Archives par mot-clé : Données personnelles

Données personnelles, RGPD et fichiers pénaux : l’ensemble de loi de 1978 est à réécrire

Publié le par

Quarante ans après sa version initiale, la loi « Informatique et Libertés » de 1978 va subir un lifting historique pour transposer le « Paquet européen » sur la protection des données qui entre en vigueur le 25 mai 2018. Mais il y a un risque d’insécurité juridique et un manque de lisibilité.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Le projet de loi sur la protection des données personnelles (1) vise à permettre l’application du « paquet européen de protection des données » composé, d’une part, du règlement européen pour la protection des données (RGPD) et d’autre part, de la directive applicable aux fichiers de la sphère pénale, tous deux applicables à compter de mai 2018. En faisant l’analyse du projet de loi, on relève des différences significatives de terminologie entre les deux textes.

Pouvoirs de la Cnil et marges des Etats
Ces différences se retrouvent dans plusieurs articles de la loi
« Informatique et Libertés » du 6 janvier 1978 pourraient donner lieu à des interprétations et des difficultés de compréhension de certaines notions, qui seront sources d’insécurité juridique. A cela s’ajoutent les critiques de la Commission nationale de l’informatique et des libertés (Cnil) et du Conseil d’Etat qui pointent le « manque de lisibilité » du texte (voir encadré page suivante). Le titre Ier du projet de loi, qui traite des dispositions communes au RGPD et à la directive européenne « Fichiers pénaux », définit les missions, les pouvoirs et les modalités de contrôle de la Cnil. On peut ainsi relever que l’Autorité de contrôle pourra « présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement et de la loi du 6 janvier 1978 ».
Cette disposition interroge dans la mesure où seul le juge est le garant de l’interprétation du droit applicable aux données à caractère personnel.
La Cnil ne peut se voir ouvrir ce droit. Par ailleurs, à quel titre la Cnil interviendrait-elle dans le cadre d’une procédure civile ou d’une procédure pénale ? Les débats parlementaires auraient dû apporter des réponses sur ce point. Le projet de loi ouvre également la possibilité pour la Cnil de prononcer des sanctions dans un ordre de gradation plus pédagogique et mieux compréhensible par les responsables de traitement des données. Elle pourra, en outre, labelliser les objets connectés. Enfin, le titre Ier du projet de loi reprend le principe de l’interdiction de traitement de données dites
« sensibles » sauf en cas de traitement nécessaires à la recherche publique après autorisation de la Cnil et élargit le champ de ces données : interdiction de traiter des données génétiques, biométriques aux fins d’identifier une personne physique de manière unique, données concernant l’orientation sexuelle d’une personne.
S’agissant du titre II du projet de loi « RGPD », on relève que, en cas de divergences de législations entre Etats membres de l’Union européenne (UE) liées aux marges de manœuvre laissées à ces derniers sur plusieurs points, la loi nationale s’applique dès lors que la personne réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. Faisant application de ces marges de manœuvres, le projet de loi limite la portée des obligations et des droits des personnes concernées (droit à l’information droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité, droit d’opposition, etc.), lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs (sécurité nationale, défense nationale, sécurité publique, prévention et la détection d’infractions pénales, protection de l’indépendance de la justice et des procédures judiciaires, objectifs importants d’intérêt public général de l’UE ou d’un Etat membre,…). Le projet de loi prévoit également, afin de renforcer l’obligation de sécurité, que les responsables de traitement seront tenus par une obligation de chiffrement de bout en bout où seules les personnes autorisées à accéder aux données auront la clef de déchiffrement.

Traitements « pénaux » : conditions strictes
Et ce, alors que par ailleurs le Conseil constitutionnel a rendu le 30 mars 2018 une décision où les Sages jugent conforme à la Constitution française l’article 434-15-2 du code pénal qui punit de trois ans de prison et de 270.000 euros d’amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ». En sus, le projet de loi renforce la protection des données de santé afin qu’elles ne puissent être utilisées pour fixer les prix des assurances ou à des fins de choix thérapeutiques et médicaux et la sélection des risques.
Quant au titre III du projet de loi « RGPD », il concerne plus spécifiquement les dispositions portant transposition de la directive « Fichiers pénaux ». On retiendra dans ce cadre que l’ensemble des règles applicables aux traitements de données à caractère personnel en matière pénale – prévues par cette directive européenne – sont regroupées aux articles 70-1 à 70-27 (nouveaux) de la loi « Informatique et Libertés » du 6 janvier 1978. Le projet de loi français prévoit que le traitement des données sensibles à des fins pénales n’est possible que s’il répond à des conditions strictement définies : la nécessité absolue d’un traitement de données, l’existence de garanties appropriées pour les droits et libertés de la personne concernée, l’autorisation du traitement par un acte législatif ou réglementaire, la protection des intérêts vitaux d’une personne physique. De plus, le traitement des données sensibles à des fins pénales doit porter sur des données manifestement rendues publiques par la personne concernée (2).

Exactitude des données et profilage interdit
En outre, le projet de loi « RGPD » prévoit que les données à caractère personnel figurant dans les traitements en matière pénale mis en oeuvre par les autorités compétentes devront, « dans la mesure du possible », distinguer celles qui sont fondées sur des faits de celles qui reposent sur des appréciations personnelles – principe de l’exactitude des données (3). Les interdictions relatives aux décisions individuelles automatisées (4) sont applicables aux traitements de données personnelles en matière pénale – interdiction du profilage, par exemple (5). Il convient également de relever que le gouvernement a retenu des restrictions aux droits des personnes dans le cadre de ces traitements particuliers. Ces restrictions s’appliquent notamment pour éviter de gêner les enquêtes ou procédures judiciaires ou nuire à la prévention ou à la détection d’infractions pénales et à l’exécution de sanctions pénales ; protéger la sécurité publique ou la sécurité nationale ; ou encore garantir les droits et libertés d’autrui (6). Ces restrictions pourront consister à retarder ou limiter la fourniture des informations supplémentaires susceptibles d’être transmises à la personne concernée ou de ne pas les fournir, à limiter en totalité ou en partie le droit d’accès (le responsable du traitement devra consigner les motifs de fait ou de droit fondant da décision et les mettre à disposition de la Cnil) ou à ne pas informer la personne concernée de son refus de rectifier ou d’effacer les données la concernant ou le limiter le traitement. La personne concernée par ces traitements devrait toujours avoir la possibilité d’exercer ses droits par l’intermédiaire de la Cnil. C’est à cette dernière qu’il reviendra d’informer la personne concernée de son droit d’exercer un recours (7).
On notera que l’article 20 du projet de loi est une demande d’habilitation du gouvernement à légiférer par voie d’ordonnance, afin de procéder à une réécriture de l’ensemble de la loi du 6 janvier 1978, en vue notamment de mettre en cohérence l’ensemble de la législation applicable à la protection des données à caractère personnel. Cette ordonnance devra être adoptée dans un délai de six mois suivant la promulgation de la loi relative à la protection des données personnelles. Ce texte arrive péniblement et non sans mal en fin de processus législatif, le Sénat et l’Assemblée nationale n’étant pas parvenus à un accord – la commission mixte paritaire a échoué à trouver un consensus (8). Les sénateurs ont maintenu leur projet de loi qu’ils ont voté le 19 avril dernier à l’unanimité. Mais les députés auront le dernier mot le 14 mai prochain. @

Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit »,
dont la 7e édition (2018-2019) est parue aux éditions Dalloz.

ZOOM

Ce qu’en disent la Cnil et le Conseil d’Etat : « Manque de lisibilité »
Si le texte constitue « un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques », il soulève plusieurs critiques de la part de la Commission national de l’informatique et des libertés (Cnil), qui, dans son avis du 30 novembre 2017 (9), regrette que certaines « propositions n’aient pas été retenues, tendant notamment à l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives » ou encore « à l’adaptation de ses procédures pour lui permettre de faire face à l’augmentation d’activité liée au nouveau cadre européen ».
Plus généralement, l’Autorité de contrôle déplore « le risque important de manque de lisibilité » des nouvelles dispositions du fait, notamment, du choix du projet de loi, consistant à n’opérer que les modifications « a minima » nécessaires à la mise en oeuvre du règlement et de la directive européens, et à renvoyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une ordonnance ultérieure. La Cnil appelle dès lors à l’adoption la plus rapide possible de cette ordonnance. Quant au Conseil d’Etat, dans son avis du 7 décembre 2017 (10), i l n’apporte pas de nouveaux éléments par rapport à l’avis de la Cnil. La Haute juridiction souligne cependant que les choix légistiques aboutissent à « un résultat très insatisfaisant en termes de lisibilité du droit positif ». @

Pourquoi Mark Zuckerberg aurait dû démissionner

Publié le par

En fait. Le 8 mai, Facebook a confirmé avoir procédé au plus vaste remaniement de son top-management depuis ses 14 ans d’existence – information révélée
par Recode.net. Mais son fondateur Mark Zuckerberg reste en place malgré le scandale historique de la fuite des données de millions d’utilisateurs.

En clair. Le fondateur de Facebook, groupe aujourd’hui constitué de Facebook, WhatsApp, Instagram ou encore Messenger, reste intouchable et tout-puissant. Le jeune dirigeant, qui aura 34 ans le 14 mai prochain, n’a pas à s’inquiéter pour son poste de PDG malgré le scandale planétaire de l’affaire historique « Cambridge Analytica », du nom de la société britannique qui a fait main basse sur les données de près de 100 millions d’utilisateurs du premier réseau social mondial. Alors qu’il est directement mis en cause et jugé responsable en tant que dirigeant, Mark Zuckerberg n’a pas voulu démission ni endosser la responsabilité de cette faillite dans la protection des données d’une grande partie des 2,2 milliards d’utilisateurs.
Plus jeune multimilliardaire de la planète – avec un patrimoine personnel de 70,7 milliards de dollars en 2018, selon Forbes –, le patron hyermédiatique a en outre été accusé de légèreté. En avril, des investisseurs américains tels que Open Mic ou le fonds de retraite de la ville de New York lui ont demandé de démissionner. D’autres voix se sont prononcées pour qu’il parte. D’autant que l’action Facebook a chuté de 15 % – soit quelque 100 milliards de volatilisés ! – depuis le début de cette affaire, laquelle laissera des traces et aura des suites. Cette déroute intervient après que le réseau social ait été accusé d’avoir été manipulé par la Russie pour l’élection de Trump et d’être un média social de fake news. Mais celui qui est aussi l’actionnaire de référence du groupe (1), entré en Bourse il y aura six ans le 18 mai prochain, et président du conseil d’administration (lequel n’a pas jugé bon de le destituer), a clairement dit dès
le début du scandale – notamment dans une interview au mensuel culturel américain The Atlantic (2) – qu’il n’avait pas l’intention remettre sa démission.
Pas plus que son bras droit, la DG du réseau social Sheryl Sandberg qui reste en place dans cette nouvelle organisation, n’a envisagé de partir de son propre chef : « Je suis à la disposition de Mark et de notre conseil d’administration », avait-t-elle pourtant dit le 6 avril dernier. « Zuck », lui, s’en tire à bon compte, du moins pour l’instant, après s’être contenté de présenter ses excuses devant le Congrès des Etats-Unis. Cela sera-t-il suffisant devant la Commission européenne, plus sourcilleuse sur la protection des données personnelles ? @

Le tabou de la propriété des données personnelles, éléments de la personnalité et objets de commerce

Publié le par

Parler de la « propriété » des données personnelles est un quasi-blasphème
pour certains. Autant dans l’entreprise, ces dernières font partie du fonds de commerce, autant pour les individus, elles ne sont pas considérées comme tel. Les contrats suffisent-ils ou faut-il créer un droit spécifique ?

Par Winston Maxwell, avocat associé, et Maxime Cordier, stagiaire*, Hogan Lovells

Les entreprises traitent régulièrement les données comme un élément de patrimoine. L’exemple le plus connu est la liste des clients, élément du fonds de commerce (1). Cette liste peut être vendue dans le cadre d’une cession de fonds de commerce,
et si une entreprise concurrente
se l’approprie sans autorisation, le propriétaire du fonds de commerce peut demander réparation en justice. La liste de clients peut figurer au bilan comme une immobilisation incorporelle. Dans les fusions et acquisitions, la valeur des données peut représenter une partie importante du prix de cession. Alors, pourquoi donc autant de difficulté à parler de la « propriété » de données ?

Propriété pour un marché plus efficace ?
La propriété des données pose question sous l’angle de la personne qui les génère,
et sous l’angle de l’entreprise qui les collecte. En ce qui concerne l’individu, le Conseil d’Etat rejette l’idée qu’une personne puisse être propriétaire de ses données à caractère personnel (2). Celles-ci sont conçues comme un élément de la personnalité, et par là, incessibles. La reconnaissance d’un tel droit limiterait pour les pouvoirs publics la possibilité de protéger les individus. Le Conseil d’Etat propose la reconnaissance d’un droit à l’« autodétermination informationnelle », sur le modèle allemand. D’autres encore appellent à une gestion collective des données personnelles, pensées comme un « bien commun » (3). Certains soutiennent que l’individu devrait disposer d’un droit de propriété afin de créer un marché et corriger le déséquilibre entre les individus et certaines grandes plateformes Internet. L’avocat Alain Bensoussan propose de passer d’une logique du don à une logique de l’échange, nécessitant la reconnaissance par les pouvoirs publics d’un droit de propriété sur les données personnelles (4). Utiliser les données comme une monnaie d’échange est reconnu dans le projet de directive européenne de 2015 concernant certains aspects des contrats de fourniture de contenu numérique : « Dans l’économie numérique, les acteurs du marché ont souvent et de plus en plus tendance à considérer les informations concernant les particuliers comme ayant une valeur comparable à celle de l’argent. Il est fréquent que du contenu numérique soit fourni, non pas en échange d’un paiement, mais moyennant une contrepartie non pécuniaire, c’est-à-dire en accordant l’accès à des données à caractère personnel ou autres » (5). Les données à caractère personnel seraient à la fois un objet de commerce et un élément de la personnalité, protégé en tant que droit fondamental.
Les droits de propriété intellectuelle classiques ne reconnaissent pas les données brutes comme un objet de protection. La protection sui generis bénéficient aux bases
de données non « créatives » si elles ont fait l’objet d’un « investissement substantiel du point de vue qualitatif ou quantitatif » (6). Néanmoins, les données en elles-mêmes ne sont pas protégées. Beaucoup de bases de données issues d’objets connectés pourraient ne pas bénéficier la protection sui generis de la directive, soit qu’elles ne sont pas créatives, soient qu’elles ne pourraient bénéficier de la protection sui generis. Certains auteurs soutiennent que la création d’objets connectés avec des capteurs n’entrerait pas dans le calcul de « l’investissement substantiel » nécessaire pour la protection sui generis des bases de données (7). En tout état de cause, cette protection sui generis ne permet pas une protection entière de la base de données, puisque des extractions et réutilisations de parties non substantielles du contenu de la base de données peuvent être réalisées tant qu’elles ne causent pas de préjudice injustifié aux intérêts légitimes du fabricant de la base.

La protection du secret des affaires
La directive européenne de 2016 sur le secret des affaires (8) permet de protéger le détenteur de données personnelles contre l’acquisition, l’usage et la divulgation illicite de certains secrets. Cependant, son champ d’application se limite aux informations
qui « ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ». Pour certains auteurs (9), il n’est pas assuré que les données produites par les capteurs des objets connectés puissent être protégées. Les données ne seraient d’ailleurs protégées que contre certaines actions illégales. Les prérogatives issues de la protection par le « secret des affaires » ne peuvent être qualifiées de droit de propriété, mais ce droit consacre néanmoins une certaine protection, à l’instar de la protection accordée à une liste de clients d’une entreprise (10).

Créer un droit de propriété spécifique ?
Cependant, faut-il nécessairement un droit de propriété spécifique ? Certains ne le pensent pas, car le marché des données fonctionne très bien uniquement sur la base de contrats (11). Ils citent le cas des droits sportifs. Dans de nombreux pays, les événements sportifs ne bénéficient pas d’un droit de propriété intellectuelle. Et pourtant les droits de rediffusion se négocient à prix d’or ! La raison est liée à la possibilité technique de contrôler l’accès au stade. L’organisateur de l’événement sportif peut autoriser un seul diffuseur à accéder au stade pour filmer l’événement, créant ainsi une rareté qui se monnaie. Selon le centre de recherche de la Commission européenne, le Joint Research Centre (JRC), les données seraient comme un match de foot : pas de droit de propriété intellectuelle spécifique, mais une maîtrise technique de l’accès aux données qui permet une négociation efficace par voie contractuelle. « Je donne accès
à mes données à Alice, mais pas à Bob ». Si le marché s’organise efficacement autour de contrats – comme c’est le cas pour les événements sportifs – aucun besoin de créer un droit de propriété spécifique. Le règlement général sur la protection des données,
dit RGPD et applicable à partir du 25 mai 2018, reconnaît une série de droits pour l’individu, et impose une série d’obligations au responsable du traitement pour garantir le respect des droits de l’individu (lire encadré ci-dessous). Le RGPD n’utilise jamais
le terme « propriété » pour caractériser les droits de l’individu ou des droits du responsable du traitement. Et pourtant, selon le JRC, le RGPD reconnaît implicitement un droit de propriété pour le responsable de traitement (12). Il s’agit d’un droit de propriété implicite pour l’ensemble des droits résiduels liés aux données. @

Maxime Cordier est étudiant
« Data Protection Officer » (DPO), à l’université Paris II
Panthéon-Assas, et stagiaire au département
« droit et contrats des données » de Hogan Lovells.

ZOOM

D’après le RGPD, le propriétaire des données est le responsable du traitement
Le règlement général sur la protection des données (RGPD), applicable à partir du
25 mai 2018, répartit les droits sur les données personnelles entre deux acteurs : le responsable de traitement et la personne concernée. La personne concernée dispose du « pouvoir d’initiative » dans la création et la mise à disposition de droits sur ses données personnelles (13). Parmi ces droits, les plus significatifs sont le droit d’obtenir une information préalable, le droit d’accès ou le droit de rectification. Le responsable
de traitement est lui le « gardien des données » et dispose de tous les « droits » qui ne sont pas affectés à la personne concernée, ou qui ne sont pas limités par d’autres droits de la personne concernée. En reconnaissant que le responsable du traitement détient le droit de déterminer la finalité et les moyens de traitement, le RGPD confère un degré de sécurité juridique à son statut de « propriétaire » des données.
Propriétaire des droits résiduels , le responsable du traitement reste néanmoins fortement limité dans son exploitation des données. Les contraintes sont d’origine réglementaire : le RGPD, la directive « ePrivacy », le secret bancaire, le secret
médical, … D’autres textes réglementaires limiteront sa marge de manœuvre. Mais
les contraintes peuvent également être d’origine contractuelle, notamment en cas de partage de données entre plusieurs responsables du traitement, chacun lié par un contrat définissant précisément son rôle. Dans un consortium lié à l’Internet des objets, il pourra exister plusieurs responsables du traitement, chacun responsable pour l’exploitation des données en vue de la réalisation d’une finalité spécifique : recherche, amélioration du produit, sécurité, publicité…

Objets connectés, vie privée et données personnelles : une équation difficile pour protéger l’utilisateur

Publié le par

Malgré un vaste arsenal juridique limitant les impacts négatifs des objets connectés, les risques d’intrusions demeurent pour les utilisateurs de ces appareils – du compteur électrique à la montre connectée, en passant par la
« mesure de soi ». Recueillir leur consentement est un préalable.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Selon une étude menée par Gartner, 20 milliards d’objets connectés seraient en circulation en 2020 (1). Qu’il s’agisse du domaine de la santé, du bien-être, du sport, de la domotique ou encore du loisir, l’attrait des utilisateurs pour les objets connectés est caractérisé. Paradoxalement, bien qu’avertis, ces derniers ne mesurent pas toujours les risques qui pèsent sur leur vie privée et leurs données personnelles. Ces deux notions – vie privée et données personnelles – ne sont pas synonymes, bien qu’intrinsèquement liées (2).

* Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit », dont
la 7e édition (2018-2019) paraîtra en novembre 2017 aux éditions Dalloz.

Données personnelles ou droit de la concurrence : Facebook ne se fait pas que des amis

Publié le par

Alors que Facebook a franchi la barre des 2 milliards d’utilisateurs, des autorités nationales et européenne s’y intéressent de plus en plus comme en témoignent les sanctions prononcées récemment à son encontre, en matière de données à caractère personnel ou en droit de la concurrence.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Dans sa délibération du 27 avril 2017 (1), rendue publique le 16 mai suivant (2), la formation restreinte de la Cnil (3) a prononcé une sanction de 150.000 euros à l’encontre de Facebook. Cette sanction faisait suite à la mise en demeure, datée du 26 janvier 2016, par laquelle la Cnil, constatant plusieurs manquements à la loi informatique et libertés, avait demandé à Facebook de se mettre
en conformité. Plus largement, cette décision s’inscrit dans le prolongement d’une action conduite par plusieurs autorités nationales de protection
des données décidée à la suite du changement par le réseau social de sa politique
de confidentialité.

Lois nationales et acteurs globaux du Net
La Commission européenne a, quant à elle, prononcé une amende de 110 millions euros à l’encontre de Facebook pour avoir communiqué des informations inexactes ou dénaturées dans le cadre de l’enquête qu’elle a menée au titre du rachat de WhatsApp par Facebook en 2014. Cette sanction a été publiée le 18 mai dernier (4) (voir encadré page suivante). Ces procédures engagées à l’encontre de Facebook en Europe et en France démontrent l’inégalité des moyens d’action juridique existants et marquent la volonté des autorités de renforcer le montant des sanctions en matière de protection des données jugé trop peu dissuasif. L’adoption du règlement européen du 27 avril 2016 sur la protection des données personnelles (5) va résolument dans ce sens en augmentant considérablement le montant des sanctions prononcées par les « Cnil » en Europe. Sur ce point, le droit de la concurrence apparaît plus dissuasif puisqu’il prévoit déjà des sanctions dont le montant est proportionnel au chiffre d’affaires de l’entreprise condamnée. A propos de la sanction de Facebook en France par la Cnil, la délibération de cette dernière contient des enseignements intéressants notamment sur l’applicabilité de la loi française lorsqu’un responsable de traitement est établi dans plusieurs Etats de l’Union européenne (UE). Rappelons en effet que la loi « Informatique et libertés » (6) s’applique si le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi (7) et que la Cnil peut exercer un contrôle sur tout traitement dont les opérations sont mises en oeuvre, même partiellement, sur le territoire national, y compris si le responsable du traitement est établi dans un autre Etat membre de l’UE (8). Pour déterminer l’applicabilité du droit français en l’espèce, la Cnil va examiner les deux critères énoncés par la directive 95/46/CE sur la protection des données : d’une part, l’existence d’un établissement ; d’autre part, la mise en oeuvre du traitement dans le cadre de ses activités. A cet égard, il est intéressant de souligner que la Cnil a souhaité se référer au texte européen (9) plutôt qu’à celui de la loi française « Informatique et libertés ». Dans sa délibération, la Cnil fait référence à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et à son interprétation large de la notion d’établissement à l’appui de son raisonnement (10). Ainsi, la formation restreinte considère que Facebook doit être qualifié d’établissement car « Facebook France constitue une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de marketing » et participe dans le cadre de ses activités aux traitements en cause. Cette analyse va à l’encontre de celle avancée par Facebook qui contestait la compétence de la Cnil au profit de la législation irlandaise et, par conséquent, de l’autorité irlandaise seule autorité compétente pour contrôler le traitement des données personnelles des utilisateurs du service en Europe. Il est également intéressant de relever que la Cnil adopte la position de la CJUE qui s’était pourtant prononcée dans un contexte différent puisque, contrairement à l’arrêt « Google Spain » cité par la Cnil, « il n’existe aucun risque de contournement des dispositions européennes », Facebook ne contestant pas l’applicabilité du droit européen mais celui du droit français.

Compétence territoriale étendue ?
La Cnil se positionne donc en faveur d’une compétence territoriale étendue pour affirmer la compétence de la loi « Informatique et libertés », sa propre compétence
et prononcer une sanction à l’encontre de Facebook. Cette analyse doit être prise en compte par les responsables de traitements qui sont établis dans plusieurs Etats de l’UE notamment à l’approche de l’entrée en vigueur – à partir du 25 mai 2018 – du règlement européen qui étend le champ de la compétence territoriale. En effet, avec
le nouveau règlement, la personne concernée pourra saisir aussi bien l’autorité de contrôle de l’Etat membre où est situé le responsable du traitement ou son sous-traitant que l’autorité de contrôle dans lequel se trouve sa propre résidence ou son lieu de travail, voire le lieu où la violation alléguée aurait été commise. La décision de la Cnil en France apporte également un certain nombre de précisions au regard des règles relatives à la protection des données à l’approche de l’entrée en vigueur du règlement européen sur la protection des données.

Six manquements de Facebook à la loi française
La délibération de la Cnil sanctionne Facebook au titre de six manquements aux obligations énoncées par cette loi, à savoir : l’obligation d’information, l’obligation de disposer d’une base légale pour les traitements, l’obligation d’une collecte loyale des données, l’obligation d’un consentement exprès pour les données sensibles, l’obligation de mettre à disposition un moyen valable pour s’opposer aux cookies, et l’obligation
de respecter une durée de conservation des données. La délibération de la Cnil est riche en enseignement, notamment sur les manquements au regard de l’obligation d’information. A ce titre, la Cnil relève que la politique d’utilisation des données de Facebook ne précise ni les droits dont disposent les utilisateurs ni les informations relatives au transfert de données hors de l’UE. Elle considère que Facebook doit afficher directement l’information sur le formulaire de collecte et non pas via un lien figurant sur le formulaire d’inscription.
Concernant cette fois la combinaison massive de données pour le ciblage publicitaire, la Cnil relève qu’« aucun des documents mis à la disposition des utilisateurs […] ne mentionne expressément la combinaison de données », Ainsi, si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce
soit lors de la création de leur compte ou a posteriori. Enfin, sur l’utilisation du cookie
« datr », la Cnil relève que l’information « ne permet pas aux internautes et en particulier aux internautes non-inscrits sur le réseau social, d’être clairement informés
et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils
se trouveront sur un site tiers comportant un module social ». Sur les autres manquements, Facebook ne recueille pas le consentement exprès des utilisateurs lorsqu’ils renseignent des données sensibles et que le paramétrage du navigateur ne permet pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.
La Cnil a donc prononcé une sanction de 150.000 euros à l’encontre du réseau social, soit le maximum qu’elle peut aujourd’hui infliger (ce montant pouvant être porté au double en cas de récidive). Cependant, ce montant prévu par la loi « Informatique et liberté » apparaissant peu inadapté au regard de la potentielle gravité des violations de la législation et à la puissance de certains responsables de traitements qui s’en rendent coupables, le nouveau règlement européen prévoit, en fonction des atteintes, des sanctions allant jusqu’à 20millions d’euros ou, dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total (11). La délibération de la Cnil amorce l’entrée en vigueur de la nouvelle réglementation européenne qui renforce les obligations de protection en matière de données personnelles. A titre d’illustration, le règlement viendra renforcer le droit à l’information en ajoutant notamment à la liste des informations à fournir : l’identité et les coordonnées du responsable de traitement, le cas échéant, celles de son Data Protection Officer (DPO), les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement, les catégories de destinataires de ces données, ainsi que, éventuellement, le transfert de ces données vers un pays tiers. En outre, le règlement prévoit une obligation d’information spécifique en matière de profilage et le consentement devra être recueilli pour toutes les finalités, à défaut de quoi il ne peut être considéré comme valable. @

* Ancien bâtonnier du Barreau de Paris.

ZOOM

Sanction de Facebook par la Commission européenne
Facebook a été sanctionné par l’Union européenne (UE) pour ses pratiques, non
plus sur le fondement des données personnelles, mais sur celui du règlement de 2004 relatif aux concentrations (12). En effet, la Commission européenne a prononcé une sanction de 110 millions d’euros à l’encontre de Facebook pour lui avoir fourni des fausses informations au moment de l’enquête menée au titre du rachat de WhatsApp par Facebook. La Commission européenne n’a toutefois pas remis en cause le rachat de WhatsApp par Facebook décidé en 2014. En l’espèce, il était question de la combinaison des données entre les deux entités, une combinaison que Facebook
disait impossible lors du rachat du service de messagerie en 2014. Ainsi, « la société
a informé la Commission [européenne] qu’elle ne serait pas en mesure d’établir d’une manière fiable la mise en correspondance automatisée entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp ». Selon la Commission européenne, « Facebook a commis deux infractions distinctes en fournissant un renseignement inexact et dénaturé d’une part dans le formulaire de notification de la concentration et d’autre part, dans la réponse à une demande de renseignements de la Commission » et a fait preuve tout au moins de négligence.
Pour fixer le montant de l’amende, la Commission européenne a toutefois pris en compte certaines circonstances atténuantes, notamment la collaboration de l’entreprise durant cette enquête. L’annonce du partage de données et de numéros de téléphone entre Facebook de WhatsApp en 2016 avait déjà fait l’objet de protestions notamment par le G29, qui dans une lettre ouverte (13) avait dénoncé lui aussi la contraction du partage de ces données avec la déclaration des entreprises lors de l’opération de rachat. Dans cette lettre, le groupe européen des « Cnil » avait demandé une suspension de ce rapprochement entre les deux applications eu égard à la validité
des finalités poursuivies et à celle du consentement des utilisateurs. Cette demande avait été finalement prise en compte par WhatsApp qui avait suspendu l’envoi des informations à fin publicitaire à sa maison- mère, Facebook. Compte tenu des enjeux,
il semblerait que seule une action commune au niveau européen semble susceptible d’impacter véritablement le comportement de groupes comme Facebook. @