Délibération SAN – 2017-006 du 27 avril 2017

Commission Nationale de l'Informatique et des Libertés
Délibération n°SAN – 2017-006 du 27 avril 2017
Délibération de la formation restreinte SAN –2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND
Etat: VIGUEUR

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, M. Alexandre LINDEN, Vice-président, M. Maurice RONAI, M. Philippe GOSSELIN, Mme Dominique CASTERA et Mme Marie-Hélène MITJAVILE, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu les décisions n° 2015-091C du 17 mars 2015 et n° 2015-401C du 14 décembre 2015 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder, d’une part, à une mission de vérification auprès de la société FACEBOOK INC. et, d’autre part, à une mission de vérification des traitements de données à caractère personnel portant, en tout ou partie, sur des données collectées au moyen du site facebook.com ou au moyen des cookies relevant de ce domaine ;

Vu la décision n° 2016-007 du 26 janvier 2016 de la Présidente de la Commission nationale de l’Informatique et des libertés mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND ;

Vu la délibération du bureau de la Commission nationale de l’informatique et des libertés
n° 2016-026 du 4 février 2016 décidant de rendre publique la mise en demeure n° 2016-007 du 26 janvier 2016 prise à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 17 novembre 2016 ;

Vu le rapport de M. Philippe LEMOINE, commissaire rapporteur, du 14 décembre 2016 ;

Vu les observations écrites versées par la société FACEBOOK IRELAND le 6 mars 2017 ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les observations écrites versées par la société FACEBOOK INC. le 6 mars 2017 ;

Vu les autres pièces du dossier ;

Etaient présents, lors de la séance de la formation restreinte du 23 mars 2017 :

Monsieur Philippe LEMOINE, commissaire, entendu en son rapport ;

En qualité de conseils de la société FACEBOOK IRELAND : […]

Madame Nacima BELKACEM, commissaire du Gouvernement, n’ayant pas formulé d’observation ;

La société FACEBOOK INC. n’étant pas représentée à la séance ;

Les conseils de la société FACEBOOK IRELAND ayant eu la parole en dernier ;

Après en avoir délibéré, a adopté la décision suivante :

Faits et procédure

La société FACEBOOK INC., société de droit américain fondée en 2004 dont le siège social est situé à Menlo Park, en Californie (Etats-Unis), a créé le réseau social FACEBOOK qui permet aux utilisateurs de partager leur expérience et d’échanger. Ce réseau compte actuellement 1,5 milliard d’utilisateurs actifs par mois dans le monde. La société a également une activité de régie publicitaire. Elle possède 49 bureaux implantés dans une trentaine de pays et compte environ 12 000 salariés à travers le monde.

La société FACEBOOK INC. a créé plusieurs dizaines de filiales dans le monde, dont la société FACEBOOK IRELAND Limited (ci-après FACEBOOK IRELAND ), située 4 Grand Canal Square, Grand Canal Harbour, à Dublin en Irlande, et la société FACEBOOK France Sarl (ci-après FACEBOOK FRANCE), située 6 rue Ménars à Paris (75002).

Les sociétés FACEBOOK INC. et FACEBOOK IRELAND fournissent le service FACEBOOK, via le site internet www.facebook.com, aux internautes du monde entier.

Les 8 et 9 avril 2015, en application de la décision n° 2015-091C du 17 mars 2015 de la Présidente de la Commission Nationale de l’Informatique et des Libertés (ci-après CNIL ou la Commission ), une délégation de la CNIL a procédé à une mission de contrôle sur place au sein des locaux de la société FACEBOOK FRANCE.

Les procès-verbaux n° 2015-091/1 et 2015-091/2 dressés durant ces deux missions ont été notifiés à FACEBOOK INC. et à FACEBOOK IRELAND.

Ces premières constatations ont été complétées par un questionnaire adressé à FACEBOOK INC. le 30 juillet 2015 dans le cadre d’un contrôle sur pièces. La société y a répondu par un courrier du 26 septembre 2015 en apportant des précisions sur l’organisation du Groupe FACEBOOK et en indiquant qu’elle avait transmis le questionnaire à FACEBOOK IRELAND.

En application de la décision n° 2015-401C du 14 décembre 2015 de la Présidente de la Commission, un contrôle en ligne a été diligenté le 15 décembre 2015 sur le site www.facebook.com et le PV n° 2015-401 du même jour a été notifié aux sociétés FACEBOOK INC., FACEBOOK IRELAND et FACEBOOK France le 23 décembre 2015.

A l’issue de ces investigations, la Présidente de la CNIL a décidé de mettre en demeure publiquement les sociétés FACEBOOK INC. et FACEBOOK IRELAND par une décision
n° 2016-007 du 26 janvier 2016 concernant les traitements de données mis en œuvre dans le cadre du réseau social FACEBOOK. Il était ainsi enjoint aux deux sociétés de prendre, dans un délai de trois mois, les mesures suivantes :

ne pas procéder sans base légale à la combinaison des données des inscrits à des fins publicitaires ;

ne pas traiter de données non pertinentes, excessives ou inadéquates au regard des finalités poursuivies, en particulier cesser de demander aux inscrits de justifier de leur identité en fournissant un dossier médical ;

recueillir le consentement exprès des inscrits, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles - en l’espèce des données relatives aux opinions politiques, religieuses et à l’orientation sexuelle - par tout procédé, tel qu’une case à cocher, apposée à l’endroit de la collecte ;

procéder à l’information des inscrits, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée en particulier :

sur les traitements de données à caractère personnel mis en place directement sur le formulaire d’inscription ainsi que sur les pages permettant aux inscrits de compléter leur profil ;

sur la nature des données transférées hors de l’Union européenne, la finalité du transfert, les destinataires des données, et le niveau de protection offert par les pays destinataires ;

procéder à une collecte et à un traitement loyal des données des internautes non inscrits au service de FACEBOOK s’agissant des données collectées via le cookie datr et le bouton J’aime ;

informer et obtenir l’accord préalable des internautes à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci ;

ne pas conserver de données à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, notamment en supprimant à l’expiration d’un délai de six mois les adresses IP utilisées par les inscrits pour se connecter aux comptes ;

prendre toutes mesures nécessaires pour garantir la sécurité des données à caractère personnel des inscrits, notamment en renforçant la robustesse des mots de passe des comptes;

procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation pour l’ensemble des traitements de données ayant pour finalité de lutter contre la fraude et susceptibles d’exclure des personnes ;

ne pas procéder à des transferts de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor.

Pour faire suite aux demandes exprimées par la société FACEBOOK IRELAND, quatre réunions se sont tenues entre les services de la CNIL et des représentants de FACEBOOK INC., FACEBOOK IRELAND et FACEBOOK FRANCE les 29 mars, 19 avril, 16 juin et 13 juillet 2016. Chacune de ces réunions a fait l’objet d’un compte-rendu écrit adressé aux deux entités visées dans la mise en demeure.

Parallèlement, la société FACEBOOK IRELAND a adressé le 4 mai 2016 un courrier à la Présidente de la Commission apportant, d’une part, des premiers éléments de réponse et sollicitant, d’autre part, un renouvellement du délai de trois mois de la mise en demeure. Cette prorogation a été accordée, par un courrier du 19 mai 2016, portant jusqu’au 9 août 2016 le délai imparti aux sociétés pour se mettre en conformité.

Le 19 juillet 2016, FACEBOOK IRELAND a adressé des informations complémentaires à la Commission puis, le 9 août 2016, a fait parvenir ses éléments de réponse à la mise en demeure complétant ceux précédemment transmis. Dans ce cadre, la société faisait valoir que la loi
n° 78-17 du 6 janvier 1978 modifiée (ci-après loi Informatique et Libertés ) n’était pas applicable et que la CNIL n’était pas compétente. Elle contestait également la plupart des manquements retenus dans la mise à demeure, à l’exception de deux d’entre eux : la nécessité de veiller à l’adéquation, à la pertinence et au caractère non excessif des données et l’obligation de disposer d’une base légale pour transférer les données à caractère personnel hors de l’Union européenne, pour lesquels la société a indiqué qu’elle avait tenu compte des préoccupations de la CNIL.

La société FACEBOOK INC. n’a pour sa part apporté aucune réponse à la mise en demeure.

Au vu de ces éléments, la Présidente de la CNIL a désigné, le 17 novembre 2016, M. Philippe LEMOINE en qualité de rapporteur sur le fondement de l’article 46 de la loi du 6 janvier 1978 modifiée.

A l’issue de son instruction, le rapporteur a fait notifier aux sociétés FACEBOOK INC. et FACEBOOK IRELAND, le 5 janvier 2017 un rapport détaillant les manquements relatifs aux articles 6-1°, 6-5°, 7, 8, 32-I, et 32-II de la loi Informatique et Libertés qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la CNIL de prononcer à l’encontre des deux sociétés une sanction pécuniaire de 150 000 euros, rendue publique.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du
23 mars 2017. Les organismes disposaient d’un délai de deux mois pour communiquer leurs observations écrites.

Le 6 mars 2017, les deux sociétés ont produit des observations écrites sur le rapport, réitérées oralement par la société FACEBOOK IRELAND lors de la séance de la formation restreinte du 23 mars 2017. FACEBOOK INC. n’était, quant à elle, pas représentée lors de cette séance.

Motifs de la décision

1.Sur le droit applicable

Le I de l’article 5 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose que sont soumis à la présente loi les traitements de données à caractère personnel : 1°Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi .

Cet article constitue la transposition en droit interne de l’article 4-1-a) de la directive 95/46/CE du 24 octobre 1995 sur le droit national applicable qui dispose que : 1. Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable .

Au regard de ces dispositions, le droit applicable d’un Etat membre dépend de deux conditions cumulatives : l’existence d’un établissement du responsable de traitement sur le territoire d’un Etat membre et la mise en œuvre du traitement de données dans le cadre des activités de cet établissement.

La Cour de justice de l’Union européenne a apporté des précisions sur ces deux critères.

S’agissant du premier critère, elle a considéré qu’un responsable de traitement devait être considéré comme établi sur le territoire d’un Etat membre dès lors que le traitement de données est effectué dans le cadre des activités d’un établissement de ce responsable sur le territoire de l’État membre (CJUE, Google Spain et Google, 13 mai 2014, C‑131/12).

Elle a par ailleurs précisé que la notion d’établissement, au sens de la directive 95/46, s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable , le critère de stabilité de l’installation étant examiné au regard de la présence de moyens humains et techniques nécessaires à la fourniture de services concrets en question (CJUE Weltimmo, 1er octobre 2015, C‑230/14, points 30 et 31 ).

S’agissant du second critère, la Cour a précisé qu’ il y a lieu de considérer que le traitement de données à caractère personnel qui est fait pour les besoins du service d’un moteur de recherche tel que Google Search, lequel est exploité par une entreprise ayant son siège dans un Etat tiers mais disposant d’un établissement dans un Etat membre, est effectué dans le cadre des activités de cet établissement si celui-ci est destiné à assurer, dans cet Etat membre, la promotion et la vente des espaces publicitaires proposés par ce moteur de recherche, qui sert à rentabiliser le service offert par ce moteur . (CJUE, Google Spain et Google, 13 mai 2014, C‑131/12, point 55).

La Cour a également affirmé que : l’article 4, paragraphe 1, sous a) de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel effectué par une entreprise de commerce électronique est régi par le droit de l’Etat membre vers lequel cette entreprise dirige ses activités s’il s’avère que cette entreprise procède au traitement de données en question dans le cadre des activités d’un établissement situé dans cet Etat membre . Elle a ainsi admis qu’un droit national (en l’espèce, le droit allemand) pouvait s’appliquer à une société établie dans un autre Etat membre (en l’espèce, le Luxembourg) (CJUE, Amazon, 28 juillet 2016, C-191/15).

Les sociétés soutiennent que les critères de détermination du droit applicable définis par la Directive 95/46/CE ne permettent pas l’application du droit français. Elles contestent ainsi la qualification d’établissement de FACEBOOK FRANCE en précisant qu’il ne s’agit que d’un sous-traitant et affirment que seule FACEBOOK IRELAND réalise les traitements en cause.

La société irlandaise serait le seul responsable de traitement pour les utilisateurs situés en dehors des Etats-Unis et du Canada et seul le droit irlandais serait applicable dès lors que c’est l’établissement irlandais qui a le lien le plus inextricable avec les traitements en cause.

Les sociétés soutiennent, par ailleurs, que les objectifs de la directive précitée empêchent l’application concomitante de plusieurs droits. Elles considèrent également que l’interprétation extensive de l’article 4-1-a) de la directive donnée par la Cour dans les arrêts Google Spain et Weltimmo n’est pas justifiée en l’espèce car, contrairement à ces deux affaires, il n’existe aucun risque de contournement des dispositions européennes, le droit irlandais permettant d’assurer une protection efficace des citoyens. Les sociétés invoquent enfin les obstacles insurmontables à la libre circulation des données qu’engendrerait l’application du droit français.

Sur l’existence d’un établissement en France

La formation restreinte relève que FACEBOOK FRANCE est une société à responsabilité limitée à associé unique immatriculée au registre du commerce et des sociétés de Paris depuis le 3 février 2011. Elle a notamment pour objet de fournir au groupe FACEBOOK des prestations de service en rapport avec la vente d’espaces publicitaires, le développement commercial, le marketing (…) et toutes autres prestations de service visant à développer les services et la marque Facebook en France . Elle dispose d’un siège social situé 6 rue Ménars à Paris (75002) et d’un effectif d’une cinquantaine de salariés.

La formation restreinte souligne, par ailleurs, qu’il a été établi que la société française fournit des services de support marketing pour la conclusion de contrats publicitaires en France, notamment grâce à l’équipe grands comptes composée de six personnes qui accompagne les sociétés à fort potentiel de communication, telles que les entreprises du CAC 40, dans la stratégie à suivre sur le réseau social. L’équipe leur explique notamment le fonctionnement de la plateforme afin d’optimiser le ciblage publicitaire, de détailler les outils et les opportunités offertes par ce service.

La formation restreinte considère qu’au vu de ces éléments et à la lumière de la jurisprudence européenne en la matière, la société FACEBOOK France constitue une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de marketing. Elle estime par ailleurs que l’éventuelle qualité de sous-traitant est sans incidence sur la qualification d’établissement dès lors que les conditions précitées sont réunies.

La formation restreinte considère, en conséquence, que la société FACEBOOK France doit être qualifiée d’établissement de FACEBOOK INC. et FACEBOOK IRELAND au sens du I de l’article 5 de la loi du 6 janvier 1978 modifiée.

Sur la participation de l’établissement français aux traitements en cause

La formation restreinte relève qu’en assurant la promotion des espaces publicitaires du service FACEBOOK à l’égard des grandes entreprises françaises, FACEBOOK FRANCE assure la promotion commerciale des espaces publicitaires du service FACEBOOK auprès des entreprises françaises et contribue à en assurer la rentabilité. Son activité permet d’entrer en relation commerciale avec une gamme d’annonceurs susceptibles d’intéresser les utilisateurs français afin qu’une publicité personnalisée leur soit proposée puis de les conseiller afin d’assurer la meilleure personnalisation possible de ces publicités dans le cadre du réseau social.

La formation restreinte rappelle également que FACEBOOK IRELAND a insisté sur le fait que la gratuité du service était subordonnée à l’affichage de publicités personnalisées. Cette activité est donc indissociable du traitement des données des utilisateurs et notamment de leur combinaison.

La formation restreinte considère ainsi que la société FACEBOOK FRANCE qui est chargée de promouvoir la vente d’espaces publicitaires auprès des entreprises françaises à destination des utilisateurs français, contribue par ce biais à la perception de revenus publicitaires. Elle participe donc, dans le cadre de ses activités, aux traitements en cause.

Enfin, la formation restreinte relève que les activités du Groupe FACEBOOK sont dirigées vers le public français puisque FACEBOOK FRANCE a notamment pour objet de démarcher les grands annonceurs français afin de proposer une publicité pertinente pour les utilisateurs du réseau social en France.

La formation restreinte en conclut que les critères du I de l’article 5 de la loi du 6 janvier 1978 modifiée, examinés à la lumière des arrêts de la Cour de justice de l’Union européenne, sont réunis et que le droit français s’applique.

2.Sur le pouvoir de sanction de la CNIL

L’article 45 de la loi n° 78-17 du 6 janvier 1978 modifiée, dans sa version applicable au moment des faits, dispose que : le président de la commission peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu'il fixe. En cas d'urgence, ce délai peut être ramené à cinq jours. Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure.

Dans le cas contraire, la formation restreinte peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes (…) :1° Une sanction pécuniaire, dans les conditions prévues par l'article 47, à l'exception des cas où le traitement est mis en œuvre par l'Etat ; .

L’article 48 de la loi susvisée ajoute que les pouvoirs prévus à l'article 44 ainsi qu'au I, au 1° du II et au III de l'article 45 peuvent être exercés à l'égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d'un autre Etat membre de la Communauté européenne .

La société FACEBOOK IRELAND conteste la compétence de la Commission au motif que le droit français n’est pas applicable et qu’en application de l’arrêt Weltimmo, dès lors que le droit de l’Etat membre dont relève une autorité de contrôle n’est pas applicable, celle-ci ne peut infliger de sanction à un responsable de traitement qui n’est pas établi sur son territoire. Elle précise que le droit irlandais étant seul applicable, seule l’autorité de protection des données irlandaise est compétente.

Dans sa décision Weltimmo précitée, la Cour de justice de l’Union européenne a précisé que dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir (point 60).

La formation restreinte considère en l’espèce, comme cela a été précisé supra, que le droit français est applicable et en conséquence qu’il convient de faire application des articles 45 et 48 de la loi du 6 janvier 1978 modifiée qui confèrent compétence à la Commission pour prononcer des sanctions à l’encontre des responsables de traitements mis en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable de traitement est établi sur le territoire d’un autre Etat membre.

La formation restreinte relève que l’arrêt Weltimmo de la Cour de justice de l’Union européenne précité conforte cette position. Ce dernier précise que le pouvoir de sanction d’une autorité de contrôle doit être écarté dans l’hypothèse où le droit applicable est celui d’un autre Etat membre. A contrario, ce pouvoir reste plein et entier lorsque le droit applicable est celui de l’Etat membre dont relève l’autorité de contrôle.

La formation restreinte considère, en conséquence, que dès lors que le droit français est applicable, la CNIL dispose de l’intégralité de ses pouvoirs, dont celui de prononcer des sanctions.

3.Sur la qualité de responsables de traitement des sociétés FACEBOOK INC. et FACEBOOK IRELAND

Le I de l’article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose que le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens .

Cette disposition constitue la transposition de l’article 2 d) de la directive 95/46/CE du 24 octobre 1995 qui définit le responsable de traitement comme la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel .

Les sociétés FACEBOOK INC. et FACEBOOK IRELAND soutiennent que seule FACEBOOK IRELAND doit être qualifiée de responsable du traitement des données des utilisateurs situées en dehors du Canada et des Etats-Unis, l’entité américaine n’étant que sous-traitant de la société irlandaise pour laquelle elle assure des prestations d’hébergement.

Les sociétés rappellent à ce titre, qu’elles constituent des entités juridiques distinctes et indépendantes avec des missions différentes : depuis 2010, FACEBOOK INC. fournit le service uniquement aux utilisateurs nord-américains et ne traite que leurs données alors que FACEBOOK IRELAND fournit le service à tous les autres utilisateurs du monde et traite leurs données. Elles précisent que la qualification de responsable de traitement de l’entité irlandaise découle, d’une part, d’une analyse factuelle dès lors que FACEBOOK IRELAND dispose d’un siège social et d’un effectif de plus 1600 salariés à Dublin et qu’elle détermine seule les règles régissant le traitement des données des utilisateurs au sein de l’Union européenne et, d’autre part, d’une analyse juridique puisque plusieurs documents légaux, notamment les documents intitulés la déclaration des droits et des responsabilités et la politique d’utilisation des données , la désignent comme responsable de traitement. FACEBOOK INC. n’a pour sa part aucun contrôle effectif sur les données des utilisateurs de l’Union européenne.

Enfin, les sociétés font valoir que si le service fourni aux utilisateurs du réseau social, via une plateforme mondiale, comporte des similitudes, il n’existe plus de service global et qu’à ce titre, certaines fonctionnalités proposées aux utilisateurs nord-américains ne sont pas disponibles pour les utilisateurs de FACEBOOK IRELAND.

En premier lieu, la formation restreinte souligne que la qualité de responsable de traitement de FACEBOOK IRELAND n’est pas contestée.

En deuxième lieu, sur la qualité de responsable de traitement de FACEBOOK INC., la formation restreinte relève que le site facebook.com , l’un des sites les plus visités au monde, a été conçu et développé par les fondateurs de la société américaine en 2004. Comme relevé lors des constations effectuées, ce réseau social international est constitué d’une plateforme unique permettant aux utilisateurs du monde entier d’être connectés les uns avec les autres, qu’ils se trouvent en Inde, en Europe ou aux Etats-Unis. Il n’existe donc pas deux services distincts pour les utilisateurs nord-américains et pour tous les autres utilisateurs, les éventuelles différences de fonctionnalités de ce dernier s’expliquant par la nécessité de respecter la législation des Etats dans lesquels il est proposé.

La formation restreinte souligne, par ailleurs, que le réseau social a été conçu, mis en œuvre, enrichi et adapté aux Etats-Unis par la société FACEBOOK INC depuis 2004 et que cette dernière régit aujourd’hui le mode de fonctionnement de l’intégralité du service quels que soient les utilisateurs concernés.

Il repose sur le traitement des données des utilisateurs et sur leur combinaison aux fins de permettre l’affichage de contenus et de publicités personnalisés et de fournir un service gratuit. Cette stratégie commerciale n’est pas décidée isolément et indépendamment par la société FACEBOOK IRELAND. Elle n’est pas propre aux utilisateurs non-américains mais résulte bien d’une politique unique appliquée à l’ensemble du réseau social.

La formation restreinte considère, par conséquent, que les finalités des traitements en cause, et notamment les finalités de combinaison des données des utilisateurs, sont déterminées conjointement par les sociétés FACEBOOK INC. et FACEBOOK IRELAND.

La formation restreinte relève, par ailleurs, que l’existence de cette politique commerciale commune est corroborée par le fait que le document intitulé politique d’utilisation des données est le même pour les utilisateurs nord-américains et européens. Elle rappelle également que jusqu’au 9 décembre 2016, la déclaration des droits et des responsabilités prévoyait la compétence exclusive des tribunaux américains en cas de litige avec les utilisateurs, sans distinction de nationalité, ce qui démontre l’implication de la société américaine dans la création et le développement du réseau social.

Enfin, la formation restreinte souligne que la société FACEBOOK INC. dispose de l’expertise technique permettant de faire fonctionner le réseau social. Elle relève à cet égard que les clauses contractuelles types encadrant le transfert des données entre FACEBOOK IRELAND et FACEBOOK INC. précisent que l’entité américaine procède à diverses opérations de traitement et notamment à la facilitation de l’authentification des utilisateurs et à l’amélioration de l’efficacité des services de FACEBOOK. La formation restreinte considère que ces opérations directement liées au fonctionnement du réseau social, réalisées quelle que soit la localisation des utilisateurs et des données collectées, confirment que la société FACEBOOK INC. contribue à déterminer les moyens des traitements qui s’inscrivent dans le cadre d’une plateforme unique.

La formation restreinte considère en conséquence que les sociétés FACEBOOK INC. et FACEBOOK IRELAND doivent être conjointement qualifiées de responsables des traitements.

4.Sur l’invocabilité des dispositions de la législation européenne (directive 95/46/CE et directive 2009/140/CE)

Le considérant 9 de la directive 95/46/CE du 24 octobre 1995 énonce que : […] les États membres disposeront d'une marge de manœuvre qui, dans le contexte de la mise en œuvre de la directive, pourra être utilisée par les partenaires économiques et sociaux; qu'ils pourront donc préciser, dans leur législation nationale, les conditions générales de licéité du traitement des données ; que, ce faisant, les États membres s'efforceront d'améliorer la protection assurée actuellement par leur législation; que, dans les limites de cette marge de manœuvre et conformément au droit communautaire, des disparités pourront se produire dans la mise en œuvre de la directive et que cela pourra avoir des incidences sur la circulation des données tant à l'intérieur d'un État membre que dans la Communauté.

La société FACEBOOK IRELAND fait référence aux dispositions de la directive 95/46/CE et à celles de la directive 2009/140/CE et soutient que certaines obligations fixées par la loi Informatique et Libertés modifiée seraient illicites en ce qu’elles excèderaient les termes
de la législation européenne. Elle soutient également que la Commission procèderait à une mauvaise interprétation de ces textes.

Elle fait notamment valoir que la loi Informatique et Libertés modifiée telle qu’appliquée par la Commission :

- introduit des exigences normatives additionnelles en matière d’information des utilisateurs et de cookies ;

- ajoute des conditions concernant les bases légales du traitement des données ;

- impose un mécanisme particulier pour recueillir le consentement exprès des utilisateurs au traitement de leurs données sensibles ;

- impose une durée maximale de conservation des données et plus précisément des adresses IP.

En premier lieu, la formation restreinte rappelle que l’harmonisation visée par les directives 95/46/CE et 2009/140/CE n’interdit pas aux Etats membres d’adopter des mesures nationales plus précises dès lors qu’elles visent à en réaliser les objectifs (CJUE, Breyer, 19 octobre 2016, C-582/14).

Elle souligne à ce titre que les Etats membres sont libres dans l’adoption des moyens qu’ils utilisent pour atteindre les objectifs fixés par les directives européennes (Arrêts CE 28 février 1992, S.A. Rothmans International France et S.A. Philip Morris France, n° 56776 et 56777) et ce, en vue d'en assurer l'effet utile (CJCE Royer du 8 avril 1976, aff 48/75, Rec. p. 49).

En deuxième lieu, la formation restreinte considère que les dispositions de la loi Informatique et Libertés modifiée qui sont visées par la société permettent de réaliser l’objectif poursuivi par les directives susvisées à savoir maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée.

En ce sens, elle estime qu’en précisant notamment les informations qu’il convient de fournir aux utilisateurs, les conditions de licéité du traitement et de recueil du consentement, les dispositions de loi informatique et libertés modifiée n’excèdent en rien cet objectif ni ne modifient ou altèrent la portée des principes qui y sont énoncés.

En dernier lieu, la formation restreinte rappelle que les griefs pouvant se rapporter à une mauvaise transposition d’une législation européenne en droit national, relèvent d’une action en manquement qui est de la seule compétence de la Cour de justice de l’Union européenne.

5.Sur le manquement à l’obligation d’informer les personnes

Le I de l’article 32 de la loi du 6 janvier 1978 modifiée, dans sa rédaction en vigueur au moment de la mise en demeure, dispose que :

La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :

1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

2° De la finalité poursuivie par le traitement auquel les données sont destinées ;

3° Du caractère obligatoire ou facultatif des réponses ;

4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;

5° Des destinataires ou catégories de destinataires des données ;

6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ;

7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ;

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter la mention des prescriptions figurant aux 1°, 2°, 3° et 6° .

L’article 91 du décret du 20 octobre 2005 modifié pris en application de la loi du 6 janvier 1978 modifiée, précise que : Les informations figurant au 7° du I de l'article 32 de la loi du 6 janvier 1978 susvisée que le responsable du traitement communique, dans les conditions prévues à l'article 90, à la personne auprès de laquelle des données à caractère personnel sont recueillies, sont les suivantes :

1° Le ou les pays d'établissement du destinataire des données dans les cas où ce ou ces pays sont déterminés lors de la collecte des données ;

2° La nature des données transférées ;

3° La finalité du transfert envisagé ;

4° La ou les catégories de destinataires des données ;

5° Le niveau de protection offert par le ou les pays tiers :

a) Si le ou les pays tiers figurent dans la liste prévue à l'article 108, il est fait mention de la décision de la Commission européenne autorisant ce transfert ;

b) Si le ou les pays tiers ne satisfont pas aux conditions prévues à l'article 68 de la même loi, il est fait mention de l'exception prévue à l'article 69 de cette loi qui permet ce transfert ou de la décision de la Commission nationale de l'informatique et des libertés autorisant ce transfert.

Les sociétés ont été mises en demeure de procéder à l’information des inscrits et en particulier :

- sur les traitements de données à caractère personnel mis en place, directement sur le formulaire d’inscription ainsi que sur les pages permettant aux inscrits de compléter leur profil ;

- sur la nature des données transférées hors de l’Union européenne, la finalité du transfert, les destinataires des données, et le niveau de protection offert par les pays destinataires.

En défense, la société FACEBOOK IRELAND fait principalement valoir qu’elle délivre à ses utilisateurs une information conforme aux exigences de l’article 10 de la directive 95/46/CE et aux avis du groupe de travail de l’article 29 (dit G29 ). Elle considère notamment que sa politique d’utilisation des données, accessible via un lien figurant sur le formulaire d’inscription, contient l’ensemble des informations requises par l’article 10 de la directive précitée et que les utilisateurs sont informés sur les transferts de données hors de l’Union européenne via ce même document et également par la déclaration des droits et des responsabilités.

Elle soutient par ailleurs qu’en l’absence d’interdiction, il est possible de recourir à une pluralité de supports d’information. Elle considère que ce procédé ne complexifie en rien l’accès, la qualité et la complétude de l’information qui doit être fournie aux utilisateurs.

Elle fait, à ce titre, référence à une approche par strate de l’information telle que recommandée par le G29 dans son avis 10/2004 du 25 novembre 2004. Elle indique que la politique d’utilisation des données permet aux utilisateurs d’avoir une compréhension globale des traitements mis en œuvre et qu’à partir de ce document, les utilisateurs peuvent directement accéder à d’autres documents détaillant certains aspects des traitements mis en œuvre.

En ce qui concerne les exigences de l’article 10 de la directive 95/46/CE, la formation restreinte rappelle, comme cela a été évoqué précédemment, qu’il convient d’examiner le respect par les sociétés, des obligations découlant uniquement de l’article 32-I de la loi du 6 janvier 1978 modifiée et non de celles résultant des dispositions de la directive 95/46/CE.

Elle souligne néanmoins que l’article 10 de la directive 95/46/CE prévoit une liste non exhaustive d’informations devant être fournies par le responsable de traitement : Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous […]. En prévoyant la fourniture de l’information directement sur le formulaire de collecte, les dispositions de la loi Informatique et Libertés n’entrent pas contradiction avec cet article. Ces dispositions permettent en effet aux utilisateurs d’une part, d’appréhender pleinement les traitements qui seront mis en œuvre à l’égard de leurs données à caractère personnel et d’autre part, d’exercer leurs droits le cas échéant.

La formation restreinte relève à cet égard que les sociétés ne dispensent aucune information directement sur le formulaire d’inscription, ainsi que sur les pages permettant aux utilisateurs inscrits de compléter leurs profils.

S’agissant de la fourniture d’une information par strate aux utilisateurs, la formation restreinte relève que cette information par strate doit dissocier deux niveaux d’information : d’une part, les informations de premier niveau, qui sont les plus importantes pour les personnes ; d’autre part, les informations qui ne présentent vraisemblablement d’intérêt qu’en seconde intention. Parmi les informations essentielles de premier niveau figurent, outre l’identité du responsable de traitement, les finalités du traitement et toute information supplémentaire nécessaire afin de garantir un traitement loyal de l’information vis-à-vis des personnes concernées.

La formation restreinte considère que les droits dont disposent les utilisateurs ainsi que les informations se rapportant aux transferts des données hors de l’Union européenne doivent également être regardés comme essentiels et leur être fournis immédiatement.

A cet égard, elle relève que la politique d’utilisation des données, document considéré par les sociétés FACEBOOK IRELAND et FACEBOOK INC comme le principal support de diffusion de l’information, n’expose ni les droits dont disposent les utilisateurs ni les informations relatives aux transferts de données hors de l’Union européenne (nature des données transférées, finalité du transfert, destinataires des données).

La formation restreinte estime que cette absence d’information portée immédiatement à la connaissance des utilisateurs ne leur permet pas d’avoir la maitrise de leurs données et du traitement dont ils font l’objet.

La formation restreinte considère en conséquence que le manquement au I de l’article 32 de la loi du 6 janvier 1978 modifiée est caractérisé.

6.Sur le manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre

L’article 7 de la loi n° 78-17 du 6 janvier 1978 modifiée dispose que :

Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :

1° Le respect d'une obligation légale incombant au responsable du traitement ;

2° La sauvegarde de la vie de la personne concernée ;

3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;

4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée .

Les sociétés ont été mises en demeure de ne pas procéder sans base légale à la combinaison des données des inscrits à des fins de ciblage publicitaire.

Il avait, en effet, été relevé que pour afficher de la publicité ciblée, les sociétés procédaient à la combinaison des données fournies par les inscrits lors de la création de leur compte sur le site, des données relatives à l’activité des inscrits sur le site (contenus partagés ou consultés par exemple), quel que soit le terminal utilisé par ces derniers, des données relatives aux appareils utilisés par les inscrits (système d’exploitation, coordonnées GPS, type de navigateur, numéro de téléphone mobile par exemple), des données provenant de sites tiers et applications intégrant notamment des boutons J’aime ou Se connecter , des données provenant de partenaires tiers (partenaires avec qui la société a collaboré pour offrir un service ou annonceurs avec lesquels les inscrits ont interagi) et des données provenant des sociétés qui appartiennent ou qui sont exploitées par la société (FACEBOOK Payments Inc., Instagram LLC, WhatsApp Inc. par exemple).

En défense, la société FACEBOOK IRELAND soutient qu’elle dispose de trois bases légales pour procéder à la combinaison de données.

En premier lieu, elle affirme qu’elle recueille le consentement éclairé, libre, spécifique et non équivoque des utilisateurs dans la mesure où ils acceptent la politique d’utilisation des données . Elle soutient à ce titre que le consentement spécifique ne nécessite pas que les utilisateurs consentent séparément à chacun des traitements mis en œuvre mais qu’ils reçoivent une information claire et compréhensible sur la manière dont les données sont traitées et qu’ils y consentent. Elle précise, par ailleurs, que le consentement des utilisateurs est libre dès lors qu’ils choisissent de leur plein gré de s’inscrire sur le réseau social et qu’ils peuvent fermer leur compte s’ils le souhaitent.

En deuxième lieu, la société invoque l’exécution d’un contrat en affirmant que la relation avec les utilisateurs est régie par la déclaration des droits et des responsabilités . Elle indique à ce titre que la combinaison des données à des fins de publicité est nécessaire à l’exécution contractuelle, et plus particulièrement à l’offre de services gratuits aux utilisateurs. Elle fait valoir que les utilisateurs du réseau social s’attendent à un contenu personnalisé et que l’absence de publicité ciblée entraînerait une expérience détériorée pour ces derniers.

Elle insiste également sur le fait que sans les revenus publicitaires, le service FACEBOOK ne serait pas disponible et qu’en remettant en cause ce modèle économique, la Commission porte atteinte à sa liberté d’entreprendre. Elle soutient, par ailleurs, que la Commission cherche à réécrire le contrat entre les sociétés et leurs utilisateurs alors qu’elle ne dispose pas d’un tel pouvoir de révision.

En dernier lieu, elle fait valoir qu’elle poursuit un intérêt légitime en procédant à la combinaison des données, à savoir un intérêt économique et commercial, sans méconnaître pour autant les droits et libertés fondamentaux des utilisateurs dès lors que ces derniers peuvent s’opposer à l’utilisation de leurs données. Elle précise ainsi que les utilisateurs ont un degré important de contrôle sur les publicités qu’ils voient et sur la façon dont leurs données sont traitées. Elle soutient également que les intérêts de la société et des utilisateurs sont alignés et qu’il n’y a aucune incidence négative sur les utilisateurs puisque la combinaison de données permet de leur offrir une expérience personnalisée.

S’agissant du recueil du consentement, la formation restreinte rappelle que le respect de ce critère impose de vérifier que les utilisateurs ont donné un consentement éclairé, spécifique et libre.

En ce qui concerne le caractère éclairé, la formation restreinte relève tout d’abord qu’aucun des documents mis à la disposition des utilisateurs par les sociétés FACEBOOK IRELAND et FACEBOOK INC. ne mentionne expressément la combinaison de données. Elle souligne ainsi que la politique d’utilisation des données indique uniquement qu’aux fins d’améliorer leur système de publicité, les sociétés se fondent sur les informations à [leur] disposition ou sur les informations obtenues (…) au sein comme en dehors de [leurs] services . A l’inverse, elle ne précise pas que ces données à caractère personnel font l’objet d’un croisement massif, ni à quel moment cette combinaison est opérée.

La formation restreinte souligne qu’outre le fait que la combinaison de données n’est pas mentionnée expressément, l’information sur l’affichage d’une publicité ciblée est diluée dans trois documents distincts intitulés la politique d’utilisation des données , la politique d’utilisation des cookies et la page propos de la publicité sur Facebook, de sorte qu’il est difficile pour un utilisateur d’avoir une compréhension des processus en cause.

La formation restreinte relève, par ailleurs, que les différents liens hypertextes auxquels la politique d’utilisation des données renvoie détaillent uniquement les modes de fonctionnement de la publicité et les possibilités de contrôle de son affichage. Elle souligne également l’utilisation de termes généraux dans ce document tels que la référence aux informations que vous avez partagées avec Facebook, les Pages que vous aimez ou avec lesquelles vous interagissez , ce qui ne permet pas aux utilisateurs d’avoir une juste perception de la nature et du volume des données qui sont collectées puis combinées.

La formation restreinte estime également que le caractère particulièrement intrusif de la combinaison des données et les incidences de celles-ci sur la vie privée des utilisateurs doivent conduire à la considérer comme une information essentielle de premier niveau qui devrait, conformément à l’avis précité du G29 invoqué par FACEBOOK IRELAND, être fournie immédiatement aux utilisateurs, c’est-à-dire dans la politique d’utilisation des données .

Au vu de ces éléments, la formation restreinte considère que le consentement des utilisateurs n’est pas éclairé.

En ce qui concerne le caractère spécifique du consentement, la formation restreinte relève que lorsque la personne s’inscrit sur le réseau social, elle accepte simultanément trois documents : la politique d’utilisation des données , la politique d’utilisation des cookies et la déclaration des droits et responsabilités .

Elle considère ainsi que le consentement ne peut être spécifique dès lors qu’il n’est pas recueilli de façon dédiée et distinct des autres documents.

En ce qui concerne le caractère libre du consentement, la formation restreinte relève que les utilisateurs ne sont pas libres de consentir ou non à la combinaison de leurs données dès lors que l’inscription sur le réseau social emporte nécessairement cette combinaison sans qu’ils puissent s’y opposer, ni au moment de la création de leur compte, ni a posteriori.

Au vu de ces éléments, la formation restreinte considère que le consentement des utilisateurs n’est pas libre.

S’agissant de l’exécution d’un contrat, la formation restreinte relève que l’objet principal du service est la fourniture d’un réseau social : les utilisateurs qui créent un compte sur le site facebook.com souhaitent d’abord accéder aux fonctionnalités de ce réseau, c’est-à-dire interagir avec leurs relations, créer des groupes d’intérêt commun, organiser des événements ou partager des contenus tels que des photos ou des articles de presse. Ils ne s’inscrivent pas au réseau social pour recevoir de la publicité ciblée.

La formation restreinte considère, en conséquence, que la combinaison des données des utilisateurs à des fins de ciblage publicitaire ne correspond ni à l’objet principal du contrat ni aux attentes raisonnables des utilisateurs quant à l’exécution de la convention conclue lors de l’inscription au service.

Elle précise à cet égard qu’elle ne remet pas en cause le modèle économique des sociétés ni n’interdit l’affichage de toute publicité ciblée mais qu’il lui incombe de veiller à ce que les droits des personnes concernées soient respectés et notamment à ce que l’exécution d’un contrat ne les conduise pas à y renoncer.

S’agissant de l’intérêt légitime, la formation restreinte rappelle que l’examen de ce critère nécessite d’examiner, d’une part, la proportionnalité du traitement en cause au regard de sa finalité et de s’assurer, d’autre part, que l’intérêt ou les droits et libertés fondamentaux des personnes concernées sont suffisamment préservés.

La formation restreinte relève que les sociétés procèdent à la combinaison des données des utilisateurs aux fins d’affichage de contenus et de publicités personnalisés. Elle considère que ce traitement qui procède d’un intérêt économique et permet aux sociétés d’offrir un service gratuit et pertinent aux utilisateurs peut être qualifié de légitime. Pour autant, la formation restreinte relève que la combinaison potentiellement illimitée de toutes les données des utilisateurs, qui sont collectées non seulement sur le site facebook.com mais également sur des sites ou applications tiers, notamment via le cookie datr (voir infra) est, par son ampleur, de nature à méconnaître les intérêts des utilisateurs et à porter atteinte à leur droit au respect de la vie privée.

Il lui appartient donc de juger si l’intérêt ou les droits et libertés fondamentaux des personnes concernées sont suffisamment préservés en l’espèce pour que l’équilibre prescrit par le législateur entre ces deux catégories d’intérêts soit atteint. Elle souligne que cet équilibre ne peut être assuré que s’il est mis à disposition des utilisateurs des outils adéquats leur permettant d’exercer les droits qu’ils détiennent des articles 32 et 38 de la loi du 6 janvier 1978 modifiée, et plus précisément les moyens de s’opposer à la combinaison de leurs données.

Sur ce point, la formation restreinte rappelle que l’information diffusée aux utilisateurs et accessible sur le réseau social n’est pas suffisante.

Elle relève en outre que les sociétés ont effectivement développé des outils visant à permettre aux utilisateurs d’exercer un contrôle sur la publicité personnalisée qui leur est proposée, notamment à travers la rubrique Publicités des paramètres du compte des utilisateurs. Ces derniers peuvent ainsi supprimer les préférences associées à leur compte qui sont utilisées pour personnaliser les publicités en fonction des centres d’intérêts identifiés.

Elle relève en revanche, qu’aucun moyen n’est mis à disposition des utilisateurs pour s’opposer à la collecte de ces informations et à leur combinaison, de sorte qu’ils ne peuvent mettre fin au suivi massif dont ils font l’objet. Les utilisateurs du réseau social sont ainsi dépourvus de tout contrôle sur leurs données à caractère personnel ce qui porte atteinte au droit au respect de leur vie privée.

La formation restreinte considère ainsi que l’absence d’information suffisante et de mécanisme d’opposition à la combinaison des données ne permet pas de garantir un juste équilibre entre, d’une part, l’intérêt économique des sociétés FACEBOOK IRELAND et FACEBOOK INC. et, d’autre part, les droits et libertés des utilisateurs du réseau.

La formation restreinte estime que les sociétés ne peuvent se prévaloir du recueil du consentement des utilisateurs, de la nécessité liée à l’exécution d’un contrat ou d’un juste équilibre entre leur propre intérêt légitime et les droits fondamentaux des utilisateurs. Elle considère en conséquence que le manquement à l’article 7 de la loi du 6 janvier 1978 modifiée est caractérisé.

7.Sur le manquement à l’obligation de procéder à une collecte et à un traitement loyal des données

Le 1° de l’article 6 de la loi du 6 janvier 1978 modifiée dispose que : les données sont collectées et traitées de manière loyale et licite .

Les sociétés ont été mises en demeure de procéder à une collecte et à un traitement loyal des données des internautes non inscrits concernant les données collectées via le cookie datr et un module social FACEBOOK (ex : bouton J’aime ).

Il avait, en effet, été relevé qu’un cookie datr était déposé sur le terminal des internautes non inscrits sur le site de FACEBOOK, ce cookie permettant notamment, sans qu’ils en soient informés, de suivre et de collecter les données relatives à leur navigation sur des sites tiers, dès lors que ces derniers contiennent un module social FACEBOOK.

En défense, la société FACEBOOK IRELAND fait principalement valoir que le traitement des données collectées par l’intermédiaire du cookie datr est loyal au motif que les internautes (inscrits et non inscrits) reçoivent une information complète avant son installation sur leur terminal via le bandeau d’information relatif aux cookies, la politique d’utilisation des cookies et les pages d’aide. Elle précise que le bandeau d’information relatif aux cookies fournit à tous les utilisateurs les informations essentielles et que de plus amples informations peuvent être obtenues en cliquant sur le lien relatif à la politique d’utilisation des cookies présent sur le formulaire d’inscription.

Elle indique par ailleurs que ce cookie n’est déposé que lorsque les internautes visitent une page FACEBOOK ou cliquent sur un module social présent sur un site tiers.

La société soulève également le fait que les données collectées via ce cookie sont limitées et ne portent que sur des informations relatives au navigateur utilisé par l’internaute (cookie ID, adresse IP de consultation, nom et informations relatifs à la version du navigateur utilisé, adresse du site internet sur lequel figure le module social de FACEBOOK).

Enfin, elle affirme que ce cookie n’est pas utilisé pour suivre les comportements de navigation des internautes à des fins publicitaires mais qu’il assure une fonction de sécurité essentielle du service et assure la protection des données à caractère personnel des utilisateurs. A ce titre, elle précise qu’il permet une analyse de la navigation des internautes afin notamment d’éviter les attaques, la création de faux comptes ou l’usurpation de comptes.

S’agissant du dépôt du cookie datr , la formation restreinte relève qu’il est déposé dès lors qu’un internaute (inscrits et non inscrits) consulte une page du site facebook.com ou qu’il clique sur le bouton J’aime figurant sur un site tiers.

Par la suite, les données relatives à sa navigation sur le site facebook.com ou d’autres sites tiers sont remontées puis collectées par FACEBOOK.

S’agissant de l’information des internautes non inscrits, si la formation restreinte relève que le bandeau d’information relatif aux cookies a été modifié, elle estime toutefois que la référence aux [...] informations [collectées] sur et en dehors de Facebook via les cookies présente également sur certains sites tiers comprenant un module social reste encore très imprécise.

Elle ne permet pas aux internautes et en particulier aux internautes non inscrits sur le réseau social, d’être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils se trouveront sur un site tiers comportant un module social. Elle considère ainsi que le renvoi à la politique d’utilisation des cookies et son éventuelle consultation par les internautes non inscrits n’est pas suffisant et ne peut se substituer à l’obligation de leur délivrer une information claire et précise sur l’existence de la collecte de données dont ils font l’objet. En effet, ces derniers n’ont aucune raison de consulter ce document dès lors qu’ils ne créent pas de compte sur le réseau social.

En ce qui concerne la finalité sécuritaire poursuivie par le cookie datr , la formation restreinte la considère légitime pour les internautes inscrits. A contrario, une telle finalité ne peut être ni légitime ni justifiée pour les internautes non inscrits dès lors que ces derniers ne peuvent pas faire l’objet d’une usurpation de compte ou d’une attaque.

Ainsi en l’absence d’une information suffisamment claire et précise sur la collecte des données effectuées et dès lors que le cookie datr permet d’effectuer un suivi détaillé de la navigation de l’ensemble des internautes (inscrits ou non sur le réseau social), la formation restreinte considère que ces données ne sont pas collectées et traitées de façon loyale.

La formation restreinte considère en conséquence que le manquement au 1° de l’article 6 de la loi du 6 janvier 1978 modifiée est caractérisé.

8.Sur le manquement à l’obligation de recueillir le consentement des personnes concernées pour le traitement de données sensibles relatives aux opinions politiques ou religieuses et à la vie sexuelle

L’article 8 de la loi du 6 janvier 1978 modifiée dispose que : I. - Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

II. - Dans la mesure où la finalité du traitement l'exige pour certaines catégories de données, ne sont pas soumis à l'interdiction prévue au I : 1° Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction visée au I ne peut être levée par le consentement de la personne concernée […] .

Les sociétés ont été mises en demeure de recueillir le consentement exprès des personnes, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles en l’espèce les données relatives aux origines ethniques ou raciales, aux opinions religieuses et à la vie sexuelle des personnes.

En défense, la société FACEBOOK IRELAND fait valoir que l’utilisateur, lorsqu’il complète son profil, renseigne volontairement ce type de données et a la possibilité de les rendre publiques via les paramètres de confidentialité. En outre, la société considère que les données des utilisateurs liées à l’intérêt qu’ils portent aux hommes ou aux femmes ne sont pas des données sensibles. Elle fait également valoir que l’information fournie aux utilisateurs, notamment dans la cadre de sa politique d’utilisation des données, satisfait aux exigences de l’article 10 la directive 95/46/CE. Enfin, la société indique qu’aucun texte n’impose que le consentement au traitement des données sensibles se manifeste par le biais d’une case à cocher.

La formation restreinte rappelle qu’il convient d’examiner le respect par les sociétés, des obligations découlant de l’article 8 de la loi du 6 janvier 1978 modifiée et non de celles résultant des dispositions de la directive 95/46/CE. Si le consentement peut permettre de déroger à l’interdiction de traiter des données à caractère personnel dites sensibles , il est nécessaire que celui-ci soit exprès, c’est-à-dire libre, informé et spécifique.

En l’espèce, la formation restreinte considère que des données sensibles sont traitées par les sociétés, à savoir leurs origines raciales ou ethniques, leurs opinions religieuses mais également leur orientation sexuelle révélée via la collecte de données liées à l’intérêt porté aux hommes ou aux femmes .

Elle estime que le renseignement spontané de telles données n’exonère pas la société de l’obligation de recueillir le consentement exprès des personnes qui doivent être en mesure de manifester par une action positive leur assentiment au traitement de données sensibles, attestant ainsi que le consentement est donné en toute connaissance de cause.

La formation restreinte relève également que ni la politique d’utilisation des données, ni les étapes décrites par les sociétés permettant aux utilisateurs de renseigner leur profil, ne contiennent une information spécifique concernant le traitement de ces données.

En outre, la formation restreinte considère que la possibilité offerte aux utilisateurs de paramétrer la confidentialité de leurs comptes ne saurait conférer un caractère public à leurs données, celles-ci étant traitées dans le cadre d’une communauté d’intérêts fermée, celle de FACEBOOK, et accessibles à ses seuls membres.

En conséquence, la formation restreinte considère que les sociétés ne recueillent pas le consentement exprès des utilisateurs pour le traitement des données sensibles et que le manquement l’article 8 de la loi du 6 janvier 1978 modifiée est caractérisé.

9.Sur le manquement à l’obligation de mettre à disposition un moyen valable d’opposition aux informations (cookies) stockées sur l’équipement terminal de communications électroniques des utilisateurs

Le II de l’article 32 de la loi du 6 janvier 1978 modifiée dispose que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle .

Les sociétés ont été mises en demeure d’informer les internautes et d’obtenir leur accord préalable à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci. En particulier, il leur avait été enjoint, sauf à mettre en place un dispositif présentant les mêmes garanties, d’indiquer aux internautes, au préalable et de manière claire et complète, sur le bandeau présent sur le site internet, les finalités de tous les cookies soumis au consentement et la possibilité qu’ils ont de s’opposer au dépôt de ces cookies en cliquant sur un lien présent dans le bandeau, ce dernier devant renvoyer vers une page présentant les solutions adéquates mises à leur disposition pour accepter ou refuser le dépôt des cookies.

En réponse à la mise en demeure, la société FACEBOOK IRELAND a indiqué, par un courrier du 9 août 2016, que le bandeau d’information sur les cookies avait été mis à jour et qu’une action positive des utilisateurs était désormais requise avant le dépôt des cookies.

Eu égard à ces mesures correctives, le rapport du 14 décembre 2016 reprochait uniquement aux deux sociétés de ne pas proposer aux utilisateurs un moyen valable d’opposition à l’inscription de cookies sur leur équipement terminal. Le rapporteur avait ainsi précisé que le paramétrage du navigateur, tel que proposé par les sociétés, n’était pas satisfaisant.

En défense, la société FACEBOOK IRELAND soutient que le droit français excède les obligations européennes découlant de la directive 2009/136/CE du 25 novembre 2009 en exigeant des moyens d’opposition aux cookies et précise qu’elle a, en tout état de cause, mis en place des moyens valables de s’opposer aux cookies à travers le refus de navigation sur le site et le paramétrage du navigateur.

Elle invoque par ailleurs l’absence de valeur impérative de la recommandation de la Commission telle qu’invoquée dans le rapport du 14 décembre 2016 et soutient à ce titre qu’elle n’avait pas l’obligation de mettre en œuvre une solution de tag management . Enfin, la société précise qu’elle dépose des cookies strictement nécessaires à la finalité de sécurité du site.

La formation restreinte rappelle, comme cela a été évoqué précédemment, qu’il convient d’examiner le respect par les sociétés, des obligations découlant uniquement de l’article 32-II de la loi du 6 janvier 1978 modifiée telle qu’éclairées par la délibération n° 2013-378 de la Commission du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs et non de celles résultant des dispositions de la directive 2009/136/CE.

A ce titre, la formation restreinte relève qu’il ressort du document intitulé la politique d’utilisation des cookies que les sociétés déposent tant des cookies techniques essentiels au fonctionnement du réseau social, tels que des cookies d’authentification, que des cookies first party à finalité publicitaire, c’est-à-dire des cookies issus du domaine facebook.com .

Elle précise qu’en renvoyant au paramétrage du navigateur, les sociétés ne laissent que deux choix aux utilisateurs : soit ces derniers choisissent, via ce paramétrage, de bloquer tous les cookies déposés sur leur équipement terminal, soit ils décident de refuser uniquement les cookies third party c’est-à-dire ceux issus de domaine tiers au site facebook.com . La formation restreinte relève qu’aucune de ces deux solutions n’est satisfaisante. Dans la première solution, le blocage de tous les cookies entraînera nécessairement le blocage des cookies techniques essentiels au fonctionnement du site et empêchera les utilisateurs d’accéder aux services du réseau social. A l’inverse, dans la deuxième solution, en ne bloquant que les cookies third party, les utilisateurs ne pourront s’opposer aux cookies first party à finalité publicitaire déposés par le site facebook.com et seront ainsi privés de toute modalité d’opposition contre ces derniers.

La formation restreinte estime ainsi qu’en l’espèce, le paramétrage du navigateur ne permet pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.

La formation restreinte considère en conséquence que le manquement au II de l’article 32 de la loi du 6 janvier 1978 modifiée est caractérisé.

10.Sur le manquement à l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement

Le 5° de l’article 6 de la loi du 6 janvier 1978 modifiée dispose que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées .

Les sociétés ont été mises en demeure de ne pas conserver de données à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, notamment en supprimant à l’expiration d’un délai de 6 mois les adresses IP utilisées par les inscrits pour se connecter aux comptes.

En défense, la société FACEBOOK IRELAND a indiqué qu’elle collectait deux types d’adresses IP : celles de connexion contenues dans les logs d’accès qui sont conservées 90 jours puis pseudonymisées et celles associées à des actions spécifiques […]. Ces adresses sont quant à elle conservées jusqu’à l’expiration d’un délai de 90 jours à compter de la fermeture du compte Facebook de l’utilisateur.

La société soutient qu’il n’existe aucun fondement légal à la durée de conservation de six mois fixée dans la mise en demeure. S’agissant de la conservation des adresses IP liées à des actions spécifiques, elle fait valoir qu’elle répond à trois finalités : une finalité de sécurité pour lutter contre les contenus illicites, contre le piratage de comptes à grande échelle et aux fins de détection d’activités suspectes sur les comptes des utilisateurs, une finalité de protection des enfants liée à la nécessité d’informer rapidement les autorités compétentes lors de la détection ou lors de signalement d’images pédophiles et enfin, une finalité de réponse aux requêtes des autorités publiques.

La formation restreinte rappelle qu’il appartient aux responsables de traitement de définir une durée de conservation adéquate et de démontrer que celle-ci est nécessaire et proportionnée aux finalités de la collecte.

En l’espèce, au regard de la pluralité des finalités invoquées par la société, la formation restreinte considère qu’elle ne démontre pas en quoi une conservation de l’intégralité des adresses IP des inscrits, associées à des actions spécifiques , pendant toute la durée de vie du compte serait nécessaire.

Par conséquent, la formation restreinte considère que le manquement au 5°de l’article 6 de la loi du 6 janvier 1978 modifiée est caractérisé.

Sur la sanction et la publicité

La formation restreinte considère que les manquements aux articles 6-1°, 6-5°, 7, 8, 32-I, et 32-II de la loi du 6 janvier 1978 modifiée ont persisté au-delà du délai imparti par la mise en demeure de la Présidente de la Commission et justifie que soit prononcée une sanction pécuniaire d’un montant de 150.000 € à l’encontre des sociétés.

Compte tenu de la gravité des manquements et de l’atteinte aux droits et libertés fondamentaux des personnes concernées s’agissant notamment du caractère massif de la collecte et du traitement des données de navigation des internautes et de l’absence de base légale aux opérations de combinaison de données à des fins publicitaires, la formation restreinte décide de rendre publique sa décision.

Elle estime que cette publicité se justifie également compte tenu de la nature des données traitées et du nombre de personnes concernées par les traitements en cause, à savoir au moins 33 millions d’utilisateurs en France.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de

de prononcer à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND, tenues solidairement, une sanction pécuniaire d’un montant de 150.000 €;

de rendre publique sa délibération, qui sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication.

Le Président

Jean-François CARREZ

Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de quatre mois à compter de sa notification.




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 17 mai 2017