Image Image Image Image Image Image Image Image Image Image
Scroll to top

Haut

Mise en demeure de la CNIL : les nombreux manquements de Facebook à la loi « informatique et libertés »

Mise en demeure de la CNIL : les nombreux manquements de Facebook à la loi « informatique et libertés »

Par une décision n°2016-007 du 26 janvier 2016, la présidente de la CNIL a mis en demeure Facebook Inc. et Facebook Ireland Limited de remédier à de nombreux manquements à la loi dite « informatique et libertés » du 6 janvier 1978.

La CNIL rappelle que conformément à la jurisprudence européenne (CJUE, 1er octobre 2015, C-230/14, Weltimmo et CJUE, 13 mai 2014, C-131/12, Costeja) les deux sociétés sont soumises à la loi française relative à la protection des données à caractère personnel, dans la mesure où la société Facebook France doit être considérée comme un « établissement » de ces sociétés au sens de la directive 95/46/CE du 24 octobre 1995. La CNIL précise également que les deux sociétés sont conjointement responsables en ce qu’elles déterminent ensemble les finalités et les moyens du traitement.

Après ces rappels, la décision de la CNIL fait état de pas moins de neuf manquements à la loi « informatique et libertés » commis par les deux sociétés Facebook concernant notamment :

  • l’obligation de disposer d’un fondement légal lors de la combinaison de données ;
  • le principe de proportionnalité des données recueillies ;
  • le principe de loyauté de la collecte et du traitement ;
  • l’obligation d’établir une durée proportionnée à la finalité du traitement ;
  • l’obligation d’assurer la sécurité des données ;
  • l’obligation d’accomplir les formalités préalables à un traitement sensible.

La CNIL reproche également aux sociétés Facebook un manquement à l’obligation de recueillir le consentement des personnes concernées lors de la collecte de leurs données sensibles (données relatives à l’orientation sexuelle, aux opinions religieuses et politiques).

En effet, elle considère que le simple fait pour les utilisateurs de renseigner leurs données sensibles n’équivaut pas au consentement exprès requis par l’article 8 de la loi « informatique et libertés ». Elle ajoute que les utilisateurs devraient pouvoir donner cet assentiment en cochant une case dédiée après avoir été informés de l’usage de ces données.

De même, l’autorité administrative reproche aux sociétés Facebook un manquement à l’obligation d’information des personnes concernées par le traitement. Elle relève non seulement que le formulaire d’inscription du réseau social ne comporte aucune mention d’information relative au traitement de données à caractère personnel, mais également que les sociétés n’informent pas les personnes au moment de l’inscription du dépôt de cookies sur leur terminal de communication. La CNIL conclut alors à une violation de l’article 32 de la loi « informatique et libertés ».

Enfin, la CNIL constate un manquement à l’obligation de disposer d’une base légale pour le transfert de données vers les Etats-Unis en rappelant que le Safe harbor ne peut plus constituer un fondement légal pour un transfert de données personnelles en dehors de l’Union européenne, ce dispositif ayant été invalidé par une décision du 6 octobre 2015 (CJUE, 6 octobre 2015, C-362/14, Schrems). Elle en déduit une violation de l’article 68 de la loi « informatique et libertés » par les sociétés Facebook.

Les sociétés Facebook Inc. et Facebook Ireland Limited ont disposé de trois mois à compter de leur mise en demeure pour se conformer à la loi « informatique et libertés ». Elles pourraient être sanctionnées dans un avenir proche si la CNIL constate qu’elles n’ont pas procédé aux modifications nécessaires dans le délai imparti.

En parallèle, la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) a également enjoint aux sociétés Facebook Ireland et Facebook Payments International Ltd le 9 février 2016 de supprimer ou de modifier certaines clauses contenues dans leurs conditions générales d’utilisation (CGU) qu’elle considérait abusives et ce, dans un délai de deux mois. Deux semaines après ces mises en demeure, la clause attributive de compétence au profit des tribunaux californiens contenue dans ces CGU a été déclarée abusive par la cour d’appel de Paris, qui en a déduit la compétence des tribunaux français pour trancher un litige entre le réseau social et un internaute français (CA Paris, 12 février 2016, n°15/05624).

L’année 2016 semble avoir bien mal commencé pour les sociétés Facebook.

 

Auteur

Prudence Cadio, avocat en droit de la Propriété Intellectuelle et des Nouvelles Technologies.