Professional Documents
Culture Documents
Vu la loi n 78-17 du 6 janvier 1978 modifie relative l'informatique, aux fichiers et aux
liberts, notamment ses articles 45 et suivants ;
Vu les observations crites verses par la socit FACEBOOK IRELAND le 6 mars 2017
ainsi que les observations orales formules lors de la sance de la formation restreinte ;
Vu les observations crites verses par la socit FACEBOOK INC. le 6 mars 2017 ;
I. Faits et procdure
La socit FACEBOOK INC., socit de droit amricain fonde en 2004 dont le sige social
est situ Menlo Park, en Californie (Etats-Unis), a cr le rseau social FACEBOOK qui
permet aux utilisateurs de partager leur exprience et dchanger. Ce rseau compte
actuellement 1,5 milliard dutilisateurs actifs par mois dans le monde. La socit a galement
une activit de rgie publicitaire. Elle possde 49 bureaux implants dans une trentaine de
pays et compte environ 12 000 salaris travers le monde.
2
FACEBOOK INC., FACEBOOK IRELAND et FACEBOOK FRANCE le 23 dcembre
2015.
Pour faire suite aux demandes exprimes par la socit FACEBOOK IRELAND, quatre
runions se sont tenues entre les services de la CNIL et des reprsentants de FACEBOOK
INC., FACEBOOK IRELAND et FACEBOOK FRANCE les 29 mars, 19 avril, 16 juin et 13
juillet 2016. Chacune de ces runions a fait lobjet dun compte-rendu crit adress aux deux
entits vises dans la mise en demeure.
3
Paralllement, la socit FACEBOOK IRELAND a adress le 4 mai 2016 un courrier la
Prsidente de la Commission apportant, dune part, des premiers lments de rponse et
sollicitant, dautre part, un renouvellement du dlai de trois mois de la mise en demeure. Cette
prorogation a t accorde, par un courrier du 19 mai 2016, portant jusquau 9 aot 2016 le
dlai imparti aux socits pour se mettre en conformit.
La socit FACEBOOK INC. na pour sa part apport aucune rponse la mise en demeure.
A lissue de son instruction, le rapporteur a fait notifier aux socits FACEBOOK INC. et
FACEBOOK IRELAND, le 5 janvier 2017 un rapport dtaillant les manquements relatifs aux
articles 6-1, 6-5, 7, 8, 32-I, et 32-II de la loi Informatique et Liberts quil estimait
constitus en lespce. Ce rapport proposait la formation restreinte de la CNIL de prononcer
lencontre des deux socits une sanction pcuniaire de 150 000 euros, rendue publique.
Le 6 mars 2017, les deux socits ont produit des observations crites sur le rapport, ritres
oralement par la socit FACEBOOK IRELAND lors de la sance de la formation
restreinte du 23 mars 2017. FACEBOOK INC. ntait, quant elle, pas reprsente lors de
cette sance.
Le I de larticle 5 de la loi n 78-17 du 6 janvier 1978 modifie dispose que sont soumis la
prsente loi les traitements de donnes caractre personnel : 1Dont le responsable est
tabli sur le territoire franais. Le responsable d'un traitement qui exerce une activit sur le
territoire franais dans le cadre d'une installation, quelle que soit sa forme juridique, y est
considr comme tabli .
4
Cet article constitue la transposition en droit interne de larticle 4-1-a) de la directive
95/46/CE du 24 octobre 1995 sur le droit national applicable qui dispose que : 1. Chaque
tat membre applique les dispositions nationales qu'il arrte en vertu de la prsente directive
aux traitements de donnes caractre personnel lorsque : a) le traitement est effectu dans
le cadre des activits d'un tablissement du responsable du traitement sur le territoire de
l'tat membre ; si un mme responsable du traitement est tabli sur le territoire de plusieurs
tats membres, il doit prendre les mesures ncessaires pour assurer le respect, par chacun de
ses tablissements, des obligations prvues par le droit national applicable .
Au regard de ces dispositions, le droit applicable dun Etat membre dpend de deux
conditions cumulatives : lexistence dun tablissement du responsable de traitement sur le
territoire dun Etat membre et la mise en uvre du traitement de donnes dans le cadre des
activits de cet tablissement.
La Cour de justice de lUnion europenne a apport des prcisions sur ces deux critres.
Sagissant du premier critre, elle a considr quun responsable de traitement devait tre
considr comme tabli sur le territoire dun Etat membre ds lors que le traitement de
donnes est effectu dans le cadre des activits dun tablissement de ce responsable sur le
territoire de ltat membre (CJUE, Google Spain et Google, 13 mai 2014, C-131/12).
Elle a par ailleurs prcis que la notion dtablissement, au sens de la directive 95/46,
stend toute activit relle et effective, mme minime, exerce au moyen dune installation
stable , le critre de stabilit de linstallation tant examin au regard de la prsence de
moyens humains et techniques ncessaires la fourniture de services concrets en question
(CJUE Weltimmo, 1er octobre 2015, C-230/14, points 30 et 31 ).
Les socits soutiennent que les critres de dtermination du droit applicable dfinis par la
Directive 95/46/CE ne permettent pas lapplication du droit franais. Elles contestent ainsi la
qualification dtablissement de FACEBOOK FRANCE en prcisant quil ne sagit que dun
sous-traitant et affirment que seule FACEBOOK IRELAND ralise les traitements en cause.
5
La socit irlandaise serait le seul responsable de traitement pour les utilisateurs situs en
dehors des Etats-Unis et du Canada et seul le droit irlandais serait applicable ds lors que cest
ltablissement irlandais qui a le lien le plus inextricable avec les traitements en cause.
Les socits soutiennent, par ailleurs, que les objectifs de la directive prcite empchent
lapplication concomitante de plusieurs droits. Elles considrent galement que
linterprtation extensive de larticle 4-1-a) de la directive donne par la Cour dans les arrts
Google Spain et Weltimmo nest pas justifie en lespce car, contrairement ces deux
affaires, il nexiste aucun risque de contournement des dispositions europennes, le droit
irlandais permettant dassurer une protection efficace des citoyens. Les socits invoquent
enfin les obstacles insurmontables la libre circulation des donnes quengendrerait
lapplication du droit franais.
La formation restreinte relve que FACEBOOK FRANCE est une socit responsabilit
limite associ unique immatricule au registre du commerce et des socits de Paris depuis
le 3 fvrier 2011. Elle a notamment pour objet de fournir au groupe FACEBOOK des
prestations de service en rapport avec la vente despaces publicitaires, le dveloppement
commercial, le marketing () et toutes autres prestations de service visant dvelopper les
services et la marque Facebook en France . Elle dispose dun sige social situ 6 rue Mnars
Paris (75002) et dun effectif dune cinquantaine de salaris.
La formation restreinte souligne, par ailleurs, quil a t tabli que la socit franaise fournit
des services de support marketing pour la conclusion de contrats publicitaires en France,
notamment grce lquipe grands comptes compose de six personnes qui accompagne
les socits fort potentiel de communication, telles que les entreprises du CAC 40, dans la
stratgie suivre sur le rseau social. Lquipe leur explique notamment le fonctionnement de
la plateforme afin doptimiser le ciblage publicitaire, de dtailler les outils et les opportunits
offertes par ce service.
La formation restreinte relve quen assurant la promotion des espaces publicitaires du service
FACEBOOK lgard des grandes entreprises franaises, FACEBOOK FRANCE assure la
promotion commerciale des espaces publicitaires du service FACEBOOK auprs des
entreprises franaises et contribue en assurer la rentabilit. Son activit permet dentrer en
relation commerciale avec une gamme dannonceurs susceptibles dintresser les utilisateurs
franais afin quune publicit personnalise leur soit propose puis de les conseiller afin
6
dassurer la meilleure personnalisation possible de ces publicits dans le cadre du rseau
social.
La formation restreinte rappelle galement que FACEBOOK IRELAND a insist sur le fait
que la gratuit du service tait subordonne laffichage de publicits personnalises. Cette
activit est donc indissociable du traitement des donnes des utilisateurs et notamment de leur
combinaison.
La formation restreinte considre ainsi que la socit FACEBOOK FRANCE qui est charge
de promouvoir la vente despaces publicitaires auprs des entreprises franaises destination
des utilisateurs franais, contribue par ce biais la perception de revenus publicitaires. Elle
participe donc, dans le cadre de ses activits, aux traitements en cause.
Enfin, la formation restreinte relve que les activits du Groupe FACEBOOK sont diriges
vers le public franais puisque FACEBOOK FRANCE a notamment pour objet de dmarcher
les grands annonceurs franais afin de proposer une publicit pertinente pour les utilisateurs
du rseau social en France.
La formation restreinte en conclut que les critres du I de larticle 5 de la loi du 6 janvier 1978
modifie, examins la lumire des arrts de la Cour de justice de lUnion europenne, sont
runis et que le droit franais sapplique.
Dans le cas contraire, la formation restreinte peut prononcer son encontre, aprs une
procdure contradictoire, les sanctions suivantes () :1 Une sanction pcuniaire, dans les
conditions prvues par l'article 47, l'exception des cas o le traitement est mis en uvre par
l'Etat ; .
Larticle 48 de la loi susvise ajoute que les pouvoirs prvus l'article 44 ainsi qu'au I, au
1 du II et au III de l'article 45 peuvent tre exercs l'gard des traitements dont les
oprations sont mises en uvre, en tout ou partie, sur le territoire national, y compris lorsque
le responsable du traitement est tabli sur le territoire d'un autre Etat membre de la
Communaut europenne .
7
Dans sa dcision Weltimmo prcite, la Cour de justice de lUnion europenne a prcis que
dans lhypothse o lautorit de contrle dun tat membre saisie de plaintes,
conformment larticle 28, paragraphe 4, de la directive 95/46, parviendrait la conclusion
que le droit applicable au traitement des donnes caractre personnel concernes est non
pas le droit de cet tat membre, mais celui dun autre tat membre, larticle 28,
paragraphes 1, 3 et 6, de cette directive doit tre interprt en ce sens que cette autorit de
contrle ne pourrait exercer les pouvoirs effectifs dinterventions qui lui ont t confrs
conformment larticle 28, paragraphe 3, de ladite directive que sur le territoire de ltat
membre dont elle relve. Partant, elle ne saurait infliger de sanctions sur la base du droit de
cet tat membre au responsable du traitement de ces donnes qui nest pas tabli sur ce
territoire, mais devrait, en application de larticle 28, paragraphe 6, de la mme directive,
demander lautorit de contrle relevant de ltat membre dont le droit est applicable
dintervenir (point 60).
La formation restreinte considre en lespce, comme cela a t prcis supra, que le droit
franais est applicable et en consquence quil convient de faire application des articles 45 et
48 de la loi du 6 janvier 1978 modifie qui confrent comptence la Commission pour
prononcer des sanctions lencontre des responsables de traitements mis en uvre, en tout ou
partie, sur le territoire national, y compris lorsque le responsable de traitement est tabli sur le
territoire dun autre Etat membre.
La formation restreinte considre, en consquence, que ds lors que le droit franais est
applicable, la CNIL dispose de lintgralit de ses pouvoirs, dont celui de prononcer des
sanctions.
8
Les socits rappellent ce titre, quelles constituent des entits juridiques distinctes et
indpendantes avec des missions diffrentes : depuis 2010, FACEBOOK INC. fournit le
service uniquement aux utilisateurs nord-amricains et ne traite que leurs donnes alors que
FACEBOOK IRELAND fournit le service tous les autres utilisateurs du monde et traite
leurs donnes. Elles prcisent que la qualification de responsable de traitement de lentit
irlandaise dcoule, dune part, dune analyse factuelle ds lors que FACEBOOK IRELAND
dispose dun sige social et dun effectif de plus 1600 salaris Dublin et quelle dtermine
seule les rgles rgissant le traitement des donnes des utilisateurs au sein de lUnion
europenne et, dautre part, dune analyse juridique puisque plusieurs documents lgaux,
notamment les documents intituls la dclaration des droits et des responsabilits et la
politique dutilisation des donnes , la dsignent comme responsable de traitement.
FACEBOOK INC. na pour sa part aucun contrle effectif sur les donnes des utilisateurs de
lUnion europenne.
Enfin, les socits font valoir que si le service fourni aux utilisateurs du rseau social, via une
plateforme mondiale, comporte des similitudes, il nexiste plus de service global et qu ce
titre, certaines fonctionnalits proposes aux utilisateurs nord-amricains ne sont pas
disponibles pour les utilisateurs de FACEBOOK IRELAND.
La formation restreinte souligne, par ailleurs, que le rseau social a t conu, mis en uvre,
enrichi et adapt aux Etats-Unis par la socit FACEBOOK INC depuis 2004 et que cette
dernire rgit aujourdhui le mode de fonctionnement de lintgralit du service quels que
soient les utilisateurs concerns.
Il repose sur le traitement des donnes des utilisateurs et sur leur combinaison aux fins de
permettre laffichage de contenus et de publicits personnaliss et de fournir un service
gratuit. Cette stratgie commerciale nest pas dcide isolment et indpendamment par la
socit FACEBOOK IRELAND. Elle nest pas propre aux utilisateurs non-amricains mais
rsulte bien dune politique unique applique lensemble du rseau social.
La formation restreinte considre, par consquent, que les finalits des traitements en cause, et
notamment les finalits de combinaison des donnes des utilisateurs, sont dtermines
conjointement par les socits FACEBOOK INC. et FACEBOOK IRELAND.
La formation restreinte relve, par ailleurs, que lexistence de cette politique commerciale
commune est corrobore par le fait que le document intitul politique dutilisation des
donnes est le mme pour les utilisateurs nord-amricains et europens. Elle rappelle
9
galement que jusquau 9 dcembre 2016, la dclaration des droits et des responsabilits
prvoyait la comptence exclusive des tribunaux amricains en cas de litige avec les
utilisateurs, sans distinction de nationalit, ce qui dmontre limplication de la socit
amricaine dans la cration et le dveloppement du rseau social.
Enfin, la formation restreinte souligne que la socit FACEBOOK INC. dispose de lexpertise
technique permettant de faire fonctionner le rseau social. Elle relve cet gard que les
clauses contractuelles types encadrant le transfert des donnes entre FACEBOOK IRELAND
et FACEBOOK INC. prcisent que lentit amricaine procde diverses oprations de
traitement et notamment la facilitation de lauthentification des utilisateurs et
lamlioration de lefficacit des services de FACEBOOK. La formation restreinte considre
que ces oprations directement lies au fonctionnement du rseau social, ralises quelle que
soit la localisation des utilisateurs et des donnes collectes, confirment que la socit
FACEBOOK INC. contribue dterminer les moyens des traitements qui sinscrivent dans le
cadre dune plateforme unique.
Elle fait notamment valoir que la loi Informatique et Liberts modifie telle quapplique par
la Commission :
- introduit des exigences normatives additionnelles en matire dinformation des utilisateurs et
de cookies ;
- ajoute des conditions concernant les bases lgales du traitement des donnes ;
- impose un mcanisme particulier pour recueillir le consentement exprs des utilisateurs au
traitement de leurs donnes sensibles ;
- impose une dure maximale de conservation des donnes et plus prcisment des adresses
IP.
10
En premier lieu, la formation restreinte rappelle que lharmonisation vise par les directives
95/46/CE et 2009/140/CE ninterdit pas aux Etats membres dadopter des mesures nationales
plus prcises ds lors quelles visent en raliser les objectifs (CJUE, Breyer, 19 octobre
2016, C-582/14).
Elle souligne ce titre que les Etats membres sont libres dans ladoption des moyens quils
utilisent pour atteindre les objectifs fixs par les directives europennes (Arrts CE 28 fvrier
1992, S.A. Rothmans International France et S.A. Philip Morris France, n 56776 et 56777) et
ce, en vue d'en assurer l'effet utile (CJCE Royer du 8 avril 1976, aff 48/75, Rec. p. 49).
En deuxime lieu, la formation restreinte considre que les dispositions de la loi Informatique
et Liberts modifie qui sont vises par la socit permettent de raliser lobjectif poursuivi
par les directives susvises savoir maintenir un quilibre entre la libre circulation des
donnes caractre personnel et la protection de la vie prive.
En ce sens, elle estime quen prcisant notamment les informations quil convient de fournir
aux utilisateurs, les conditions de licit du traitement et de recueil du consentement, les
dispositions de loi informatique et liberts modifie nexcdent en rien cet objectif ni ne
modifient ou altrent la porte des principes qui y sont noncs.
En dernier lieu, la formation restreinte rappelle que les griefs pouvant se rapporter une
mauvaise transposition dune lgislation europenne en droit national, relvent dune action
en manquement qui est de la seule comptence de la Cour de justice de lUnion europenne.
Lorsque de telles donnes sont recueillies par voie de questionnaires, ceux-ci doivent porter
la mention des prescriptions figurant aux 1, 2, 3 et 6 .
11
2 La nature des donnes transfres ;
3 La finalit du transfert envisag ;
4 La ou les catgories de destinataires des donnes ;
5 Le niveau de protection offert par le ou les pays tiers :
a) Si le ou les pays tiers figurent dans la liste prvue l'article 108, il est fait mention de la
dcision de la Commission europenne autorisant ce transfert ;
b) Si le ou les pays tiers ne satisfont pas aux conditions prvues l'article 68 de la mme loi,
il est fait mention de l'exception prvue l'article 69 de cette loi qui permet ce transfert ou de
la dcision de la Commission nationale de l'informatique et des liberts autorisant ce
transfert.
En dfense, la socit FACEBOOK IRELAND fait principalement valoir quelle dlivre ses
utilisateurs une information conforme aux exigences de larticle 10 de la directive 95/46/CE et
aux avis du groupe de travail de larticle 29 (dit G29 ). Elle considre notamment que sa
politique dutilisation des donnes, accessible via un lien figurant sur le formulaire
dinscription, contient lensemble des informations requises par larticle 10 de la directive
prcite et que les utilisateurs sont informs sur les transferts de donnes hors de lUnion
europenne via ce mme document et galement par la dclaration des droits et des
responsabilits.
Elle soutient par ailleurs quen labsence dinterdiction, il est possible de recourir une
pluralit de supports dinformation. Elle considre que ce procd ne complexifie en rien
laccs, la qualit et la compltude de linformation qui doit tre fournie aux utilisateurs.
Elle fait, ce titre, rfrence une approche par strate de linformation telle que
recommande par le G29 dans son avis 10/2004 du 25 novembre 2004. Elle indique que la
politique dutilisation des donnes permet aux utilisateurs davoir une comprhension globale
des traitements mis en uvre et qu partir de ce document, les utilisateurs peuvent
directement accder dautres documents dtaillant certains aspects des traitements mis en
uvre.
Elle souligne nanmoins que larticle 10 de la directive 95/46/CE prvoit une liste non
exhaustive dinformations devant tre fournies par le responsable de traitement : Les tats
membres prvoient que le responsable du traitement ou son reprsentant doit fournir la
personne auprs de laquelle il collecte des donnes la concernant au moins les informations
numres ci-dessous []. En prvoyant la fourniture de linformation directement sur le
formulaire de collecte, les dispositions de la loi Informatique et Liberts nentrent pas
12
contradiction avec cet article. Ces dispositions permettent en effet aux utilisateurs dune part,
dapprhender pleinement les traitements qui seront mis en uvre lgard de leurs donnes
caractre personnel et dautre part, dexercer leurs droits le cas chant.
La formation restreinte relve cet gard que les socits ne dispensent aucune information
directement sur le formulaire dinscription, ainsi que sur les pages permettant aux utilisateurs
inscrits de complter leurs profils.
La formation restreinte considre que les droits dont disposent les utilisateurs ainsi que les
informations se rapportant aux transferts des donnes hors de lUnion europenne doivent
galement tre regards comme essentiels et leur tre fournis immdiatement.
A cet gard, elle relve que la politique dutilisation des donnes, document considr par les
socits FACEBOOK IRELAND et FACEBOOK INC comme le principal support de
diffusion de linformation, nexpose ni les droits dont disposent les utilisateurs ni les
informations relatives aux transferts de donnes hors de lUnion europenne (nature des
donnes transfres, finalit du transfert, destinataires des donnes).
6. Sur le manquement lobligation de disposer dune base lgale pour les traitements
mis en uvre
13
Les socits ont t mises en demeure de ne pas procder sans base lgale la combinaison
des donnes des inscrits des fins de ciblage publicitaire.
Il avait, en effet, t relev que pour afficher de la publicit cible, les socits procdaient
la combinaison des donnes fournies par les inscrits lors de la cration de leur compte sur le
site, des donnes relatives lactivit des inscrits sur le site (contenus partags ou consults
par exemple), quel que soit le terminal utilis par ces derniers, des donnes relatives aux
appareils utiliss par les inscrits (systme dexploitation, coordonnes GPS, type de
navigateur, numro de tlphone mobile par exemple), des donnes provenant de sites tiers et
applications intgrant notamment des boutons Jaime ou Se connecter , des donnes
provenant de partenaires tiers (partenaires avec qui la socit a collabor pour offrir un
service ou annonceurs avec lesquels les inscrits ont interagi) et des donnes provenant des
socits qui appartiennent ou qui sont exploites par la socit (FACEBOOK Payments Inc.,
Instagram LLC, WhatsApp Inc. par exemple).
En dfense, la socit FACEBOOK IRELAND soutient quelle dispose de trois bases lgales
pour procder la combinaison de donnes.
En premier lieu, elle affirme quelle recueille le consentement clair, libre, spcifique et non
quivoque des utilisateurs dans la mesure o ils acceptent la politique dutilisation des
donnes . Elle soutient ce titre que le consentement spcifique ne ncessite pas que les
utilisateurs consentent sparment chacun des traitements mis en uvre mais quils
reoivent une information claire et comprhensible sur la manire dont les donnes sont
traites et quils y consentent. Elle prcise, par ailleurs, que le consentement des utilisateurs
est libre ds lors quils choisissent de leur plein gr de sinscrire sur le rseau social et quils
peuvent fermer leur compte sils le souhaitent.
En deuxime lieu, la socit invoque lexcution dun contrat en affirmant que la relation avec
les utilisateurs est rgie par la dclaration des droits et des responsabilits . Elle indique
ce titre que la combinaison des donnes des fins de publicit est ncessaire lexcution
contractuelle, et plus particulirement loffre de services gratuits aux utilisateurs. Elle fait
valoir que les utilisateurs du rseau social sattendent un contenu personnalis et que
labsence de publicit cible entranerait une exprience dtriore pour ces derniers.
Elle insiste galement sur le fait que sans les revenus publicitaires, le service FACEBOOK ne
serait pas disponible et quen remettant en cause ce modle conomique, la Commission porte
atteinte sa libert dentreprendre. Elle soutient, par ailleurs, que la Commission cherche
rcrire le contrat entre les socits et leurs utilisateurs alors quelle ne dispose pas dun tel
pouvoir de rvision.
En dernier lieu, elle fait valoir quelle poursuit un intrt lgitime en procdant la
combinaison des donnes, savoir un intrt conomique et commercial, sans mconnatre
pour autant les droits et liberts fondamentaux des utilisateurs ds lors que ces derniers
peuvent sopposer lutilisation de leurs donnes. Elle prcise ainsi que les utilisateurs ont un
degr important de contrle sur les publicits quils voient et sur la faon dont leurs donnes
sont traites. Elle soutient galement que les intrts de la socit et des utilisateurs sont
aligns et quil ny a aucune incidence ngative sur les utilisateurs puisque la combinaison de
donnes permet de leur offrir une exprience personnalise.
14
Sagissant du recueil du consentement, la formation restreinte rappelle que le respect de ce
critre impose de vrifier que les utilisateurs ont donn un consentement clair, spcifique et
libre.
En ce qui concerne le caractre clair, la formation restreinte relve tout dabord quaucun
des documents mis la disposition des utilisateurs par les socits FACEBOOK IRELAND et
FACEBOOK INC. ne mentionne expressment la combinaison de donnes. Elle souligne
ainsi que la politique dutilisation des donnes indique uniquement quaux fins
damliorer leur systme de publicit, les socits se fondent sur les informations [leur]
disposition ou sur les informations obtenues () au sein comme en dehors de [leurs]
services . A linverse, elle ne prcise pas que ces donnes caractre personnel font lobjet
dun croisement massif, ni quel moment cette combinaison est opre.
La formation restreinte souligne quoutre le fait que la combinaison de donnes nest pas
mentionne expressment, linformation sur laffichage dune publicit cible est dilue dans
trois documents distincts intituls la politique dutilisation des donnes , la politique
dutilisation des cookies et la page propos de la publicit sur Facebook, de sorte quil est
difficile pour un utilisateur davoir une comprhension des processus en cause.
La formation restreinte relve, par ailleurs, que les diffrents liens hypertextes auxquels la
politique dutilisation des donnes renvoie dtaillent uniquement les modes de
fonctionnement de la publicit et les possibilits de contrle de son affichage. Elle souligne
galement lutilisation de termes gnraux dans ce document tels que la rfrence aux
informations que vous avez partages avec Facebook, les Pages que vous aimez ou avec
lesquelles vous interagissez , ce qui ne permet pas aux utilisateurs davoir une juste
perception de la nature et du volume des donnes qui sont collectes puis combines.
Elle considre ainsi que le consentement ne peut tre spcifique ds lors quil nest pas
recueilli de faon ddie et distinct des autres documents.
En ce qui concerne le caractre libre du consentement, la formation restreinte relve que les
utilisateurs ne sont pas libres de consentir ou non la combinaison de leurs donnes ds lors
que linscription sur le rseau social emporte ncessairement cette combinaison sans quils
puissent sy opposer, ni au moment de la cration de leur compte, ni a posteriori.
15
Au vu de ces lments, la formation restreinte considre que le consentement des utilisateurs
nest pas libre.
Sagissant de lexcution dun contrat, la formation restreinte relve que lobjet principal du
service est la fourniture dun rseau social : les utilisateurs qui crent un compte sur le site
facebook.com souhaitent dabord accder aux fonctionnalits de ce rseau, cest--dire
interagir avec leurs relations, crer des groupes dintrt commun, organiser des vnements
ou partager des contenus tels que des photos ou des articles de presse. Ils ne sinscrivent pas
au rseau social pour recevoir de la publicit cible.
Elle prcise cet gard quelle ne remet pas en cause le modle conomique des socits ni
ninterdit laffichage de toute publicit cible mais quil lui incombe de veiller ce que les
droits des personnes concernes soient respects et notamment ce que lexcution dun
contrat ne les conduise pas y renoncer.
La formation restreinte relve que les socits procdent la combinaison des donnes des
utilisateurs aux fins daffichage de contenus et de publicits personnaliss. Elle considre que
ce traitement qui procde dun intrt conomique et permet aux socits doffrir un service
gratuit et pertinent aux utilisateurs peut tre qualifi de lgitime. Pour autant, la formation
restreinte relve que la combinaison potentiellement illimite de toutes les donnes des
utilisateurs, qui sont collectes non seulement sur le site facebook.com mais galement sur
des sites ou applications tiers, notamment via le cookie datr (voir infra) est, par son
ampleur, de nature mconnatre les intrts des utilisateurs et porter atteinte leur droit au
respect de la vie prive.
Il lui appartient donc de juger si lintrt ou les droits et liberts fondamentaux des personnes
concernes sont suffisamment prservs en lespce pour que lquilibre prescrit par le
lgislateur entre ces deux catgories dintrts soit atteint. Elle souligne que cet quilibre ne
peut tre assur que sil est mis disposition des utilisateurs des outils adquats leur
permettant dexercer les droits quils dtiennent des articles 32 et 38 de la loi du 6 janvier
1978 modifie, et plus prcisment les moyens de sopposer la combinaison de leurs
donnes.
Sur ce point, la formation restreinte rappelle que linformation diffuse aux utilisateurs et
accessible sur le rseau social nest pas suffisante.
Elle relve en outre que les socits ont effectivement dvelopp des outils visant permettre
aux utilisateurs dexercer un contrle sur la publicit personnalise qui leur est propose,
notamment travers la rubrique Publicits des paramtres du compte des utilisateurs. Ces
16
derniers peuvent ainsi supprimer les prfrences associes leur compte qui sont utilises
pour personnaliser les publicits en fonction des centres dintrts identifis.
Elle relve en revanche, quaucun moyen nest mis disposition des utilisateurs pour
sopposer la collecte de ces informations et leur combinaison, de sorte quils ne peuvent
mettre fin au suivi massif dont ils font lobjet. Les utilisateurs du rseau social sont ainsi
dpourvus de tout contrle sur leurs donnes caractre personnel ce qui porte atteinte au
droit au respect de leur vie prive.
Le 1 de larticle 6 de la loi du 6 janvier 1978 modifie dispose que : les donnes sont
collectes et traites de manire loyale et licite .
Les socits ont t mises en demeure de procder une collecte et un traitement loyal des
donnes des internautes non inscrits concernant les donnes collectes via le cookie datr
et un module social FACEBOOK (ex : bouton Jaime ).
Il avait, en effet, t relev quun cookie datr tait dpos sur le terminal des internautes
non inscrits sur le site de FACEBOOK, ce cookie permettant notamment, sans quils en soient
informs, de suivre et de collecter les donnes relatives leur navigation sur des sites tiers,
ds lors que ces derniers contiennent un module social FACEBOOK.
Elle indique par ailleurs que ce cookie nest dpos que lorsque les internautes visitent une
page FACEBOOK ou cliquent sur un module social prsent sur un site tiers.
La socit soulve galement le fait que les donnes collectes via ce cookie sont limites et
ne portent que sur des informations relatives au navigateur utilis par linternaute (cookie ID,
adresse IP de consultation, nom et informations relatifs la version du navigateur utilis,
adresse du site internet sur lequel figure le module social de FACEBOOK).
17
Enfin, elle affirme que ce cookie nest pas utilis pour suivre les comportements de navigation
des internautes des fins publicitaires mais quil assure une fonction de scurit essentielle du
service et assure la protection des donnes caractre personnel des utilisateurs. A ce titre,
elle prcise quil permet une analyse de la navigation des internautes afin notamment dviter
les attaques, la cration de faux comptes ou lusurpation de comptes.
Sagissant du dpt du cookie datr , la formation restreinte relve quil est dpos ds lors
quun internaute (inscrits et non inscrits) consulte une page du site facebook.com ou quil
clique sur le bouton Jaime figurant sur un site tiers.
Par la suite, les donnes relatives sa navigation sur le site facebook.com ou dautres sites
tiers sont remontes puis collectes par FACEBOOK.
Sagissant de linformation des internautes non inscrits, si la formation restreinte relve que le
bandeau dinformation relatif aux cookies a t modifi, elle estime toutefois que la rfrence
aux [...] informations [collectes] sur et en dehors de Facebook via les cookies prsente
galement sur certains sites tiers comprenant un module social reste encore trs imprcise.
Elle ne permet pas aux internautes et en particulier aux internautes non inscrits sur le rseau
social, dtre clairement informs et de comprendre que leurs donnes sont systmatiquement
collectes ds lors quils se trouveront sur un site tiers comportant un module social. Elle
considre ainsi que le renvoi la politique dutilisation des cookies et son ventuelle
consultation par les internautes non inscrits nest pas suffisant et ne peut se substituer
lobligation de leur dlivrer une information claire et prcise sur lexistence de la collecte de
donnes dont ils font lobjet. En effet, ces derniers nont aucune raison de consulter ce
document ds lors quils ne crent pas de compte sur le rseau social.
Ainsi en labsence dune information suffisamment claire et prcise sur la collecte des
donnes effectues et ds lors que le cookie datr permet deffectuer un suivi dtaill de la
navigation de lensemble des internautes (inscrits ou non sur le rseau social), la formation
restreinte considre que ces donnes ne sont pas collectes et traites de faon loyale.
Larticle 8 de la loi du 6 janvier 1978 modifie dispose que : I. - Il est interdit de collecter
ou de traiter des donnes caractre personnel qui font apparatre, directement ou
indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou
religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives la sant ou la
vie sexuelle de celles-ci.
18
II. - Dans la mesure o la finalit du traitement l'exige pour certaines catgories de donnes,
ne sont pas soumis l'interdiction prvue au I : 1 Les traitements pour lesquels la personne
concerne a donn son consentement exprs, sauf dans le cas o la loi prvoit que
l'interdiction vise au I ne peut tre leve par le consentement de la personne concerne
[] .
Les socits ont t mises en demeure de recueillir le consentement exprs des personnes, sur
la base dune information spcifique, la collecte et au traitement de leurs donnes
sensibles en lespce les donnes relatives aux origines ethniques ou raciales, aux opinions
religieuses et la vie sexuelle des personnes.
En dfense, la socit FACEBOOK IRELAND fait valoir que lutilisateur, lorsquil complte
son profil, renseigne volontairement ce type de donnes et a la possibilit de les rendre
publiques via les paramtres de confidentialit. En outre, la socit considre que les donnes
des utilisateurs lies lintrt quils portent aux hommes ou aux femmes ne sont pas des
donnes sensibles. Elle fait galement valoir que linformation fournie aux utilisateurs,
notamment dans la cadre de sa politique dutilisation des donnes, satisfait aux exigences de
larticle 10 la directive 95/46/CE. Enfin, la socit indique quaucun texte nimpose que le
consentement au traitement des donnes sensibles se manifeste par le biais dune case
cocher.
La formation restreinte rappelle quil convient dexaminer le respect par les socits, des
obligations dcoulant de larticle 8 de la loi du 6 janvier 1978 modifie et non de celles
rsultant des dispositions de la directive 95/46/CE. Si le consentement peut permettre de
droger linterdiction de traiter des donnes caractre personnel dites sensibles , il est
ncessaire que celui-ci soit exprs, cest--dire libre, inform et spcifique.
En lespce, la formation restreinte considre que des donnes sensibles sont traites par les
socits, savoir leurs origines raciales ou ethniques, leurs opinions religieuses mais
galement leur orientation sexuelle rvle via la collecte de donnes lies lintrt port
aux hommes ou aux femmes .
Elle estime que le renseignement spontan de telles donnes nexonre pas la socit de
lobligation de recueillir le consentement exprs des personnes qui doivent tre en mesure de
manifester par une action positive leur assentiment au traitement de donnes sensibles,
attestant ainsi que le consentement est donn en toute connaissance de cause.
La formation restreinte relve galement que ni la politique dutilisation des donnes, ni les
tapes dcrites par les socits permettant aux utilisateurs de renseigner leur profil, ne
contiennent une information spcifique concernant le traitement de ces donnes.
En outre, la formation restreinte considre que la possibilit offerte aux utilisateurs de
paramtrer la confidentialit de leurs comptes ne saurait confrer un caractre public leurs
donnes, celles-ci tant traites dans le cadre dune communaut dintrts ferme, celle de
FACEBOOK, et accessibles ses seuls membres.
19
9. Sur le manquement lobligation de mettre disposition un moyen valable
dopposition aux informations (cookies) stockes sur lquipement terminal de
communications lectroniques des utilisateurs
Les socits ont t mises en demeure dinformer les internautes et dobtenir leur accord
pralable linscription dinformations sur leur quipement terminal (cookies) et laccs
celles-ci. En particulier, il leur avait t enjoint, sauf mettre en place un dispositif prsentant
les mmes garanties, dindiquer aux internautes, au pralable et de manire claire et complte,
sur le bandeau prsent sur le site internet, les finalits de tous les cookies soumis au
consentement et la possibilit quils ont de sopposer au dpt de ces cookies en cliquant sur
un lien prsent dans le bandeau, ce dernier devant renvoyer vers une page prsentant les
solutions adquates mises leur disposition pour accepter ou refuser le dpt des cookies.
En dfense, la socit FACEBOOK IRELAND soutient que le droit franais excde les
obligations europennes dcoulant de la directive 2009/136/CE du 25 novembre 2009 en
exigeant des moyens dopposition aux cookies et prcise quelle a, en tout tat de cause, mis
en place des moyens valables de sopposer aux cookies travers le refus de navigation sur le
site et le paramtrage du navigateur.
Elle invoque par ailleurs labsence de valeur imprative de la recommandation de la
Commission telle quinvoque dans le rapport du 14 dcembre 2016 et soutient ce titre
quelle navait pas lobligation de mettre en uvre une solution de tag management .
Enfin, la socit prcise quelle dpose des cookies strictement ncessaires la finalit de
scurit du site.
20
Commission du 5 dcembre 2013 portant adoption dune recommandation relative aux
cookies et aux autres traceurs et non de celles rsultant des dispositions de la directive
2009/136/CE.
Elle prcise quen renvoyant au paramtrage du navigateur, les socits ne laissent que deux
choix aux utilisateurs : soit ces derniers choisissent, via ce paramtrage, de bloquer tous les
cookies dposs sur leur quipement terminal, soit ils dcident de refuser uniquement les
cookies third party cest--dire ceux issus de domaine tiers au site facebook.com . La
formation restreinte relve quaucune de ces deux solutions nest satisfaisante. Dans la
premire solution, le blocage de tous les cookies entranera ncessairement le blocage des
cookies techniques essentiels au fonctionnement du site et empchera les utilisateurs
daccder aux services du rseau social. A linverse, dans la deuxime solution, en ne
bloquant que les cookies third party, les utilisateurs ne pourront sopposer aux cookies first
party finalit publicitaire dposs par le site facebook.com et seront ainsi privs de toute
modalit dopposition contre ces derniers.
Le 5 de larticle 6 de la loi du 6 janvier 1978 modifie dispose que les donnes sont
conserves sous une forme permettant lidentification des personnes concernes pendant une
dure qui nexcde pas la dure ncessaire aux finalits pour lesquelles elles sont collectes
et traites .
Les socits ont t mises en demeure de ne pas conserver de donnes caractre personnel
au-del de la dure ncessaire aux finalits pour lesquelles elles ont t collectes et traites,
notamment en supprimant lexpiration dun dlai de 6 mois les adresses IP utilises par les
inscrits pour se connecter aux comptes.
21
La socit soutient quil nexiste aucun fondement lgal la dure de conservation de six
mois fixe dans la mise en demeure. Sagissant de la conservation des adresses IP lies des
actions spcifiques, elle fait valoir quelle rpond trois finalits : une finalit de scurit
pour lutter contre les contenus illicites, contre le piratage de comptes grande chelle et aux
fins de dtection dactivits suspectes sur les comptes des utilisateurs, une finalit de
protection des enfants lie la ncessit dinformer rapidement les autorits comptentes lors
de la dtection ou lors de signalement dimages pdophiles et enfin, une finalit de rponse
aux requtes des autorits publiques.
La formation restreinte rappelle quil appartient aux responsables de traitement de dfinir une
dure de conservation adquate et de dmontrer que celle-ci est ncessaire et proportionne
aux finalits de la collecte.
22
III. Sur la sanction et la publicit
La formation restreinte considre que les manquements aux articles 6-1, 6-5, 7, 8, 32-I, et
32-II de la loi du 6 janvier 1978 modifie ont persist au-del du dlai imparti par la mise en
demeure de la Prsidente de la Commission et justifie que soit prononce une sanction
pcuniaire dun montant de 150.000 lencontre des socits.
Elle estime que cette publicit se justifie galement compte tenu de la nature des donnes
traites et du nombre de personnes concernes par les traitements en cause, savoir au moins
33 millions dutilisateurs en France.
23
PAR CES MOTIFS
Le Prsident
Jean-Franois CARREZ
Cette dcision peut faire lobjet dun recours devant le Conseil dEtat dans un dlai de quatre
mois compter de sa notification.
24