Après la justice belge, c’est au tour de la Cnil de procéder à une mise en demeure de Facebook de se conformer à la loi Informatique et libertés française.
Par une décision du 26 janvier 2016 (1), la Cnil procède à une mise en demeure de Facebook (sociétés Facebook Inc. et Facebook Irland Limited) de remédier à un certain nombre de manquements constatés par rapport à la loi Informatique et libertés.
La Commission prend soin de préciser que les sociétés sont conjointement responsables de traitement. Elle prend soin également de préciser que la loi française est applicable à ces deux sociétés en visant notamment la décision de la CJUE Google Spain (2).
Il est principalement reproché aux sociétés les manquements ci-après.
ABSENCE DE BASE LEGALE A LA COMBINAISON DE DONNEES – Il est reproché aux deux sociétés de procéder à une combinaison massive des données recueillies dans des contextes différents sans avoir recueilli préalablement le consentement des utilisateurs sur le fondement de l’article 7 de la loi.
Il convient de signaler que la combinaison est effectuée non seulement au regard des différentes utilisations du réseau social mais également en combinant des données de plusieurs sociétés du groupe.
La Commission, après avoir effectué une analyse de la balance entre l’intérêt légitime poursuivi par les sociétés et l’intérêt, les droits et libertés des personnes concernées, conclut que les sociétés ne disposent pas d’un fondement légal pour la mise en œuvre du traitement dans la mesure où notamment elles n’apportent pas de garantie pour préserver les intérêts, droits et libertés des personnes concernées et n’organisent pas cette combinaison dans le cadre contractuel.
MANQUEMENT AU PRINCIPE DE PROPORTIONNALITE DES DONNEES – La Cnil, après avoir constaté que des inscrits ont pu fournir comme justificatifs d’identité, un dossier médical relève que cela constitue un manquement au principe de proportionnalité des données par rapport à la finalité poursuivie.
ABSENCE DE RECUEIL D’UN CONSENTEMENT POUR LE TRAITEMENT DE DONNEES SENSIBLES – La Cnil relève également un manquement au recueil du consentement des personnes concernées pour le traitement de données sensibles relatives aux opinions politiques ou religieuses et à la vie sexuelle des internautes. En effet, il a été constaté par les services de la Commission que les internautes pouvaient, en complétant leur profil, préciser leurs orientations sexuelles, leurs opinions religieuses ou philosophiques ou politiques sans que les sociétés ne mettent en œuvre une procédure de recueil de leur consentement comme l’exige l’article 8 de la loi.
La Commission considère que le fait pour un internaute de saisir dans un formulaire, dans ces conditions de telles données ne répond pas à la définition du consentement libre spécifique et informé exigé pour leur traitement. À cet effet, il convient de relever que cette interprétation avait déjà été retenue dans le cadre de plusieurs délibérations mettant en demeure des sites de rencontre de régulariser en leur demandant de mettre en œuvre un recueil du consentement par le biais d’une case à cocher.
ABSENCE DE MENTION DANS LE FORMULAIRE D’INSCRIPTION – La Cnil, après avoir constaté l’absence de mention d’information sur le formulaire d’inscription au site, relève un manquement à l’obligation d’information sur l’existence du traitement ainsi que sur les flux transfrontières de données mis en œuvre vers les États-Unis.
ABSENCE DE COLLECTE LOYALE ET LICITE – Par ailleurs, il est reproché aux deux sociétés de ne pas procéder à une collecte et un traitement loyal des données des internautes.
Dans ce cadre, il leur est essentiellement reproché d’installer un cookie sur l’équipement terminal des internautes qui permet de tracer leur navigation, que les internautes soient inscrits au service ou non.
La Commission considère que la collecte des données relatives à la navigation sur des sites tiers des non-inscrits est effectuée en l’absence de toute information des internautes et qu’en conséquence la collecte et le traitement de ces informations ne sont pas loyales et licites.
COOKIES – Concernant également les cookies, la Commission leur reproche de ne pas avoir respecté les conditions d’installation des cookies prévues à l’article 32 II de la loi et de ne pas avoir respecté ses recommandations en la matière.
ABSENCE DE DUREE DE CONSERVATION PROPORTIONNEE – La Commission relève également un manquement à l’obligation de définir et de respecter une durée de conservation proportionnée au regard des finalités poursuivies. Ce manquement est notamment caractérisé par le fait que les sociétés conservent les adresses IP utilisées pour l’ouverture d’un compte depuis plus de six mois.
MOT DE PASSE NON SUFFISAMMENT ROBUSTE – Il est également reproché aux sociétés de ne pas avoir mis en place une politique de mot de passe suffisamment robuste telle que recommandée par la Commission.
Il a été constaté que le mot de passe pouvait contenir 6 caractères et ne comportait que deux règles de complexité là où la Cnil exige habituellement huit caractères alphanumériques avec une combinaison de trois règles de complexité.
ABSENCE D’AUTORISATION POUR LE TRAITEMENT DE LUTTE CONTRE LA FRAUDE – Il est également reproché aux sociétés de ne pas avoir accompli de formalité préalable pour un traitement de lutte contre la fraude et d’exclusion.
FLUS TRANSFRONTIERES DE DONNEES VERS LES ETATS-UNIS – Enfin, la Commission relève un manquement aux dispositions relatives à la mise en œuvre des flux transfrontières de données vers les États-Unis pour la première fois depuis la décision de la Cour de justice de l’Union européenne du 6 octobre 2015 (3).
Partant de ces constats, la Commission met en demeure les deux sociétés dans un délai de trois mois à compter de la notification de la décision de :
- ne plus procéder sans base légale à la combinaison des données des inscrits à des fins publicitaires ;
- ne plus traiter de données non pertinentes, excessives ou inadéquates par rapport à la finalité du traitement ;
- de recueillir le consentement exprès des inscrits sur la base d’une information spécifique pour la collecte au traitement de données sensibles ;
- procéder à l’information des inscrits conformément aux dispositions de l’article 32 de la loi Informatique et libertés ;
- procéder à une collecte loyale des données des internautes non-inscrits s’agissant des données collectées via le cookie « datr » et le bouton « j’aime » ;
- obtenir l’accord préalable des internautes à l’inscription d’informations sur l’équipement terminal et à l’accès de celles-ci (cookies) ;
- définir une durée de conservation nécessaire pour la réalisation des finalités poursuivies ;
- modifier la politique de mot de passe ;
- procéder à l’accomplissement des formalités préalables pour le traitement ayant pour finalité de lutter contre la fraude ;
- ne plus procéder à des transferts de données personnelles vers les États-Unis sur la base du Safe Harbor.
S’il apparaît que la Cnil met en demeure les sociétés d’avoir à mettre en œuvre un certain nombre d’actions correctrices, certaines actions seront vraisemblablement plus compliquées à mettre en œuvre que d’autres notamment en ce qui concerne l’absence de base légale à la combinaison des données des inscrits à des fins publicitaires qui est, sans doute, l’action ayant le plus d’impact en termes de business.
Reste à savoir de quelle manière les deux sociétés réagiront à la notification de cette mise en demeure dont il est rappelé qu’il ne s’agit pas d’une sanction. Si elles se conforment à la mise en demeure elles pourront obtenir la clôture de cette dernière.
À l’heure où nous finissons la rédaction de cette brève, nous ne connaissons pas la position des sociétés notamment sur la possibilité d’effectuer un recours contre la délibération de la Cnil portant mise en demeure.
Céline Avignon
Lexing Publicité et marketing électronique
(1) Cnil, Délib. 2016-007, 26-1-2016, Facebook Inc et Facebook Ireland.
(2) CJUE, 6-10-2015, Aff. C-362/14, Maximillian S. c/ Data Protection Commissioner.
(3) Voir nos précédents posts du 3-2-2016 et 30-10-2015.