gdpr-article

Nouvelle sanction pécuniaire à l’encontre de Facebook en Espagne

Le 11 septembre 2017, le régulateur espagnol a infligé à Facebook une amende d’1,2 million d’euros pour avoir traité les informations d’internautes sans avoir recueilli leur consentement éclairé.

Selon l’Agence espagnole de protection des données (l’AEPD) – l’équivalent de notre CNIL française – Facebook se sert des données personnelles collectées sans consentement exprès pour effectuer, entre autres, du ciblage publicitaire, non seulement de ses utilisateurs espagnols, mais aussi d’internautes non-inscrits.

Concernant les usagers inscrits à Facebook, l’AEPD estime que les conditions générales du réseau social sont « génériques et manquent de clarté », empêchant ainsi un utilisateur « avec une connaissance moyenne des nouvelles technologies » de véritablement comprendre que ses données (telles que « l’idéologie, le sexe, les croyances religieuses, les goûts personnels et l’historique de navigation ») sont collectées, stockées et exploitées. Il convient de noter que les données des utilisateurs de Facebook sont recueillies aussi bien sur le réseau social lui-même lorsqu’ils sont connectés, que sur des sites web tiers lorsqu’ils sont déconnectés. Se servir de ces données, notamment à des fins publicitaires, sans recueillir le consentement exprès des utilisateurs constitue une « infraction très grave » au sens de la loi espagnole de protection des données personnelles.

Infraction d’autant plus grave que certaines de ces données sont des données dites « particulières » dans le RGPD, ou « sensibles » au sens de la législation actuelle, et qu’en conséquence, leur collecte et leur traitement fait l’objet d’une interdiction de principe, sauf dans des cas limitativement énumérés qui sont liés soit à l’intérêt général, soit au consentement préalable et spécifique que le responsable de traitement doit donc recueillir, en dispensant une information précise sur les finalités poursuivies. En clair, il appartenait à Facebook de recueillir le consentement préalable de chacun de ses membres inscrits si Facebook souhaitait utiliser leurs données personnelles, et en particulier les informations relatives à leurs opinions politiques ou religieuses, à des fins publicitaires. A l’évidence, d’ailleurs, les données sur les orientations politiques, sexuelles ou religieuses seraient considérées à juste titre comme disproportionnées pour une finalité telle que la publicité ciblée.

 Concernant les internautes non-inscrits à Facebook, l’Agence prend acte du fait que grâce à l’installation d’un cookie, Facebook recueille également des informations les concernant, et ce sans avoir obtenu leur autorisation expresse. Cela est possible lorsque que l’internaute non-inscrit se rend sur une page web quelconque mais contenant un bouton Facebook « J’aime », ou encore lorsqu’il se rend sur la page Facebook d’un membre sans être membre lui-même.

On a donc ici une situation particulièrement abusive où un responsable de traitement, Facebook, collecte des données sur des personnes qui n’ont pas même consenti à s’inscrire sur son réseau social, et qui par construction, ne lui ont donc jamais donné quelque consentement que ce soit ! On doit souligner que cette pratique n’est pas nouvelle, déjà en 2011 l’alerte avait été donnée au sujet de ces « shadow profiles ».

Par ailleurs, l’AEPD reproche à Facebook de conserver trop longuement les données qu’elle collecte. En effet, les données sont non seulement conservées, mais continuent aussi à être exploitées (grâce au cookie installé dans l’ordinateur de l’internaute), plus de 17 mois aprèsqu’elles aient été recueillies, et ce même si l’utilisateur « a supprimé son compte et demandé que ses données soient supprimées ».

 Cette décision espagnole n’est pas sans rappeler celle rendue en France par la CNIL le 16 mai 2017. La CNIL avait ainsi relevé plusieurs manquements du réseau social, dont notamment le traçage des internautes non-inscrits à Facebook par le biais du cookie « datr », et les lacunes quant aux informations sur l’utilisation faite des données recueillies dans les formulaires d’inscription.

Ces deux récentes sanctions s’inscrivent dans le cadre de la surveillance exercée par le « Groupe de contact » sur les activités de Facebook. Ce regroupement des régulateurs de cinq pays européens (Pays-Bas, France, Espagne, Allemagne et Belgique) a été créé en 2015 au sein du Groupe de travail de l’article 29 (« G29 ») lorsque Facebook avait annoncé la révision de ses conditions d’utilisation, dont les changements étaient entrés en vigueur le 30 janvier 2015. C’est la Belgique, qui, la première, avait sanctionné le réseau social en lui ordonnant d’arrêter de collecter des informations personnelles relativement aux internautes non-inscrits. Mais pour des raisons de procédure, la cour d’appel de Bruxelles a renversé le jugement en juin 2016. Depuis, la société américaine a continué à développer ses activités et, malgré les nombreuses procédures engagées à son encontre dans plusieurs pays européens (dont l’Allemagne et les Pays-Bas), a même officialisé le 27 mai 2016 le fait qu’elle traquera désormais tous les internautes – y compris donc, les non-inscrits – à des fins publicitaires.

La décision espagnole est donc la première rendue depuis cette annonce officielle, et permet de confirmer qu’aux yeux des régulateurs européens, Facebook doit revoir ses pratiques, constat renforcé par l’entrée en vigueur prochaine du Règlement (UE) 2016/679 (dit « RGPD »). La décision de l’AEPD fait d’ailleurs application des principes clés du RGPD, comme ceux de consentement éclairé (article 4, 11° du nouveau Règlement), ou de transparence dans le traitement des données (article 12 du nouveau règlement).

Les pratiques de Facebook sont donc très clairement, et très gravement contraires aux règles applicables à la protection des données personnelles, et en particulier à celles qui ont pour vocation de redonner aux personnes physiques le contrôle strict des utilisations qui sont faites de leurs données par les responsables de traitement. Le consentement est le concept nodal auquel les responsables de traitement doivent impérativement se conformer, et à l’évidence, l’alourdissement des peines encourues dans le RGPD vise à rappeler aux entreprises qui manipulent la data (en particulier à des fins publicitaires ou marketing) que la plupart du temps, c’est bien à la personne physique et à elle seule de décider.

 A cet égard, l’amende d’1,2 million d’euros prononcée par l’AEPD donne un avant-goût des pouvoirs de sanction qui seront ceux des régulateurs européens à compter de l’entrée en vigueur du RGPD le 25 mai 2018, à savoir des pénalités pouvant atteindre 4% du chiffre d’affaire annuel mondial de l’organisme en cause ou 20 millions d’euros. La décision espagnole d’1,2 million d’euros aura bien entendu un écho nettement plus concret dans les bureaux de Facebook que l’amende de 150.000 euros qui lui été infligée le 16 mai 2017 par la CNIL. En effet, alors que Facebook disposait de 4 mois pour s’opposer à la délibération de la CNIL (soit jusqu’au 16 septembre 2017), il ne semble pas, à ce jour, que le réseau social en ait décidé ainsi. Au contraire, Facebook a annoncé son intention de faire appel de la décision espagnole quelques heures seulement après que celle-ci ait été rendue.

Même si 1,2 million d’euros peut encore sembler dérisoire à Facebook, notamment au regard de ses recettes publicitaires – c’est-à-dire la grande majorité de ses revenus – qui s’élevaient à 9,2 milliards de dollars au trimestre dernier, le vent est peut-être en train de tourner pour les géants du net, et des sanctions telles que les 2,42 milliards d’euros infligés récemment à Google pour concurrence déloyale, seront bientôt susceptibles d’être prononcées en ce qui concerne les données personnelles, sur lesquelles ces entreprises fondent leur modèle économique. Le bras de fer ne fait donc que commencer, mais le RGPD a pour but de largement rééquilibrer les forces en présence.

Plusieurs autres décisions à venir concernent Facebook. Le réseau social a eu l’occasion d’affirmer à plusieurs reprises que les CNIL européennes, au premier rang desquelles celles composant le Groupe de contact, n’étaient pas légitimes à examiner ses pratiques en matière de données personnelles, et que seul le régulateur irlandais, c’est-à-dire celui du pays de son siège social, était en mesure de régler ces questions. On pourrait penser que la ligne de défense de Facebook dans son appel de la décision espagnole ira en ce sens. Mais adopter ce raisonnement ne sera bientôt plus possible : en vertu du RGPD, chacune des CNIL européennes est en effet compétente dès lors que ses citoyens sont visés par un traitement.

 Pendant ce temps, les discussions se poursuivent activement autour du projet de Règlement européen e-privacy, qui aura lui aussi de forts impacts sur les pratiques des entreprises en matière de publicité digitale et notamment d’utilisation des informations des terminaux mobiles et des cookies web pour adresser des impressions publicitaires. Compte tenu de l’intensification des règles qui vont désormais s’imposer à tous les acteurs économiques, il est crucial de s’assurer que les grands acteurs américains qui occupent des parts de marché décisives en matière de publicité digitale et d’analytics, soient obligés de se conformer eux aussi à la règlementation.

Autres Articles

L’or pour Data Legal Drive aux Trophées du droit

L'or pour Data Legal Drive aux Trophées du Droit Moins d’un an après sa création, la LegalTech DATA LEGAL DRIVE voit sa plateforme digitale de pilotage de la conformité RGPD récompensée par le Trophée d’or des Trophées du Droit. Remis à l’occasion du Legal Tech Show...

lire plus

Prêt pour votre mise en conformité RGPD ?