Le 26 janvier 2016, la Commission Nationale Informatique et Liberté (CNIL) a mis en demeure le géant de l’Internet Facebook de régulariser sa situation dans un délai de trois mois après avoir constaté de nombreux manquements à la loi française. Dans une tentative d’accentuer la pression sur la société du jeune Mark Zuckerberg, la CNIL a décidé de rendre publique ladite mise en demeure par une décision du 4 février 2016, considérant que « la publicité de la décision de mise en demeure se justifie par la gravité des manquements constatés et de l’atteinte consécutive aux intérêts et droits et libertés fondamentaux des personnes concernées ».
La CNIL ?
Créée en 1978 par la loi Informatique et Libertés, la CNIL est la première autorité administrative indépendante (AAI). C’est une institution étatique chargée d’assurer la régulation du secteur informatique, champ dont le gouvernement exige un contrôle mais qu’il juge préférable de ne pas exécuter personnellement au nom du respect de l’Etat de droit.
La CNIL a principalement pour mission d’assurer la protection des données personnelles des particuliers et d’accompagner les entreprises afin que celles-ci soient en conformité avec la loi. Pour ce faire, la CNIL dispose d’un budget de plus de 16 millions d’euros et de nombreux outils sont à sa disposition. Ainsi, l’AAI dispose de pouvoirs d’investigation, ce qui lui permet notamment d’effectuer des contrôles sur place, sur pièces et en ligne des comportements susceptibles de caractériser des violations de la loi Informatique et Libertés précitée.
A la suite de l’annonce par la société américaine de la modification de sa politique de confidentialité, la CNIL s’est associée en mars 2015 à quatre autorités de protection similaires issues de Belgique, des Pays-Bas, d’Espagne et du Land d’Hambourg en Allemagne afin de procéder à des investigations coordonnées sur Facebook.
Les faits reprochés à Facebook
Les manquements constatés par la CNIL sont multiples, et c’est le moins qu’on puisse en dire au regard du nombre de violations de la loi constatées par l’autorité française. En voici quelques exemples.
Tout d’abord, Facebook trace les usagers d’Internet à travers les boutons de partage, aujourd’hui omniprésents sur les sites internet. Or, ce traçage est effectué lorsque les internautes sont sur des sites tiers, cela même lorsque les individus ne disposent pas d’un compte sur la plateforme américaine, ce qui est contraire au principe de collecte loyale des données.
De plus, Facebook procède à la collecte minutieuse d’informations relatives aux opinions politiques et religieuses de ses membres, ainsi que sur leur orientation sexuelle, sans recueillir de leur part un consentement exprès comme cela est prévu par la loi. En outre, dans son formulaire d’inscription, la plateforme ne met pas en garde les internautes sur leurs droits ni sur l’utilisation qui sera faîte des données collectées par le site.
Afin de s’assurer une rentabilité financière, la société californienne dépose des cookies à finalité publicitaire dans le navigateur des usagers, encore une fois sans recueillir leur consentement. Facebook ne leur propose même pas de s’opposer au croisement de ces informations, alors même que la CNIL a mis en lumière un système complexe de recoupage des données par Facebook, dans le cadre de la création d’un profil publicitaire personnalisé.
Enfin, Facebook transfère les données récoltées sur ses utilisateurs européens vers les Etats-Unis conformément à l’accord dit Safe Harbor, sans tenir compte de l’invalidation de cet accord le 6 octobre 2015 par la Cour de Justice de l’Union Européenne (CJUE) dans un arrêt Max Schrems.
Quelles sont les sanctions possibles ?
Le 9 novembre 2015, le tribunal de première instance de Bruxelles s’est déjà saisi de l’affaire et a interdit à Facebook de tracer les internautes non-inscrits sur sa plateforme grâce à l’utilisation de cookies, jugement dont la firme a fait appel.
En cas de non-respect de la loi Informatique et Liberté, la CNIL peut mettre en demeure les personnes physiques ou morales responsables. Si la mise en demeure est prise en compte et que le destinataire régularise sa situation, aucune suite n’est donnée à la procédure. A l’inverse, si une mise en demeure émise par la CNIL n’est pas suivie d’effet, le destinataire peut se voir infliger une sanction pécuniaire allant jusqu’à 150.000 euros, le double en cas de récidive, autant dire une broutille pour Facebook qui a engrangé 1,56 milliards de dollars pour le seul quatrième trimestre 2015. Force est de constater que la procédure engagée par la CNIL sera potentiellement plus dommageable à la réputation de Facebook (et encore, les décisions de la CNIL n’ont jusque-là jamais suscité de débat de grande ampleur et restent inconnues du grand public) qu’à sa trésorerie, si tant est que le géant du numérique n’obtempère pas et que la CNIL se décide à prononcer une telle sanction.
Pour l’heure, la CNIL est donc condamnée à menacer sans réelle possibilité de sanction, et un problème ancien avait déjà surgit lorsque l’autorité française avait condamné Google, autre géant américain du net. Le projet de loi pour une République numérique démontre que la ministre en charge du dossier, Axelle Lemaire, a bien pris la mesure des difficultés rencontrées par la CNIL. En effet, le texte présenté aux parlementaires prévoit qu’en cas de récidive concernant des manquements à la loi Informatique et Libertés, la CNIL pourra prononcer des sanctions pécuniaires allant jusqu’à 20 millions d’euros ou 4% de leurs chiffre d’affaires. En rendant les avertissements de la CNIL plus crédibles, cette réforme ne pourra avoir qu’un effet positif sur le cours que prendront des dossiers similaires, ceux-ci étant amenés à croître de façon exponentielle dans les prochaines années.
En vérité, seule une transmission du dossier au Procureur de la République est susceptible d’ouvrir une affaire devant la justice susceptible d’inquiéter véritablement la firme américaine. Pour l’heure, il est encore trop tôt pour prédire la tournure que vont prendre les événements. Régularisation ou silence, quelle sera l’attitude adoptée par Facebook ? Sanction pécuniaire plus symbolique qu’effective, transmission du dossier à la justice ou simple mise en garde ? Le comportement de la CNIL n’est pas non plus certain.
Au regard des pouvoirs dont dispose effectivement la CNIL, engager un combat contre Facebook pourrait paraître laborieux, presque vain…si nos libertés fondamentales n’étaient pas dans la balance.