Facebook sanctionné par la Commission européenne et la CNIL

263

Finalement, Facebook aura été pénalisé deux fois pour plusieurs de ses manquements : par la Commission européenne, en raison d’une négligence dans l’exercice de son devoir d’information à la suite du rachat de WhatsApp et en France, par la CNIL, pour le non-respect de plusieurs principes de la loi « Informatique et libertés ».

Après Google et Amazon, c’est au tour de Facebook d’être dans la ligne de mire en Europe. Le célèbre réseau social vient en effet d’être sanctionné à deux reprises, d’une part par la Commission européenne, d’autre part, en France, par la Commission nationale de l’informatique et des libertés (CNIL). Dans les deux cas, il lui est reproché un certain nombre de pratiques douteuses, quant aux traitements des données personnelles de ses utilisateurs. Certains de ces faits ne sont pas nouveaux et ont déjà pu appeler l’attention d’autres institutions ou juridictions dans le monde. Tel a été le cas en 2016, s’agissant du partage de données avec celles des utilisateurs de WhatsApp. Deux autorités européennes de protection des données personnelles avaient alors mis en demeure le réseau social de cesser ces pratiques, le G29 ayant également émis un communiqué à ce sujet (voir La rem n°41, p.20). C’est précisément sur ces mêmes pratiques que la Commission européenne s’est prononcée à son tour. La CNIL a, quant à elle, sanctionné d’autres manquements.

Le manquement à l’obligation d’information de la Commission lors du rachat de WhatsApp

La sanction infligée par la Commission européenne trouve sa justification dans le rachat de WhatsApp par Facebook en 2014. L’opération, qui s’élevait à environ 22 milliards de dollars1, avait été accompagnée d’engagements forts de la part du réseau social. En effet, celui-ci promettait de maintenir une autonomie entre les deux services. Aucune mutualisation n’était envisagée, ce qui semblait logique au vu de la politique de WhatsApp vis-à-vis de la publicité et de l’utilisation des données personnelles de ses utilisateurs. En l’état de ces informations, la Commission européenne avait autorisé cette opération de concentration sur le fondement du règlement du 20 janvier 2004 relatif au contrôle des concentrations entre entreprises. Elle avait même anticipé l’hypothèse d’un partage des données propres à chaque application. Les engagements précités sont pourtant restés de courte durée. En effet, à l’occasion d’une mise à jour des conditions générales d’utilisation de WhatsApp en août 2016, il est apparu que le numéro de téléphone des utilisateurs de la messagerie était partagé avec le réseau social, ainsi que d’autres informations personnelles. Si le but affiché était d’optimiser les prestations et de concevoir de nouveaux outils, la possibilité d’un usage publicitaire des données n’était pas exclue. Des personnes, qui n’utilisaient que l’une des deux applications, avaient également vu leurs données être partagées. Enfin, les possibilités d’opposition à ce partage étaient limitées à un délai de 30 jours.

Au-delà de l’intervention des autorités de protection des données personnelles, la Commission européenne s’est souciée du fait que ces pratiques ne lui avaient pas été dûment communiquées lors du rachat, alors même que leur faisabilité technique était déjà connue. L’article 11 du règlement précité oblige pourtant les parties à une opération de concentration, faisant l’objet d’une enquête, à fournir tous les renseignements nécessaires permettant d’éclairer les effets de celle-ci. C’est pourquoi la Commission a dans un premier temps émis une communication des griefs à l’encontre de Facebook, le 20 décembre 20162. Estimant que le manque d’informations fiables aurait pu préjudicier à son appréciation de l’opération, elle inflige finalement une sanction pécuniaire de 110 millions d’euros à Facebook par une décision du 18 mai 2017. Il est à noter que la Commission limite elle-même le fondement de cette sanction à de purs motifs de transparence. Elle rappelle que cette décision ne remet pas en cause la validité de l’opération de concentration, qui était elle-même fondée sur d’autres facteurs pertinents tenant aux marchés des services de communication grand public, des réseaux sociaux et de la publicité. Elle est de plus sans préjudice des procédures nationales engagées à l’encontre de Facebook, telles que celles précitées dans l’introduction, relatives aux mêmes pratiques. La sanction infligée invitera donc les entreprises, et notamment les GAFA, à plus de prudence vis-à-vis des institutions européennes.

Les manquements aux principes de la loi du 6 janvier 1978

La sanction de la Commission européenne fait elle-même écho à celle infligée par la CNIL quelques jours auparavant. Les reproches adressés au réseau social portaient sur la non-conformité de ses méthodes de collecte et de traitement des données personnelles des utilisateurs aux principes de la loi du 6 janvier 1978. À la suite d’une enquête, la CNIL avait déjà émis une mise en demeure à l’encontre de Facebook, le 26 janvier 2016, au sujet de ces pratiques3. Il apparaissait que le réseau social pouvait suivre la navigation de personnes non membres sur des sites tiers, à l’aide d’un mouchard – le cookie « datr » – déposé lors de la visite d’une page Facebook publique (voir La rem n°37, p.23). De même, le consentement des membres n’était nullement recueilli dans les formes requises lors de la collecte de données sensibles, telles que les opinions religieuses, politiques, l’orientation sexuelle…

Aucune information ne leur était de plus délivrée quant aux finalités de cette collecte. Enfin, l’utilisation des données à des fins publicitaires n’était nullement signalée aux membres. Ceux-ci ne pouvaient pas non plus s’opposer aux pratiques de profilage, qui consistent à combiner les données qu’ils ont eux-mêmes divulguées au réseau social avec des données d’autres provenances, telles celles de partenaires commerciaux. Il y avait là de nombreux manquements au respect des droits des personnes (information préalable, consentement, opposition) ainsi qu’aux obligations du responsable de traitement (loyauté de la collecte, proportionnalité, principe de finalité), prévus par la loi « Informatique et libertés ».

Les réponses apportées par Facebook ayant été jugées insuffisantes, la CNIL a décidé de lui infliger une sanction de 150 000 euros d’amende, sa décision ayant été rendue publique4. On rappellera que les faits constatés donnent également lieu à d’autres procédures, toujours en cours, de la part de plusieurs autorités nationales de protection des données personnelles (Hambourg, Pays-Bas, Espagne, Belgique).

Perspectives

Ces deux décisions viennent utilement rappeler au géant américain la nécessité de respecter le cadre européen de protection des données personnelles. S’ajoute à cela une réflexion plus globale sur la qualification de ce type de services, que l’on tend de plus en plus à considérer comme des éditeurs. La révélation récente des guides de modération de Facebook a ainsi relancé le débat quant à sa capacité à identifier et distinguer les contenus postés par les utilisateurs, et à procéder à leur suppression5. La question est d’autant plus sensible pour la répression des discours de haine, sujet pour lequel la Commission avait déjà supervisé, en 2016, la rédaction d’un code de bonne conduite avec Facebook, Twitter, YouTube et Microsoft6 (voir La rem n°41, p.51).

L’un des principaux objectifs consistait à garantir un retrait des contenus litigieux en moins de 24 heures. L’insuffisance, encore constatée, de ces engagements qui ont été pris explique que le sujet soit maintenant abordé au niveau de la révision de la directive « Services de médias audiovisuels »7. Une obligation de filtrage plus efficace pourrait ainsi être mise à la charge des hébergeurs, dont les réseaux sociaux, remettant un peu plus en cause leur prétendue neutralité. Leur statut pourrait donc être profondément redéfini au vu de ces évolutions, tant pour la gestion des contenus que pour celles des données des utilisateurs.

Sources :

  1. Déc. Comm. UE, 3 octobre 2014, n° M.7217, Facebook/WhatsApp ; voir également , « L’alliance Facebook/WhatsApp approuvée par la Commission européenne »,
    C. Verney, RLC, n° 42, janvier 2015, p. 24-25.
  2. Communication des griefs du 20 décembre 2016 adressée à Facebook relative à des informations trompeuses sur le rachat de WhatsApp.
  3. Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés Facebook Inc. et Facebook Ireland.
  4. Délibération de la formation restreinte SAN –2017-006 du 27 avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés Facebook Inc. et Facebook Ireland.
  5. Voir https://www.theguardian.com/news/series/facebook-files.
  6. « La Commission européenne et les entreprises des technologies de l’information annoncent un code de conduite relatif aux discours haineux illégaux en ligne », communiqué de presse, 31 mai 2016, http://europa.eu/rapid/press-release_IP-16-1937_fr.htm
  7. « Statement by Vice-President for the Digital Single Market Andrus Ansip on the general approach agreed in the Education, Youth, Culture and Sports Council », communiqué de presse, 23 mai 2017.

LAISSER UN COMMENTAIRE