Internet | Informatique

Facebook sanctionné par la CNIL : 150 000 euros | 18 mai 2017

Suite d’une enquête de 2 années

On se souvient que dans le cadre de son enquête initiée en avril 2015, la CNIL avait mis en demeure le réseau social de corriger plusieurs manquements sévères au respect de la loi informatique et libertés (1) et en particulier la combinaison massive des données personnelles des internautes (33 millions inscrits en France) et la collecte déloyale des données des internautes non-inscrits à Facebook via le cookie datr et les boutons « J’aime ».  En raison de la persistance de ses manquements, Facebook a écopé d’une sanction 150.000 €.

Sanction de la combinaison massive des données

Le réseau social procède à la combinaison des données des inscrits à des fins de ciblage publicitaire. Pour afficher de la publicité ciblée, il procède à la combinaison des données fournies par les inscrits lors de la création de leur compte sur le site, des données relatives à l’activité des inscrits sur le site (contenus partagés ou consultés par exemple), quel que soit le terminal utilisé par ces derniers, des données relatives aux appareils utilisés par les inscrits (système d’exploitation, coordonnées GPS, type de navigateur, numéro de téléphone mobile par exemple), des données provenant de sites tiers et applications intégrant notamment des boutons J’aime ou Se connecter , des données provenant de partenaires tiers (partenaires avec qui la société a collaboré pour offrir un service ou annonceurs avec lesquels les inscrits ont interagi) et des données provenant des sociétés qui appartiennent ou qui sont exploitées par la société (Facebook Payments Inc., Instagram LLC, WhatsApp Inc. par exemple).

Outre le fait que la combinaison de données n’est pas expressément mentionnée dans les CGU de Facebook, l’information sur l’affichage d’une publicité ciblée est diluée dans trois documents distincts intitulés « la politique d’utilisation des données », « la politique d’utilisation des cookies » et la page « propos de la publicité sur Facebook », de sorte qu’il est difficile pour un utilisateur d’avoir une compréhension des processus en cause.

Le caractère particulièrement intrusif de la combinaison des données et les incidences de celles-ci sur la vie privée des utilisateurs doivent conduire à la considérer comme une information essentielle de premier niveau qui devrait, conformément à l’avis du G29, être fournie immédiatement aux utilisateurs, c’est-à-dire dans la politique d’utilisation des données. Le consentement des utilisateurs à ces recoupements massifs n’est pas éclairé.

Sanction du Cookie Datr

Le cookie datr est déposé sur le terminal des internautes non-inscrits sur le site de Facebook. Ce cookie permet notamment, sans qu’ils en soient informés, de suivre et de collecter les données relatives à leur navigation sur des sites tiers, dès lors que ces derniers contiennent un module social Facebook.  En ce qui concerne la finalité sécuritaire poursuivie par le cookie datr, la CNIL a considéré qu’elle était légitime pour les internautes inscrits mais a contrario, une telle finalité ne peut être ni légitime ni justifiée pour les internautes non inscrits dès lors que ces derniers ne peuvent pas faire l’objet d’une usurpation de compte ou d’une attaque. Ces données ne sont donc pas collectées et traitées de façon loyale.

Données de connexion : 6 mois maximum

Le 5° de l’article 6 de la loi du 6 janvier 1978 modifiée dispose que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Il appartient aux responsables de traitement de définir une durée de conservation adéquate et de démontrer que celle-ci est nécessaire et proportionnée aux finalités de la collecte. En l’espèce, au regard de la pluralité des finalités invoquées par Facebook, rien ne justifie une conservation de l’intégralité des adresses IP des inscrits, pendant toute la durée de vie de leur compte. Une durée de conservation des données de connexion de 6 mois est recommandée.

Clarté et accès de la politique de confidentialité

Autre manquement relevé, Facebook ne dispense aucune information directement sur le formulaire d’inscription, ainsi que sur les pages permettant aux utilisateurs inscrits de compléter leurs profils. S’agissant de la fourniture d’une information par strate (multiplicité des CGU), la CNIL a rappelé que l’internaute devait bénéficier immédiatement lors de son inscription, aux  informations de premier niveau, qui sont les plus importantes pour les personnes. Les informations se rapportant aux transferts des données hors de l’Union européenne doivent également être regardés comme essentiels et leur être fournis immédiatement.

Facebook France impliqué

En défense, la société Facebook a tenté de faire valoir que le droit français ne lui était pas applicable. Elle a contesté ainsi la qualification d’établissement stable de Facebook France (EURL) en précisant qu’il ne s’agissait que d’un sous-traitant et que seule Facebook Ireland était concernée. Or, la structure française a pour objet de fournir au groupe Facebook des prestations de service en rapport avec la vente d’espaces publicitaires, le développement commercial, le marketing et toutes autres prestations de service visant à développer les services et la marque Facebook en France . Elle dispose d’un siège social à Paris et d’un effectif d’une cinquantaine de salariés. La société constitue donc bien une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de marketing.

(1) La décision n° 2016-007 du 26 janvier 2016 invitait Facebook à : i) ne pas procéder sans base légale à la combinaison des données des inscrits à des fins publicitaires ; ii) ne pas traiter de données non pertinentes, excessives ou inadéquates au regard des finalités poursuivies, en particulier cesser de demander aux inscrits de justifier de leur identité en fournissant un dossier médical ; iii) recueillir le consentement exprès des inscrits, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles – en l’espèce des données relatives aux opinions politiques, religieuses et à l’orientation sexuelle – par tout procédé, tel qu’une case à cocher, apposée à l’endroit de la collecte ; iv) procéder à l’information des inscrits  sur les traitements de données à caractère personnel mis en place directement sur le formulaire d’inscription ainsi que sur les pages permettant aux inscrits de compléter leur profil ; sur la nature des données transférées hors de l’Union européenne, la finalité du transfert, les destinataires des données, et le niveau de protection offert par les pays destinataires ; v) procéder à une collecte et à un traitement loyal des données des internautes non inscrits au service de Facebook s’agissant des données collectées via le cookie datr et le bouton J’aime ; vi ) informer et obtenir l’accord préalable des internautes à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci ; vii) ne pas conserver de données à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, notamment en supprimant à l’expiration d’un délai de six mois les adresses IP utilisées par les inscrits pour se connecter aux comptes ; viii) prendre toutes mesures nécessaires pour garantir la sécurité des données à caractère personnel des inscrits, notamment en renforçant la robustesse des mots de passe des comptes; ix) ne pas procéder à des transferts de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor.

[toggles class= »yourcustomclass »]

[toggle title= »Télécharger la Décision » class= »in »]

Télécharger 

[/toggle]

[toggle title= »Poser une Question »]

Poser une question sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h

[/toggle]

[toggle title= »Paramétrer une Alerte »]

Paramétrer une alerte jurisprudentielle, pour être informé par email lorsqu’une décision est rendue sur ce thème

[/toggle]

[toggle title= »Commander un Casier judiciaire »]

Commander un bilan judiciaire sur l’une des personnes morales citées dans cette affaire (ou sur toute autre personne morale).

[/toggle]

[acc_item title= »Reproduction »]

Copier ou transmettre ce contenu

[/toggle]

[toggle title= »Vous avez traité un dossier similaire? »]

Maître 

[/toggle]

[/toggles]

Haut
error: Content is protected !!