Le réseau social compte, en France, 33 millions d’utilisateurs. Ces derniers n’ont toutefois pas toujours conscience du traitement réservé à leurs données personnelles, lesquelles font l’objet d’une protection toujours plus grande.
En effet, l’étau se resserre, avec des sanctions croissantes suite à la Loi Pour Une République Numérique et celles à venir par application du Règlement européen sur le traitement des données à caractère personnel.
Sous l’égide de l’ancienne loi informatique et liberté, en vigueur à la date des faits reprochés, la Commission Nationale de l’Informatique et des Libertés (CNIL) avait dès 2015 procédé à des contrôles de Facebook. Elle a relevé de nombreuses non-conformités du réseau social telles que :
- la combinaison massive des données personnelles des internautes à des fins de ciblages publicitaires ;
- le traçage des individus à leur insu.
Malgré la mise en demeure adressée à la société dont la réponse n’a pas convaincu la CNIL, cette dernière a engagé une procédure de sanction en considérant que :
- Les utilisateurs ne consentent pas à la combinaison massive de leurs données et ne peuvent jamais s’y opposer. En outre, l’information concernant la collecte des données de navigation des internautes, via le bandeau d’information relatif aux cookies est imprécise : les utilisateurs ne peuvent en effet pas comprendre que leurs données sont constamment collectées lorsqu’ils naviguent sur un site tiers comportant un module social.
- Aucune information immédiate n’est délivrée aux internautes, notamment sur le formulaire d’inscription au service, sur leurs droits et sur l’utilisation future de leurs données et aucun consentement exprès des internautes n’est donné concernant les données sensibles de leur profil (opinions politiques, orientation sexuelle).
- Les utilisateurs n’ont aucun moyen de s’opposer valablement aux cookies déposés sur leur équipement terminal.
- Facebook ne démontre pas la nécessité de conserver l’intégralité des adresses IP des utilisateurs pendant toute la durée de vie de leur compte.
En raison de ces 6 manquements, l’amende maximale prévue de 150 000€, rendue publique, a été prononcée.
La Loi Pour Une République Numérique du 7 octobre 2016 a multiplié par vingt le plafond de l’amende que peut prononcer la CNIL : si Facebook réitérait ses agissements, l’amende prononcée passerait ainsi de 150 000 € à 1 million d’€.
Quant au Règlement européen n°2016/679 sur la protection des données à caractère personnel, qui sera applicable le 25 mai 2018, il prévoit que chaque autorité de contrôle veille à ce que les amendes administratives soient effectives, proportionnées et dissuasives. En outre, il alourdit leur montant qui pourra atteindre 20 000 000€, ou dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial.
Une telle aggravation des sanctions n’est qu’un des nombreux aspects de la réforme à venir en application du Règlement : responsabilisation des responsables du traitement, incitation à la pseudonymisation, sécurisation des traitements et renforcement du droit des personnes fichées font partie des nouvelles règles auxquelles les entreprises doivent se préparer avant le 25 mai 2018.
Le 31 mai 2017