscription ainsi que sur les pages permettant aux inscrits de compléter leur profil ; sur la nature des données transférées hors de l’Union européenne, la finalité du transfert, les destinataires des données, et le niveau de protection offert par les pays destinataires ; v) procéder à une collecte et à un traitement loyal des données des internautes non inscrits au service de Facebook s’agissant des données collectées via le cookie datr et le bouton J’aime ; vi ) informer et obtenir l’accord préalable des internautes à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci ; vii) ne pas conserver de données à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, notamment en supprimant à l’expiration d’un délai de six mois les adresses IP utilisées par les inscrits pour se connecter aux comptes ; viii) prendre toutes mesures nécessaires pour garantir la sécurité des données à caractère personnel des inscrits, notamment en renforçant la robustesse des mots de passe des comptes; ix) ne pas procéder à des transferts de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor.

Télécharger 

Q/R juridiques soulevées :

Quelle enquête a été menée par la CNIL concernant Facebook ?

La CNIL a mené une enquête sur Facebook qui a débuté en avril 2015, en réponse à plusieurs manquements au respect de la loi informatique et libertés.

Ces manquements incluent la combinaison massive des données personnelles des utilisateurs inscrits, qui s’élèvent à 33 millions en France, ainsi que la collecte déloyale des données des internautes non-inscrits via le cookie datr et les boutons « J’aime ».

En raison de la persistance de ces violations, Facebook a été sanctionné d’une amende de 150.000 €.

Quelles sont les pratiques de Facebook en matière de combinaison de données ?

Facebook combine les données des utilisateurs inscrits pour des fins de ciblage publicitaire. Cette combinaison inclut des informations fournies lors de la création de compte, des données sur l’activité des utilisateurs sur le site, et des informations provenant de divers appareils utilisés.

Les données collectées proviennent également de sites tiers et d’applications intégrant des fonctionnalités de Facebook, ainsi que de partenaires tiers.

Cependant, cette pratique n’est pas clairement mentionnée dans les conditions générales d’utilisation (CGU) de Facebook, rendant difficile pour les utilisateurs de comprendre comment leurs données sont utilisées.

Quels sont les problèmes liés au cookie datr ?

Le cookie datr est installé sur les appareils des internautes non-inscrits sur Facebook, permettant de suivre leur navigation sur des sites tiers contenant des modules sociaux de Facebook.

La CNIL a jugé que la finalité sécuritaire de ce cookie est légitime pour les utilisateurs inscrits, mais pas pour les non-inscrits, car ces derniers ne risquent pas d’usurpation de compte.

Ainsi, la collecte de données via ce cookie est considérée comme déloyale pour les internautes non-inscrits.

Quelle est la durée de conservation des données de connexion recommandée ?

Selon l’article 6 de la loi du 6 janvier 1978 modifiée, les données doivent être conservées sous une forme permettant l’identification des personnes concernées pour une durée qui ne dépasse pas celle nécessaire aux finalités de leur collecte.

Dans le cas de Facebook, la CNIL recommande une durée de conservation des données de connexion de 6 mois, car rien ne justifie la conservation des adresses IP des utilisateurs pendant toute la durée de vie de leur compte.

Quels manquements ont été relevés concernant la politique de confidentialité de Facebook ?

La CNIL a noté que Facebook ne fournit pas d’informations directement sur le formulaire d’inscription ou sur les pages de profil des utilisateurs.

Elle a souligné l’importance de fournir des informations essentielles dès l’inscription, notamment sur les transferts de données hors de l’Union européenne.

Les utilisateurs doivent être informés immédiatement des pratiques de collecte de données, ce qui n’est pas le cas actuellement.

Comment Facebook France est-il impliqué dans cette affaire ?

Facebook a tenté de défendre sa position en affirmant que le droit français ne s’appliquait pas à elle, en qualifiant Facebook France de simple sous-traitant.

Cependant, Facebook France, qui a un siège à Paris et une cinquantaine d’employés, fournit des services liés à la vente d’espaces publicitaires et au marketing.

Cela constitue une installation stable, ce qui signifie que Facebook France est bien concerné par les réglementations françaises en matière de protection des données.