Dlibration de la formation restreinte SAN 2017-006 du 27 Avril 2017 prononant

une sanction pcuniaire l'encontre des socits FACEBOOK INC. et FACEBOOK

IRELAND

La Commission nationale de linformatique et des liberts, runie en sa formation restreinte

compose de M. Jean-Franois CARREZ, Prsident, M. Alexandre LINDEN, Vice-prsident,
M. Maurice RONAI, M. Philippe GOSSELIN, Mme Dominique CASTERA et Mme Marie-
Hlne MITJAVILE, membres ;

Vu la Convention n 108 du Conseil de lEurope du 28 janvier 1981 pour la protection des

personnes lgard du traitement automatis des donnes caractre personnel ;

Vu la directive 95/46/CE du Parlement europen et du Conseil, du 24 octobre 1995, relative

la protection des personnes physiques l'gard du traitement des donnes caractre
personnel et la libre circulation de ces donnes ;

Vu la loi n 78-17 du 6 janvier 1978 modifie relative l'informatique, aux fichiers et aux
liberts, notamment ses articles 45 et suivants ;

Vu le dcret n 2005-1309 du 20 octobre 2005 modifi pris pour l'application de la loi

n 78-17 du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts ;

Vu la dlibration n 2013-175 du 4 juillet 2013 portant adoption du rglement intrieur de la

Commission nationale de l'informatique et des liberts ;

Vu les dcisions n 2015-091C du 17 mars 2015 et n 2015-401C du 14 dcembre 2015 de la

Prsidente de la Commission nationale de linformatique et des liberts de charger le
secrtaire gnral de procder ou de faire procder, dune part, une mission de vrification
auprs de la socit FACEBOOK INC. et, dautre part, une mission de vrification des
traitements de donnes caractre personnel portant, en tout ou partie, sur des donnes
collectes au moyen du site facebook.com ou au moyen des cookies relevant de ce domaine ;

Vu la dcision n 2016-007 du 26 janvier 2016 de la Prsidente de la Commission nationale

de lInformatique et des liberts mettant en demeure les socits FACEBOOK INC. et
FACEBOOK IRELAND ;

Vu la dlibration du bureau de la Commission nationale de linformatique et des liberts

n 2016-026 du 4 fvrier 2016 dcidant de rendre publique la mise en demeure n 2016-007
du 26 janvier 2016 prise lencontre des socits FACEBOOK INC. et FACEBOOK
IRELAND ;

Vu la dcision de la Prsidente de la Commission nationale de linformatique et des liberts

portant dsignation dun rapporteur devant la formation restreinte, en date du 17 novembre
2016 ;

Vu le rapport de M. Philippe LEMOINE, commissaire rapporteur, du 14 dcembre 2016 ;

Vu les observations crites verses par la socit FACEBOOK IRELAND le 6 mars 2017
ainsi que les observations orales formules lors de la sance de la formation restreinte ;
Vu les observations crites verses par la socit FACEBOOK INC. le 6 mars 2017 ;

Vu les autres pices du dossier ;

Etaient prsents, lors de la sance de la formation restreinte du 23 mars 2017 :

- Monsieur Philippe LEMOINE, commissaire, entendu en son rapport ;
- En qualit de conseils de la socit FACEBOOK IRELAND : []

Madame Nacima BELKACEM, commissaire du Gouvernement, nayant pas formul

dobservation ;

La socit FACEBOOK INC. ntant pas reprsente la sance ;

Les conseils de la socit FACEBOOK IRELAND ayant eu la parole en dernier ;

Aprs en avoir dlibr, a adopt la dcision suivante :

I. Faits et procdure

La socit FACEBOOK INC., socit de droit amricain fonde en 2004 dont le sige social
est situ Menlo Park, en Californie (Etats-Unis), a cr le rseau social FACEBOOK qui
permet aux utilisateurs de partager leur exprience et dchanger. Ce rseau compte
actuellement 1,5 milliard dutilisateurs actifs par mois dans le monde. La socit a galement
une activit de rgie publicitaire. Elle possde 49 bureaux implants dans une trentaine de
pays et compte environ 12 000 salaris travers le monde.

La socit FACEBOOK INC. a cr plusieurs dizaines de filiales dans le monde, dont la

socit FACEBOOK IRELAND Limited (ci-aprs FACEBOOK IRELAND ), situe 4
Grand Canal Square, Grand Canal Harbour, Dublin en Irlande, et la socit FACEBOOK
FRANCE SARL (ci-aprs FACEBOOK FRANCE), situe 6 rue Mnars Paris (75002).

Les socits FACEBOOK INC. et FACEBOOK IRELAND fournissent le service

FACEBOOK, via le site internet www.facebook.com, aux internautes du monde entier.

Les 8 et 9 avril 2015, en application de la dcision n 2015-091C du 17 mars 2015 de la

Prsidente de la Commission Nationale de lInformatique et des Liberts (ci-aprs CNIL
ou la Commission ), une dlgation de la CNIL a procd une mission de contrle sur
place au sein des locaux de la socit FACEBOOK FRANCE.
Les procs-verbaux n 2015-091/1 et 2015-091/2 dresss durant ces deux missions ont t
notifis FACEBOOK INC. et FACEBOOK IRELAND.

Ces premires constatations ont t compltes par un questionnaire adress FACEBOOK

INC. le 30 juillet 2015 dans le cadre dun contrle sur pices. La socit y a rpondu par un
courrier du 26 septembre 2015 en apportant des prcisions sur lorganisation du Groupe
FACEBOOK et en indiquant quelle avait transmis le questionnaire FACEBOOK
IRELAND.

En application de la dcision n 2015-401C du 14 dcembre 2015 de la Prsidente de la

Commission, un contrle en ligne a t diligent le 15 dcembre 2015 sur le site
www.facebook.com et le PV n 2015-401 du mme jour a t notifi aux socits

2
FACEBOOK INC., FACEBOOK IRELAND et FACEBOOK FRANCE le 23 dcembre
2015.

A lissue de ces investigations, la Prsidente de la CNIL a dcid de mettre en demeure

publiquement les socits FACEBOOK INC. et FACEBOOK IRELAND par une dcision
n 2016-007 du 26 janvier 2016 concernant les traitements de donnes mis en uvre dans le
cadre du rseau social FACEBOOK. Il tait ainsi enjoint aux deux socits de prendre, dans
un dlai de trois mois, les mesures suivantes :
- ne pas procder sans base lgale la combinaison des donnes des inscrits des fins
publicitaires ;
- ne pas traiter de donnes non pertinentes, excessives ou inadquates au regard des finalits
poursuivies, en particulier cesser de demander aux inscrits de justifier de leur identit en
fournissant un dossier mdical ;
- recueillir le consentement exprs des inscrits, sur la base dune information spcifique, la
collecte et au traitement de leurs donnes sensibles - en lespce des donnes relatives
aux opinions politiques, religieuses et lorientation sexuelle - par tout procd, tel quune
case cocher, appose lendroit de la collecte ;
- procder linformation des inscrits, conformment aux dispositions de larticle 32 de la
loi du 6 janvier 1978 modifie en particulier :
- sur les traitements de donnes caractre personnel mis en place directement sur le
formulaire dinscription ainsi que sur les pages permettant aux inscrits de complter
leur profil ;
- sur la nature des donnes transfres hors de lUnion europenne, la finalit du
transfert, les destinataires des donnes, et le niveau de protection offert par les pays
destinataires ;
- procder une collecte et un traitement loyal des donnes des internautes non inscrits au
service de FACEBOOK sagissant des donnes collectes via le cookie datr et le
bouton Jaime ;
- informer et obtenir laccord pralable des internautes linscription dinformations sur leur
quipement terminal (cookies) et laccs celles-ci ;
- ne pas conserver de donnes caractre personnel au-del de la dure ncessaire aux
finalits pour lesquelles elles ont t collectes et traites, notamment en supprimant
lexpiration dun dlai de six mois les adresses IP utilises par les inscrits pour se
connecter aux comptes ;
- prendre toutes mesures ncessaires pour garantir la scurit des donnes caractre
personnel des inscrits, notamment en renforant la robustesse des mots de passe des
comptes;
- procder laccomplissement des formalits pralables applicables aux traitements mis en
uvre, en particulier procder une demande dautorisation pour lensemble des
traitements de donnes ayant pour finalit de lutter contre la fraude et susceptibles
dexclure des personnes ;
- ne pas procder des transferts de donnes caractre personnel vers les Etats-Unis sur la
base du Safe Harbor.

Pour faire suite aux demandes exprimes par la socit FACEBOOK IRELAND, quatre
runions se sont tenues entre les services de la CNIL et des reprsentants de FACEBOOK
INC., FACEBOOK IRELAND et FACEBOOK FRANCE les 29 mars, 19 avril, 16 juin et 13
juillet 2016. Chacune de ces runions a fait lobjet dun compte-rendu crit adress aux deux
entits vises dans la mise en demeure.

3
Paralllement, la socit FACEBOOK IRELAND a adress le 4 mai 2016 un courrier la
Prsidente de la Commission apportant, dune part, des premiers lments de rponse et
sollicitant, dautre part, un renouvellement du dlai de trois mois de la mise en demeure. Cette
prorogation a t accorde, par un courrier du 19 mai 2016, portant jusquau 9 aot 2016 le
dlai imparti aux socits pour se mettre en conformit.

Le 19 juillet 2016, FACEBOOK IRELAND a adress des informations complmentaires la

Commission puis, le 9 aot 2016, a fait parvenir ses lments de rponse la mise en demeure
compltant ceux prcdemment transmis. Dans ce cadre, la socit faisait valoir que la loi
n 78-17 du 6 janvier 1978 modifie (ci-aprs loi Informatique et Liberts ) ntait pas
applicable et que la CNIL ntait pas comptente. Elle contestait galement la plupart des
manquements retenus dans la mise demeure, lexception de deux dentre eux : la ncessit
de veiller ladquation, la pertinence et au caractre non excessif des donnes et
lobligation de disposer dune base lgale pour transfrer les donnes caractre personnel
hors de lUnion europenne, pour lesquels la socit a indiqu quelle avait tenu compte des
proccupations de la CNIL.

La socit FACEBOOK INC. na pour sa part apport aucune rponse la mise en demeure.

Au vu de ces lments, la Prsidente de la CNIL a dsign, le 17 novembre 2016, M. Philippe

LEMOINE en qualit de rapporteur sur le fondement de larticle 46 de la loi du 6 janvier 1978
modifie.

A lissue de son instruction, le rapporteur a fait notifier aux socits FACEBOOK INC. et
FACEBOOK IRELAND, le 5 janvier 2017 un rapport dtaillant les manquements relatifs aux
articles 6-1, 6-5, 7, 8, 32-I, et 32-II de la loi Informatique et Liberts quil estimait
constitus en lespce. Ce rapport proposait la formation restreinte de la CNIL de prononcer
lencontre des deux socits une sanction pcuniaire de 150 000 euros, rendue publique.

Etait galement jointe au rapport une convocation la sance de la formation restreinte du

23 mars 2017. Les organismes disposaient dun dlai de deux mois pour communiquer leurs
observations crites.

Le 6 mars 2017, les deux socits ont produit des observations crites sur le rapport, ritres
oralement par la socit FACEBOOK IRELAND lors de la sance de la formation
restreinte du 23 mars 2017. FACEBOOK INC. ntait, quant elle, pas reprsente lors de
cette sance.

II. Motifs de la dcision

1. Sur le droit applicable

Le I de larticle 5 de la loi n 78-17 du 6 janvier 1978 modifie dispose que sont soumis la
prsente loi les traitements de donnes caractre personnel : 1Dont le responsable est
tabli sur le territoire franais. Le responsable d'un traitement qui exerce une activit sur le
territoire franais dans le cadre d'une installation, quelle que soit sa forme juridique, y est
considr comme tabli .

4
Cet article constitue la transposition en droit interne de larticle 4-1-a) de la directive
95/46/CE du 24 octobre 1995 sur le droit national applicable qui dispose que : 1. Chaque
tat membre applique les dispositions nationales qu'il arrte en vertu de la prsente directive
aux traitements de donnes caractre personnel lorsque : a) le traitement est effectu dans
le cadre des activits d'un tablissement du responsable du traitement sur le territoire de
l'tat membre ; si un mme responsable du traitement est tabli sur le territoire de plusieurs
tats membres, il doit prendre les mesures ncessaires pour assurer le respect, par chacun de
ses tablissements, des obligations prvues par le droit national applicable .

Au regard de ces dispositions, le droit applicable dun Etat membre dpend de deux
conditions cumulatives : lexistence dun tablissement du responsable de traitement sur le
territoire dun Etat membre et la mise en uvre du traitement de donnes dans le cadre des
activits de cet tablissement.

La Cour de justice de lUnion europenne a apport des prcisions sur ces deux critres.

Sagissant du premier critre, elle a considr quun responsable de traitement devait tre
considr comme tabli sur le territoire dun Etat membre ds lors que le traitement de
donnes est effectu dans le cadre des activits dun tablissement de ce responsable sur le
territoire de ltat membre (CJUE, Google Spain et Google, 13 mai 2014, C-131/12).

Elle a par ailleurs prcis que la notion dtablissement, au sens de la directive 95/46,
stend toute activit relle et effective, mme minime, exerce au moyen dune installation
stable , le critre de stabilit de linstallation tant examin au regard de la prsence de
moyens humains et techniques ncessaires la fourniture de services concrets en question
(CJUE Weltimmo, 1er octobre 2015, C-230/14, points 30 et 31 ).

Sagissant du second critre, la Cour a prcis qu il y a lieu de considrer que le traitement

de donnes caractre personnel qui est fait pour les besoins du service dun moteur de
recherche tel que Google Search, lequel est exploit par une entreprise ayant son sige dans
un Etat tiers mais disposant dun tablissement dans un Etat membre, est effectu dans le
cadre des activits de cet tablissement si celui-ci est destin assurer, dans cet Etat
membre, la promotion et la vente des espaces publicitaires proposs par ce moteur de
recherche, qui sert rentabiliser le service offert par ce moteur . (CJUE, Google Spain et
Google, 13 mai 2014, C-131/12, point 55).

La Cour a galement affirm que : larticle 4, paragraphe 1, sous a) de la directive 95/46

doit tre interprt en ce sens quun traitement de donnes caractre personnel effectu par
une entreprise de commerce lectronique est rgi par le droit de lEtat membre vers lequel
cette entreprise dirige ses activits sil savre que cette entreprise procde au traitement de
donnes en question dans le cadre des activits dun tablissement situ dans cet Etat
membre . Elle a ainsi admis quun droit national (en lespce, le droit allemand) pouvait
sappliquer une socit tablie dans un autre Etat membre (en lespce, le Luxembourg)
(CJUE, Amazon, 28 juillet 2016, C-191/15).

Les socits soutiennent que les critres de dtermination du droit applicable dfinis par la
Directive 95/46/CE ne permettent pas lapplication du droit franais. Elles contestent ainsi la
qualification dtablissement de FACEBOOK FRANCE en prcisant quil ne sagit que dun
sous-traitant et affirment que seule FACEBOOK IRELAND ralise les traitements en cause.

5
La socit irlandaise serait le seul responsable de traitement pour les utilisateurs situs en
dehors des Etats-Unis et du Canada et seul le droit irlandais serait applicable ds lors que cest
ltablissement irlandais qui a le lien le plus inextricable avec les traitements en cause.

Les socits soutiennent, par ailleurs, que les objectifs de la directive prcite empchent
lapplication concomitante de plusieurs droits. Elles considrent galement que
linterprtation extensive de larticle 4-1-a) de la directive donne par la Cour dans les arrts
Google Spain et Weltimmo nest pas justifie en lespce car, contrairement ces deux
affaires, il nexiste aucun risque de contournement des dispositions europennes, le droit
irlandais permettant dassurer une protection efficace des citoyens. Les socits invoquent
enfin les obstacles insurmontables la libre circulation des donnes quengendrerait
lapplication du droit franais.

a) Sur lexistence dun tablissement en France

La formation restreinte relve que FACEBOOK FRANCE est une socit responsabilit
limite associ unique immatricule au registre du commerce et des socits de Paris depuis
le 3 fvrier 2011. Elle a notamment pour objet de fournir au groupe FACEBOOK des
prestations de service en rapport avec la vente despaces publicitaires, le dveloppement
commercial, le marketing () et toutes autres prestations de service visant dvelopper les
services et la marque Facebook en France . Elle dispose dun sige social situ 6 rue Mnars
Paris (75002) et dun effectif dune cinquantaine de salaris.

La formation restreinte souligne, par ailleurs, quil a t tabli que la socit franaise fournit
des services de support marketing pour la conclusion de contrats publicitaires en France,
notamment grce lquipe grands comptes compose de six personnes qui accompagne
les socits fort potentiel de communication, telles que les entreprises du CAC 40, dans la
stratgie suivre sur le rseau social. Lquipe leur explique notamment le fonctionnement de
la plateforme afin doptimiser le ciblage publicitaire, de dtailler les outils et les opportunits
offertes par ce service.

La formation restreinte considre quau vu de ces lments et la lumire de la jurisprudence

europenne en la matire, la socit FACEBOOK FRANCE constitue une installation stable
qui exerce une activit relle et effective grce des moyens humains et techniques
ncessaires notamment la fourniture de services de marketing. Elle estime par ailleurs que
lventuelle qualit de sous-traitant est sans incidence sur la qualification dtablissement ds
lors que les conditions prcites sont runies.
La formation restreinte considre, en consquence, que la socit FACEBOOK FRANCE doit
tre qualifie dtablissement de FACEBOOK INC. et FACEBOOK IRELAND au sens du I
de larticle 5 de la loi du 6 janvier 1978 modifie.

b) Sur la participation de ltablissement franais aux traitements en cause

La formation restreinte relve quen assurant la promotion des espaces publicitaires du service
FACEBOOK lgard des grandes entreprises franaises, FACEBOOK FRANCE assure la
promotion commerciale des espaces publicitaires du service FACEBOOK auprs des
entreprises franaises et contribue en assurer la rentabilit. Son activit permet dentrer en
relation commerciale avec une gamme dannonceurs susceptibles dintresser les utilisateurs
franais afin quune publicit personnalise leur soit propose puis de les conseiller afin

6
dassurer la meilleure personnalisation possible de ces publicits dans le cadre du rseau
social.

La formation restreinte rappelle galement que FACEBOOK IRELAND a insist sur le fait
que la gratuit du service tait subordonne laffichage de publicits personnalises. Cette
activit est donc indissociable du traitement des donnes des utilisateurs et notamment de leur
combinaison.

La formation restreinte considre ainsi que la socit FACEBOOK FRANCE qui est charge
de promouvoir la vente despaces publicitaires auprs des entreprises franaises destination
des utilisateurs franais, contribue par ce biais la perception de revenus publicitaires. Elle
participe donc, dans le cadre de ses activits, aux traitements en cause.

Enfin, la formation restreinte relve que les activits du Groupe FACEBOOK sont diriges
vers le public franais puisque FACEBOOK FRANCE a notamment pour objet de dmarcher
les grands annonceurs franais afin de proposer une publicit pertinente pour les utilisateurs
du rseau social en France.

La formation restreinte en conclut que les critres du I de larticle 5 de la loi du 6 janvier 1978
modifie, examins la lumire des arrts de la Cour de justice de lUnion europenne, sont
runis et que le droit franais sapplique.

2. Sur le pouvoir de sanction de la CNIL

Larticle 45 de la loi n 78-17 du 6 janvier 1978 modifie, dans sa version applicable au

moment des faits, dispose que : le prsident de la commission peut galement mettre en
demeure ce responsable de faire cesser le manquement constat dans un dlai qu'il fixe. En
cas d'urgence, ce dlai peut tre ramen cinq jours. Si le responsable du traitement se
conforme la mise en demeure qui lui est adresse, le prsident de la commission prononce
la clture de la procdure.

Dans le cas contraire, la formation restreinte peut prononcer son encontre, aprs une
procdure contradictoire, les sanctions suivantes () :1 Une sanction pcuniaire, dans les
conditions prvues par l'article 47, l'exception des cas o le traitement est mis en uvre par
l'Etat ; .

Larticle 48 de la loi susvise ajoute que les pouvoirs prvus l'article 44 ainsi qu'au I, au
1 du II et au III de l'article 45 peuvent tre exercs l'gard des traitements dont les
oprations sont mises en uvre, en tout ou partie, sur le territoire national, y compris lorsque
le responsable du traitement est tabli sur le territoire d'un autre Etat membre de la
Communaut europenne .

La socit FACEBOOK IRELAND conteste la comptence de la Commission au motif que le

droit franais nest pas applicable et quen application de larrt Weltimmo, ds lors que le
droit de lEtat membre dont relve une autorit de contrle nest pas applicable, celle-ci ne
peut infliger de sanction un responsable de traitement qui nest pas tabli sur son territoire.
Elle prcise que le droit irlandais tant seul applicable, seule lautorit de protection des
donnes irlandaise est comptente.

7
Dans sa dcision Weltimmo prcite, la Cour de justice de lUnion europenne a prcis que
dans lhypothse o lautorit de contrle dun tat membre saisie de plaintes,
conformment larticle 28, paragraphe 4, de la directive 95/46, parviendrait la conclusion
que le droit applicable au traitement des donnes caractre personnel concernes est non
pas le droit de cet tat membre, mais celui dun autre tat membre, larticle 28,
paragraphes 1, 3 et 6, de cette directive doit tre interprt en ce sens que cette autorit de
contrle ne pourrait exercer les pouvoirs effectifs dinterventions qui lui ont t confrs
conformment larticle 28, paragraphe 3, de ladite directive que sur le territoire de ltat
membre dont elle relve. Partant, elle ne saurait infliger de sanctions sur la base du droit de
cet tat membre au responsable du traitement de ces donnes qui nest pas tabli sur ce
territoire, mais devrait, en application de larticle 28, paragraphe 6, de la mme directive,
demander lautorit de contrle relevant de ltat membre dont le droit est applicable
dintervenir (point 60).

La formation restreinte considre en lespce, comme cela a t prcis supra, que le droit
franais est applicable et en consquence quil convient de faire application des articles 45 et
48 de la loi du 6 janvier 1978 modifie qui confrent comptence la Commission pour
prononcer des sanctions lencontre des responsables de traitements mis en uvre, en tout ou
partie, sur le territoire national, y compris lorsque le responsable de traitement est tabli sur le
territoire dun autre Etat membre.

La formation restreinte relve que larrt Weltimmo de la Cour de justice de lUnion

europenne prcit conforte cette position. Ce dernier prcise que le pouvoir de sanction
dune autorit de contrle doit tre cart dans lhypothse o le droit applicable est celui
dun autre Etat membre. A contrario, ce pouvoir reste plein et entier lorsque le droit
applicable est celui de lEtat membre dont relve lautorit de contrle.

La formation restreinte considre, en consquence, que ds lors que le droit franais est
applicable, la CNIL dispose de lintgralit de ses pouvoirs, dont celui de prononcer des
sanctions.

3. Sur la qualit de responsables de traitement des socits FACEBOOK INC. et

FACEBOOK IRELAND

Le I de larticle 3 de la loi n 78-17 du 6 janvier 1978 modifie dispose que le responsable

d'un traitement de donnes caractre personnel est, sauf dsignation expresse par les
dispositions lgislatives ou rglementaires relatives ce traitement, la personne, l'autorit
publique, le service ou l'organisme qui dtermine ses finalits et ses moyens .

Cette disposition constitue la transposition de larticle 2 d) de la directive 95/46/CE du 24

octobre 1995 qui dfinit le responsable de traitement comme la personne physique ou
morale, lautorit publique, le service ou tout autre organisme qui, seul ou conjointement
avec dautres, dtermine les finalits et les moyens du traitement de donnes caractre
personnel .

Les socits FACEBOOK INC. et FACEBOOK IRELAND soutiennent que seule

FACEBOOK IRELAND doit tre qualifie de responsable du traitement des donnes des
utilisateurs situes en dehors du Canada et des Etats-Unis, lentit amricaine ntant que
sous-traitant de la socit irlandaise pour laquelle elle assure des prestations dhbergement.

8
Les socits rappellent ce titre, quelles constituent des entits juridiques distinctes et
indpendantes avec des missions diffrentes : depuis 2010, FACEBOOK INC. fournit le
service uniquement aux utilisateurs nord-amricains et ne traite que leurs donnes alors que
FACEBOOK IRELAND fournit le service tous les autres utilisateurs du monde et traite
leurs donnes. Elles prcisent que la qualification de responsable de traitement de lentit
irlandaise dcoule, dune part, dune analyse factuelle ds lors que FACEBOOK IRELAND
dispose dun sige social et dun effectif de plus 1600 salaris Dublin et quelle dtermine
seule les rgles rgissant le traitement des donnes des utilisateurs au sein de lUnion
europenne et, dautre part, dune analyse juridique puisque plusieurs documents lgaux,
notamment les documents intituls la dclaration des droits et des responsabilits et la
politique dutilisation des donnes , la dsignent comme responsable de traitement.
FACEBOOK INC. na pour sa part aucun contrle effectif sur les donnes des utilisateurs de
lUnion europenne.

Enfin, les socits font valoir que si le service fourni aux utilisateurs du rseau social, via une
plateforme mondiale, comporte des similitudes, il nexiste plus de service global et qu ce
titre, certaines fonctionnalits proposes aux utilisateurs nord-amricains ne sont pas
disponibles pour les utilisateurs de FACEBOOK IRELAND.

En premier lieu, la formation restreinte souligne que la qualit de responsable de traitement de

FACEBOOK IRELAND nest pas conteste.

En deuxime lieu, sur la qualit de responsable de traitement de FACEBOOK INC., la

formation restreinte relve que le site facebook.com , lun des sites les plus visits au
monde, a t conu et dvelopp par les fondateurs de la socit amricaine en 2004. Comme
relev lors des constations effectues, ce rseau social international est constitu dune
plateforme unique permettant aux utilisateurs du monde entier dtre connects les uns avec
les autres, quils se trouvent en Inde, en Europe ou aux Etats-Unis. Il nexiste donc pas deux
services distincts pour les utilisateurs nord-amricains et pour tous les autres utilisateurs, les
ventuelles diffrences de fonctionnalits de ce dernier sexpliquant par la ncessit de
respecter la lgislation des Etats dans lesquels il est propos.

La formation restreinte souligne, par ailleurs, que le rseau social a t conu, mis en uvre,
enrichi et adapt aux Etats-Unis par la socit FACEBOOK INC depuis 2004 et que cette
dernire rgit aujourdhui le mode de fonctionnement de lintgralit du service quels que
soient les utilisateurs concerns.

Il repose sur le traitement des donnes des utilisateurs et sur leur combinaison aux fins de
permettre laffichage de contenus et de publicits personnaliss et de fournir un service
gratuit. Cette stratgie commerciale nest pas dcide isolment et indpendamment par la
socit FACEBOOK IRELAND. Elle nest pas propre aux utilisateurs non-amricains mais
rsulte bien dune politique unique applique lensemble du rseau social.

La formation restreinte considre, par consquent, que les finalits des traitements en cause, et
notamment les finalits de combinaison des donnes des utilisateurs, sont dtermines
conjointement par les socits FACEBOOK INC. et FACEBOOK IRELAND.

La formation restreinte relve, par ailleurs, que lexistence de cette politique commerciale
commune est corrobore par le fait que le document intitul politique dutilisation des
donnes est le mme pour les utilisateurs nord-amricains et europens. Elle rappelle

9
galement que jusquau 9 dcembre 2016, la dclaration des droits et des responsabilits
prvoyait la comptence exclusive des tribunaux amricains en cas de litige avec les
utilisateurs, sans distinction de nationalit, ce qui dmontre limplication de la socit
amricaine dans la cration et le dveloppement du rseau social.

Enfin, la formation restreinte souligne que la socit FACEBOOK INC. dispose de lexpertise
technique permettant de faire fonctionner le rseau social. Elle relve cet gard que les
clauses contractuelles types encadrant le transfert des donnes entre FACEBOOK IRELAND
et FACEBOOK INC. prcisent que lentit amricaine procde diverses oprations de
traitement et notamment la facilitation de lauthentification des utilisateurs et
lamlioration de lefficacit des services de FACEBOOK. La formation restreinte considre
que ces oprations directement lies au fonctionnement du rseau social, ralises quelle que
soit la localisation des utilisateurs et des donnes collectes, confirment que la socit
FACEBOOK INC. contribue dterminer les moyens des traitements qui sinscrivent dans le
cadre dune plateforme unique.

La formation restreinte considre en consquence que les socits FACEBOOK INC. et

FACEBOOK IRELAND doivent tre conjointement qualifies de responsables des
traitements.

4. Sur linvocabilit des dispositions de la lgislation europenne (directive 95/46/CE et

directive 2009/140/CE)

Le considrant 9 de la directive 95/46/CE du 24 octobre 1995 nonce que : [] les tats

membres disposeront d'une marge de manuvre qui, dans le contexte de la mise en uvre de
la directive, pourra tre utilise par les partenaires conomiques et sociaux; qu'ils pourront
donc prciser, dans leur lgislation nationale, les conditions gnrales de licit du
traitement des donnes ; que, ce faisant, les tats membres s'efforceront d'amliorer la
protection assure actuellement par leur lgislation; que, dans les limites de cette marge de
manuvre et conformment au droit communautaire, des disparits pourront se produire
dans la mise en uvre de la directive et que cela pourra avoir des incidences sur la
circulation des donnes tant l'intrieur d'un tat membre que dans la Communaut.

La socit FACEBOOK IRELAND fait rfrence aux dispositions de la directive 95/46/CE et

celles de la directive 2009/140/CE et soutient que certaines obligations fixes par la loi
Informatique et Liberts modifie seraient illicites en ce quelles excderaient les termes
de la lgislation europenne. Elle soutient galement que la Commission procderait une
mauvaise interprtation de ces textes.

Elle fait notamment valoir que la loi Informatique et Liberts modifie telle quapplique par
la Commission :
- introduit des exigences normatives additionnelles en matire dinformation des utilisateurs et
de cookies ;
- ajoute des conditions concernant les bases lgales du traitement des donnes ;
- impose un mcanisme particulier pour recueillir le consentement exprs des utilisateurs au
traitement de leurs donnes sensibles ;
- impose une dure maximale de conservation des donnes et plus prcisment des adresses
IP.

10
En premier lieu, la formation restreinte rappelle que lharmonisation vise par les directives
95/46/CE et 2009/140/CE ninterdit pas aux Etats membres dadopter des mesures nationales
plus prcises ds lors quelles visent en raliser les objectifs (CJUE, Breyer, 19 octobre
2016, C-582/14).

Elle souligne ce titre que les Etats membres sont libres dans ladoption des moyens quils
utilisent pour atteindre les objectifs fixs par les directives europennes (Arrts CE 28 fvrier
1992, S.A. Rothmans International France et S.A. Philip Morris France, n 56776 et 56777) et
ce, en vue d'en assurer l'effet utile (CJCE Royer du 8 avril 1976, aff 48/75, Rec. p. 49).

En deuxime lieu, la formation restreinte considre que les dispositions de la loi Informatique
et Liberts modifie qui sont vises par la socit permettent de raliser lobjectif poursuivi
par les directives susvises savoir maintenir un quilibre entre la libre circulation des
donnes caractre personnel et la protection de la vie prive.

En ce sens, elle estime quen prcisant notamment les informations quil convient de fournir
aux utilisateurs, les conditions de licit du traitement et de recueil du consentement, les
dispositions de loi informatique et liberts modifie nexcdent en rien cet objectif ni ne
modifient ou altrent la porte des principes qui y sont noncs.

En dernier lieu, la formation restreinte rappelle que les griefs pouvant se rapporter une
mauvaise transposition dune lgislation europenne en droit national, relvent dune action
en manquement qui est de la seule comptence de la Cour de justice de lUnion europenne.

5. Sur le manquement lobligation dinformer les personnes

Le I de larticle 32 de la loi du 6 janvier 1978 modifie, dans sa rdaction en vigueur au

moment de la mise en demeure, dispose que :
La personne auprs de laquelle sont recueillies des donnes caractre personnel la
concernant est informe, sauf si elle l'a t au pralable, par le responsable du traitement ou
son reprsentant :
1 De l'identit du responsable du traitement et, le cas chant, de celle de son reprsentant ;
2 De la finalit poursuivie par le traitement auquel les donnes sont destines ;
3 Du caractre obligatoire ou facultatif des rponses ;
4 Des consquences ventuelles, son gard, d'un dfaut de rponse ;
5 Des destinataires ou catgories de destinataires des donnes ;
6 Des droits qu'elle tient des dispositions de la section 2 du prsent chapitre ;
7 Le cas chant, des transferts de donnes caractre personnel envisags destination
d'un Etat non membre de la Communaut europenne ;

Lorsque de telles donnes sont recueillies par voie de questionnaires, ceux-ci doivent porter
la mention des prescriptions figurant aux 1, 2, 3 et 6 .

Larticle 91 du dcret du 20 octobre 2005 modifi pris en application de la loi du 6 janvier

1978 modifie, prcise que : Les informations figurant au 7 du I de l'article 32 de la loi du
6 janvier 1978 susvise que le responsable du traitement communique, dans les conditions
prvues l'article 90, la personne auprs de laquelle des donnes caractre personnel
sont recueillies, sont les suivantes :
1 Le ou les pays d'tablissement du destinataire des donnes dans les cas o ce ou ces pays
sont dtermins lors de la collecte des donnes ;

11
2 La nature des donnes transfres ;
3 La finalit du transfert envisag ;
4 La ou les catgories de destinataires des donnes ;
5 Le niveau de protection offert par le ou les pays tiers :
a) Si le ou les pays tiers figurent dans la liste prvue l'article 108, il est fait mention de la
dcision de la Commission europenne autorisant ce transfert ;
b) Si le ou les pays tiers ne satisfont pas aux conditions prvues l'article 68 de la mme loi,
il est fait mention de l'exception prvue l'article 69 de cette loi qui permet ce transfert ou de
la dcision de la Commission nationale de l'informatique et des liberts autorisant ce
transfert.

Les socits ont t mises en demeure de procder linformation des inscrits et en

particulier :
- sur les traitements de donnes caractre personnel mis en place, directement sur le
formulaire dinscription ainsi que sur les pages permettant aux inscrits de complter leur
profil ;
- sur la nature des donnes transfres hors de lUnion europenne, la finalit du transfert, les
destinataires des donnes, et le niveau de protection offert par les pays destinataires.

En dfense, la socit FACEBOOK IRELAND fait principalement valoir quelle dlivre ses
utilisateurs une information conforme aux exigences de larticle 10 de la directive 95/46/CE et
aux avis du groupe de travail de larticle 29 (dit G29 ). Elle considre notamment que sa
politique dutilisation des donnes, accessible via un lien figurant sur le formulaire
dinscription, contient lensemble des informations requises par larticle 10 de la directive
prcite et que les utilisateurs sont informs sur les transferts de donnes hors de lUnion
europenne via ce mme document et galement par la dclaration des droits et des
responsabilits.

Elle soutient par ailleurs quen labsence dinterdiction, il est possible de recourir une
pluralit de supports dinformation. Elle considre que ce procd ne complexifie en rien
laccs, la qualit et la compltude de linformation qui doit tre fournie aux utilisateurs.

Elle fait, ce titre, rfrence une approche par strate de linformation telle que
recommande par le G29 dans son avis 10/2004 du 25 novembre 2004. Elle indique que la
politique dutilisation des donnes permet aux utilisateurs davoir une comprhension globale
des traitements mis en uvre et qu partir de ce document, les utilisateurs peuvent
directement accder dautres documents dtaillant certains aspects des traitements mis en
uvre.

En ce qui concerne les exigences de larticle 10 de la directive 95/46/CE, la formation

restreinte rappelle, comme cela a t voqu prcdemment, quil convient dexaminer le
respect par les socits, des obligations dcoulant uniquement de larticle 32-I de la loi du
6 janvier 1978 modifie et non de celles rsultant des dispositions de la directive 95/46/CE.

Elle souligne nanmoins que larticle 10 de la directive 95/46/CE prvoit une liste non
exhaustive dinformations devant tre fournies par le responsable de traitement : Les tats
membres prvoient que le responsable du traitement ou son reprsentant doit fournir la
personne auprs de laquelle il collecte des donnes la concernant au moins les informations
numres ci-dessous []. En prvoyant la fourniture de linformation directement sur le
formulaire de collecte, les dispositions de la loi Informatique et Liberts nentrent pas

12
contradiction avec cet article. Ces dispositions permettent en effet aux utilisateurs dune part,
dapprhender pleinement les traitements qui seront mis en uvre lgard de leurs donnes
caractre personnel et dautre part, dexercer leurs droits le cas chant.

La formation restreinte relve cet gard que les socits ne dispensent aucune information
directement sur le formulaire dinscription, ainsi que sur les pages permettant aux utilisateurs
inscrits de complter leurs profils.

Sagissant de la fourniture dune information par strate aux utilisateurs, la formation

restreinte relve que cette information par strate doit dissocier deux niveaux
dinformation : dune part, les informations de premier niveau, qui sont les plus importantes
pour les personnes ; dautre part, les informations qui ne prsentent vraisemblablement
dintrt quen seconde intention. Parmi les informations essentielles de premier niveau
figurent, outre lidentit du responsable de traitement, les finalits du traitement et toute
information supplmentaire ncessaire afin de garantir un traitement loyal de linformation
vis--vis des personnes concernes.

La formation restreinte considre que les droits dont disposent les utilisateurs ainsi que les
informations se rapportant aux transferts des donnes hors de lUnion europenne doivent
galement tre regards comme essentiels et leur tre fournis immdiatement.

A cet gard, elle relve que la politique dutilisation des donnes, document considr par les
socits FACEBOOK IRELAND et FACEBOOK INC comme le principal support de
diffusion de linformation, nexpose ni les droits dont disposent les utilisateurs ni les
informations relatives aux transferts de donnes hors de lUnion europenne (nature des
donnes transfres, finalit du transfert, destinataires des donnes).

La formation restreinte estime que cette absence dinformation porte immdiatement la

connaissance des utilisateurs ne leur permet pas davoir la maitrise de leurs donnes et du
traitement dont ils font lobjet.

La formation restreinte considre en consquence que le manquement au I de larticle 32 de la

loi du 6 janvier 1978 modifie est caractris.

6. Sur le manquement lobligation de disposer dune base lgale pour les traitements
mis en uvre

Larticle 7 de la loi n 78-17 du 6 janvier 1978 modifie dispose que :

Un traitement de donnes caractre personnel doit avoir reu le consentement de la
personne concerne ou satisfaire l'une des conditions suivantes :
1 Le respect d'une obligation lgale incombant au responsable du traitement ;
2 La sauvegarde de la vie de la personne concerne ;
3 L'excution d'une mission de service public dont est investi le responsable ou le
destinataire du traitement ;
4 L'excution, soit d'un contrat auquel la personne concerne est partie, soit de mesures
prcontractuelles prises la demande de celle-ci ;
5 La ralisation de l'intrt lgitime poursuivi par le responsable du traitement ou par le
destinataire, sous rserve de ne pas mconnatre l'intrt ou les droits et liberts
fondamentaux de la personne concerne .

13
Les socits ont t mises en demeure de ne pas procder sans base lgale la combinaison
des donnes des inscrits des fins de ciblage publicitaire.

Il avait, en effet, t relev que pour afficher de la publicit cible, les socits procdaient
la combinaison des donnes fournies par les inscrits lors de la cration de leur compte sur le
site, des donnes relatives lactivit des inscrits sur le site (contenus partags ou consults
par exemple), quel que soit le terminal utilis par ces derniers, des donnes relatives aux
appareils utiliss par les inscrits (systme dexploitation, coordonnes GPS, type de
navigateur, numro de tlphone mobile par exemple), des donnes provenant de sites tiers et
applications intgrant notamment des boutons Jaime ou Se connecter , des donnes
provenant de partenaires tiers (partenaires avec qui la socit a collabor pour offrir un
service ou annonceurs avec lesquels les inscrits ont interagi) et des donnes provenant des
socits qui appartiennent ou qui sont exploites par la socit (FACEBOOK Payments Inc.,
Instagram LLC, WhatsApp Inc. par exemple).

En dfense, la socit FACEBOOK IRELAND soutient quelle dispose de trois bases lgales
pour procder la combinaison de donnes.

En premier lieu, elle affirme quelle recueille le consentement clair, libre, spcifique et non
quivoque des utilisateurs dans la mesure o ils acceptent la politique dutilisation des
donnes . Elle soutient ce titre que le consentement spcifique ne ncessite pas que les
utilisateurs consentent sparment chacun des traitements mis en uvre mais quils
reoivent une information claire et comprhensible sur la manire dont les donnes sont
traites et quils y consentent. Elle prcise, par ailleurs, que le consentement des utilisateurs
est libre ds lors quils choisissent de leur plein gr de sinscrire sur le rseau social et quils
peuvent fermer leur compte sils le souhaitent.

En deuxime lieu, la socit invoque lexcution dun contrat en affirmant que la relation avec
les utilisateurs est rgie par la dclaration des droits et des responsabilits . Elle indique
ce titre que la combinaison des donnes des fins de publicit est ncessaire lexcution
contractuelle, et plus particulirement loffre de services gratuits aux utilisateurs. Elle fait
valoir que les utilisateurs du rseau social sattendent un contenu personnalis et que
labsence de publicit cible entranerait une exprience dtriore pour ces derniers.

Elle insiste galement sur le fait que sans les revenus publicitaires, le service FACEBOOK ne
serait pas disponible et quen remettant en cause ce modle conomique, la Commission porte
atteinte sa libert dentreprendre. Elle soutient, par ailleurs, que la Commission cherche
rcrire le contrat entre les socits et leurs utilisateurs alors quelle ne dispose pas dun tel
pouvoir de rvision.

En dernier lieu, elle fait valoir quelle poursuit un intrt lgitime en procdant la
combinaison des donnes, savoir un intrt conomique et commercial, sans mconnatre
pour autant les droits et liberts fondamentaux des utilisateurs ds lors que ces derniers
peuvent sopposer lutilisation de leurs donnes. Elle prcise ainsi que les utilisateurs ont un
degr important de contrle sur les publicits quils voient et sur la faon dont leurs donnes
sont traites. Elle soutient galement que les intrts de la socit et des utilisateurs sont
aligns et quil ny a aucune incidence ngative sur les utilisateurs puisque la combinaison de
donnes permet de leur offrir une exprience personnalise.

14
Sagissant du recueil du consentement, la formation restreinte rappelle que le respect de ce
critre impose de vrifier que les utilisateurs ont donn un consentement clair, spcifique et
libre.

En ce qui concerne le caractre clair, la formation restreinte relve tout dabord quaucun
des documents mis la disposition des utilisateurs par les socits FACEBOOK IRELAND et
FACEBOOK INC. ne mentionne expressment la combinaison de donnes. Elle souligne
ainsi que la politique dutilisation des donnes indique uniquement quaux fins
damliorer leur systme de publicit, les socits se fondent sur les informations [leur]
disposition ou sur les informations obtenues () au sein comme en dehors de [leurs]
services . A linverse, elle ne prcise pas que ces donnes caractre personnel font lobjet
dun croisement massif, ni quel moment cette combinaison est opre.

La formation restreinte souligne quoutre le fait que la combinaison de donnes nest pas
mentionne expressment, linformation sur laffichage dune publicit cible est dilue dans
trois documents distincts intituls la politique dutilisation des donnes , la politique
dutilisation des cookies et la page propos de la publicit sur Facebook, de sorte quil est
difficile pour un utilisateur davoir une comprhension des processus en cause.

La formation restreinte relve, par ailleurs, que les diffrents liens hypertextes auxquels la
politique dutilisation des donnes renvoie dtaillent uniquement les modes de
fonctionnement de la publicit et les possibilits de contrle de son affichage. Elle souligne
galement lutilisation de termes gnraux dans ce document tels que la rfrence aux
informations que vous avez partages avec Facebook, les Pages que vous aimez ou avec
lesquelles vous interagissez , ce qui ne permet pas aux utilisateurs davoir une juste
perception de la nature et du volume des donnes qui sont collectes puis combines.

La formation restreinte estime galement que le caractre particulirement intrusif de la

combinaison des donnes et les incidences de celles-ci sur la vie prive des utilisateurs
doivent conduire la considrer comme une information essentielle de premier niveau qui
devrait, conformment lavis prcit du G29 invoqu par FACEBOOK IRELAND, tre
fournie immdiatement aux utilisateurs, cest--dire dans la politique dutilisation des
donnes .

Au vu de ces lments, la formation restreinte considre que le consentement des utilisateurs

nest pas clair.

En ce qui concerne le caractre spcifique du consentement, la formation restreinte relve que

lorsque la personne sinscrit sur le rseau social, elle accepte simultanment trois documents :
la politique dutilisation des donnes , la politique dutilisation des cookies et la
dclaration des droits et responsabilits .

Elle considre ainsi que le consentement ne peut tre spcifique ds lors quil nest pas
recueilli de faon ddie et distinct des autres documents.

En ce qui concerne le caractre libre du consentement, la formation restreinte relve que les
utilisateurs ne sont pas libres de consentir ou non la combinaison de leurs donnes ds lors
que linscription sur le rseau social emporte ncessairement cette combinaison sans quils
puissent sy opposer, ni au moment de la cration de leur compte, ni a posteriori.

15
Au vu de ces lments, la formation restreinte considre que le consentement des utilisateurs
nest pas libre.

Sagissant de lexcution dun contrat, la formation restreinte relve que lobjet principal du
service est la fourniture dun rseau social : les utilisateurs qui crent un compte sur le site
facebook.com souhaitent dabord accder aux fonctionnalits de ce rseau, cest--dire
interagir avec leurs relations, crer des groupes dintrt commun, organiser des vnements
ou partager des contenus tels que des photos ou des articles de presse. Ils ne sinscrivent pas
au rseau social pour recevoir de la publicit cible.

La formation restreinte considre, en consquence, que la combinaison des donnes des

utilisateurs des fins de ciblage publicitaire ne correspond ni lobjet principal du contrat ni
aux attentes raisonnables des utilisateurs quant lexcution de la convention conclue lors de
linscription au service.

Elle prcise cet gard quelle ne remet pas en cause le modle conomique des socits ni
ninterdit laffichage de toute publicit cible mais quil lui incombe de veiller ce que les
droits des personnes concernes soient respects et notamment ce que lexcution dun
contrat ne les conduise pas y renoncer.

Sagissant de lintrt lgitime, la formation restreinte rappelle que lexamen de ce critre

ncessite dexaminer, dune part, la proportionnalit du traitement en cause au regard de sa
finalit et de sassurer, dautre part, que lintrt ou les droits et liberts fondamentaux des
personnes concernes sont suffisamment prservs.

La formation restreinte relve que les socits procdent la combinaison des donnes des
utilisateurs aux fins daffichage de contenus et de publicits personnaliss. Elle considre que
ce traitement qui procde dun intrt conomique et permet aux socits doffrir un service
gratuit et pertinent aux utilisateurs peut tre qualifi de lgitime. Pour autant, la formation
restreinte relve que la combinaison potentiellement illimite de toutes les donnes des
utilisateurs, qui sont collectes non seulement sur le site facebook.com mais galement sur
des sites ou applications tiers, notamment via le cookie datr (voir infra) est, par son
ampleur, de nature mconnatre les intrts des utilisateurs et porter atteinte leur droit au
respect de la vie prive.

Il lui appartient donc de juger si lintrt ou les droits et liberts fondamentaux des personnes
concernes sont suffisamment prservs en lespce pour que lquilibre prescrit par le
lgislateur entre ces deux catgories dintrts soit atteint. Elle souligne que cet quilibre ne
peut tre assur que sil est mis disposition des utilisateurs des outils adquats leur
permettant dexercer les droits quils dtiennent des articles 32 et 38 de la loi du 6 janvier
1978 modifie, et plus prcisment les moyens de sopposer la combinaison de leurs
donnes.

Sur ce point, la formation restreinte rappelle que linformation diffuse aux utilisateurs et
accessible sur le rseau social nest pas suffisante.

Elle relve en outre que les socits ont effectivement dvelopp des outils visant permettre
aux utilisateurs dexercer un contrle sur la publicit personnalise qui leur est propose,
notamment travers la rubrique Publicits des paramtres du compte des utilisateurs. Ces

16
derniers peuvent ainsi supprimer les prfrences associes leur compte qui sont utilises
pour personnaliser les publicits en fonction des centres dintrts identifis.

Elle relve en revanche, quaucun moyen nest mis disposition des utilisateurs pour
sopposer la collecte de ces informations et leur combinaison, de sorte quils ne peuvent
mettre fin au suivi massif dont ils font lobjet. Les utilisateurs du rseau social sont ainsi
dpourvus de tout contrle sur leurs donnes caractre personnel ce qui porte atteinte au
droit au respect de leur vie prive.

La formation restreinte considre ainsi que labsence dinformation suffisante et de

mcanisme dopposition la combinaison des donnes ne permet pas de garantir un juste
quilibre entre, dune part, lintrt conomique des socits FACEBOOK IRELAND et
FACEBOOK INC. et, dautre part, les droits et liberts des utilisateurs du rseau.

La formation restreinte estime que les socits ne peuvent se prvaloir du recueil du

consentement des utilisateurs, de la ncessit lie lexcution dun contrat ou dun juste
quilibre entre leur propre intrt lgitime et les droits fondamentaux des utilisateurs. Elle
considre en consquence que le manquement larticle 7 de la loi du 6 janvier 1978
modifie est caractris.

7. Sur le manquement lobligation de procder une collecte et un traitement

loyal des donnes

Le 1 de larticle 6 de la loi du 6 janvier 1978 modifie dispose que : les donnes sont
collectes et traites de manire loyale et licite .
Les socits ont t mises en demeure de procder une collecte et un traitement loyal des
donnes des internautes non inscrits concernant les donnes collectes via le cookie datr
et un module social FACEBOOK (ex : bouton Jaime ).

Il avait, en effet, t relev quun cookie datr tait dpos sur le terminal des internautes
non inscrits sur le site de FACEBOOK, ce cookie permettant notamment, sans quils en soient
informs, de suivre et de collecter les donnes relatives leur navigation sur des sites tiers,
ds lors que ces derniers contiennent un module social FACEBOOK.

En dfense, la socit FACEBOOK IRELAND fait principalement valoir que le traitement

des donnes collectes par lintermdiaire du cookie datr est loyal au motif que les
internautes (inscrits et non inscrits) reoivent une information complte avant son installation
sur leur terminal via le bandeau dinformation relatif aux cookies, la politique dutilisation des
cookies et les pages daide. Elle prcise que le bandeau dinformation relatif aux cookies
fournit tous les utilisateurs les informations essentielles et que de plus amples informations
peuvent tre obtenues en cliquant sur le lien relatif la politique dutilisation des cookies
prsent sur le formulaire dinscription.

Elle indique par ailleurs que ce cookie nest dpos que lorsque les internautes visitent une
page FACEBOOK ou cliquent sur un module social prsent sur un site tiers.

La socit soulve galement le fait que les donnes collectes via ce cookie sont limites et
ne portent que sur des informations relatives au navigateur utilis par linternaute (cookie ID,
adresse IP de consultation, nom et informations relatifs la version du navigateur utilis,
adresse du site internet sur lequel figure le module social de FACEBOOK).
17
Enfin, elle affirme que ce cookie nest pas utilis pour suivre les comportements de navigation
des internautes des fins publicitaires mais quil assure une fonction de scurit essentielle du
service et assure la protection des donnes caractre personnel des utilisateurs. A ce titre,
elle prcise quil permet une analyse de la navigation des internautes afin notamment dviter
les attaques, la cration de faux comptes ou lusurpation de comptes.

Sagissant du dpt du cookie datr , la formation restreinte relve quil est dpos ds lors
quun internaute (inscrits et non inscrits) consulte une page du site facebook.com ou quil
clique sur le bouton Jaime figurant sur un site tiers.

Par la suite, les donnes relatives sa navigation sur le site facebook.com ou dautres sites
tiers sont remontes puis collectes par FACEBOOK.

Sagissant de linformation des internautes non inscrits, si la formation restreinte relve que le
bandeau dinformation relatif aux cookies a t modifi, elle estime toutefois que la rfrence
aux [...] informations [collectes] sur et en dehors de Facebook via les cookies prsente
galement sur certains sites tiers comprenant un module social reste encore trs imprcise.

Elle ne permet pas aux internautes et en particulier aux internautes non inscrits sur le rseau
social, dtre clairement informs et de comprendre que leurs donnes sont systmatiquement
collectes ds lors quils se trouveront sur un site tiers comportant un module social. Elle
considre ainsi que le renvoi la politique dutilisation des cookies et son ventuelle
consultation par les internautes non inscrits nest pas suffisant et ne peut se substituer
lobligation de leur dlivrer une information claire et prcise sur lexistence de la collecte de
donnes dont ils font lobjet. En effet, ces derniers nont aucune raison de consulter ce
document ds lors quils ne crent pas de compte sur le rseau social.

En ce qui concerne la finalit scuritaire poursuivie par le cookie datr , la formation

restreinte la considre lgitime pour les internautes inscrits. A contrario, une telle finalit ne
peut tre ni lgitime ni justifie pour les internautes non inscrits ds lors que ces derniers ne
peuvent pas faire lobjet dune usurpation de compte ou dune attaque.

Ainsi en labsence dune information suffisamment claire et prcise sur la collecte des
donnes effectues et ds lors que le cookie datr permet deffectuer un suivi dtaill de la
navigation de lensemble des internautes (inscrits ou non sur le rseau social), la formation
restreinte considre que ces donnes ne sont pas collectes et traites de faon loyale.

La formation restreinte considre en consquence que le manquement au 1 de larticle 6 de la

loi du 6 janvier 1978 modifie est caractris.

8. Sur le manquement lobligation de recueillir le consentement des personnes

concernes pour le traitement de donnes sensibles relatives aux opinions politiques
ou religieuses et la vie sexuelle

Larticle 8 de la loi du 6 janvier 1978 modifie dispose que : I. - Il est interdit de collecter
ou de traiter des donnes caractre personnel qui font apparatre, directement ou
indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou
religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives la sant ou la
vie sexuelle de celles-ci.

18
II. - Dans la mesure o la finalit du traitement l'exige pour certaines catgories de donnes,
ne sont pas soumis l'interdiction prvue au I : 1 Les traitements pour lesquels la personne
concerne a donn son consentement exprs, sauf dans le cas o la loi prvoit que
l'interdiction vise au I ne peut tre leve par le consentement de la personne concerne
[] .

Les socits ont t mises en demeure de recueillir le consentement exprs des personnes, sur
la base dune information spcifique, la collecte et au traitement de leurs donnes
sensibles en lespce les donnes relatives aux origines ethniques ou raciales, aux opinions
religieuses et la vie sexuelle des personnes.

En dfense, la socit FACEBOOK IRELAND fait valoir que lutilisateur, lorsquil complte
son profil, renseigne volontairement ce type de donnes et a la possibilit de les rendre
publiques via les paramtres de confidentialit. En outre, la socit considre que les donnes
des utilisateurs lies lintrt quils portent aux hommes ou aux femmes ne sont pas des
donnes sensibles. Elle fait galement valoir que linformation fournie aux utilisateurs,
notamment dans la cadre de sa politique dutilisation des donnes, satisfait aux exigences de
larticle 10 la directive 95/46/CE. Enfin, la socit indique quaucun texte nimpose que le
consentement au traitement des donnes sensibles se manifeste par le biais dune case
cocher.

La formation restreinte rappelle quil convient dexaminer le respect par les socits, des
obligations dcoulant de larticle 8 de la loi du 6 janvier 1978 modifie et non de celles
rsultant des dispositions de la directive 95/46/CE. Si le consentement peut permettre de
droger linterdiction de traiter des donnes caractre personnel dites sensibles , il est
ncessaire que celui-ci soit exprs, cest--dire libre, inform et spcifique.

En lespce, la formation restreinte considre que des donnes sensibles sont traites par les
socits, savoir leurs origines raciales ou ethniques, leurs opinions religieuses mais
galement leur orientation sexuelle rvle via la collecte de donnes lies lintrt port
aux hommes ou aux femmes .

Elle estime que le renseignement spontan de telles donnes nexonre pas la socit de
lobligation de recueillir le consentement exprs des personnes qui doivent tre en mesure de
manifester par une action positive leur assentiment au traitement de donnes sensibles,
attestant ainsi que le consentement est donn en toute connaissance de cause.

La formation restreinte relve galement que ni la politique dutilisation des donnes, ni les
tapes dcrites par les socits permettant aux utilisateurs de renseigner leur profil, ne
contiennent une information spcifique concernant le traitement de ces donnes.
En outre, la formation restreinte considre que la possibilit offerte aux utilisateurs de
paramtrer la confidentialit de leurs comptes ne saurait confrer un caractre public leurs
donnes, celles-ci tant traites dans le cadre dune communaut dintrts ferme, celle de
FACEBOOK, et accessibles ses seuls membres.

En consquence, la formation restreinte considre que les socits ne recueillent pas le

consentement exprs des utilisateurs pour le traitement des donnes sensibles et que le
manquement larticle 8 de la loi du 6 janvier 1978 modifie est caractris.

19
9. Sur le manquement lobligation de mettre disposition un moyen valable
dopposition aux informations (cookies) stockes sur lquipement terminal de
communications lectroniques des utilisateurs

Le II de larticle 32 de la loi du 6 janvier 1978 modifie dispose que tout abonn ou

utilisateur dun service de communications lectroniques doit tre inform de manire claire
et complte, sauf sil la t au pralable, par le responsable du traitement ou son
reprsentant :
- de la finalit de toute action tendant accder, par voie de transmission lectronique,
des informations dj stockes dans son quipement terminal de communications
lectroniques, ou inscrire des informations dans cet quipement ;
- des moyens dont il dispose pour sy opposer.
Ces accs ou inscriptions ne peuvent avoir lieu qu condition que labonn ou la personne
utilisatrice ait exprim, aprs avoir reu cette information, son accord qui peut rsulter de
paramtres appropris de son dispositif de connexion ou de tout autre dispositif plac sous
son contrle .

Les socits ont t mises en demeure dinformer les internautes et dobtenir leur accord
pralable linscription dinformations sur leur quipement terminal (cookies) et laccs
celles-ci. En particulier, il leur avait t enjoint, sauf mettre en place un dispositif prsentant
les mmes garanties, dindiquer aux internautes, au pralable et de manire claire et complte,
sur le bandeau prsent sur le site internet, les finalits de tous les cookies soumis au
consentement et la possibilit quils ont de sopposer au dpt de ces cookies en cliquant sur
un lien prsent dans le bandeau, ce dernier devant renvoyer vers une page prsentant les
solutions adquates mises leur disposition pour accepter ou refuser le dpt des cookies.

En rponse la mise en demeure, la socit FACEBOOK IRELAND a indiqu, par un

courrier du 9 aot 2016, que le bandeau dinformation sur les cookies avait t mis jour et
quune action positive des utilisateurs tait dsormais requise avant le dpt des cookies.

Eu gard ces mesures correctives, le rapport du 14 dcembre 2016 reprochait uniquement

aux deux socits de ne pas proposer aux utilisateurs un moyen valable dopposition
linscription de cookies sur leur quipement terminal. Le rapporteur avait ainsi prcis que le
paramtrage du navigateur, tel que propos par les socits, ntait pas satisfaisant.

En dfense, la socit FACEBOOK IRELAND soutient que le droit franais excde les
obligations europennes dcoulant de la directive 2009/136/CE du 25 novembre 2009 en
exigeant des moyens dopposition aux cookies et prcise quelle a, en tout tat de cause, mis
en place des moyens valables de sopposer aux cookies travers le refus de navigation sur le
site et le paramtrage du navigateur.
Elle invoque par ailleurs labsence de valeur imprative de la recommandation de la
Commission telle quinvoque dans le rapport du 14 dcembre 2016 et soutient ce titre
quelle navait pas lobligation de mettre en uvre une solution de tag management .
Enfin, la socit prcise quelle dpose des cookies strictement ncessaires la finalit de
scurit du site.

La formation restreinte rappelle, comme cela a t voqu prcdemment, quil convient

dexaminer le respect par les socits, des obligations dcoulant uniquement de larticle 32-II
de la loi du 6 janvier 1978 modifie telle quclaires par la dlibration n 2013-378 de la

20
Commission du 5 dcembre 2013 portant adoption dune recommandation relative aux
cookies et aux autres traceurs et non de celles rsultant des dispositions de la directive
2009/136/CE.

A ce titre, la formation restreinte relve quil ressort du document intitul la politique

dutilisation des cookies que les socits dposent tant des cookies techniques essentiels au
fonctionnement du rseau social, tels que des cookies dauthentification, que des cookies first
party finalit publicitaire, cest--dire des cookies issus du domaine facebook.com .

Elle prcise quen renvoyant au paramtrage du navigateur, les socits ne laissent que deux
choix aux utilisateurs : soit ces derniers choisissent, via ce paramtrage, de bloquer tous les
cookies dposs sur leur quipement terminal, soit ils dcident de refuser uniquement les
cookies third party cest--dire ceux issus de domaine tiers au site facebook.com . La
formation restreinte relve quaucune de ces deux solutions nest satisfaisante. Dans la
premire solution, le blocage de tous les cookies entranera ncessairement le blocage des
cookies techniques essentiels au fonctionnement du site et empchera les utilisateurs
daccder aux services du rseau social. A linverse, dans la deuxime solution, en ne
bloquant que les cookies third party, les utilisateurs ne pourront sopposer aux cookies first
party finalit publicitaire dposs par le site facebook.com et seront ainsi privs de toute
modalit dopposition contre ces derniers.

La formation restreinte estime ainsi quen lespce, le paramtrage du navigateur ne permet

pas aux utilisateurs de sopposer valablement aux cookies dposs sur leur quipement
terminal.

La formation restreinte considre en consquence que le manquement au II de larticle 32 de

la loi du 6 janvier 1978 modifie est caractris.

10. Sur le manquement lobligation de dfinir et de respecter une dure de

conservation proportionne la finalit du traitement

Le 5 de larticle 6 de la loi du 6 janvier 1978 modifie dispose que les donnes sont
conserves sous une forme permettant lidentification des personnes concernes pendant une
dure qui nexcde pas la dure ncessaire aux finalits pour lesquelles elles sont collectes
et traites .

Les socits ont t mises en demeure de ne pas conserver de donnes caractre personnel
au-del de la dure ncessaire aux finalits pour lesquelles elles ont t collectes et traites,
notamment en supprimant lexpiration dun dlai de 6 mois les adresses IP utilises par les
inscrits pour se connecter aux comptes.

En dfense, la socit FACEBOOK IRELAND a indiqu quelle collectait deux types

dadresses IP : celles de connexion contenues dans les logs daccs qui sont conserves 90
jours puis pseudonymises et celles associes des actions spcifiques []. Ces adresses
sont quant elle conserves jusqu lexpiration dun dlai de 90 jours compter de la
fermeture du compte Facebook de lutilisateur.

21
La socit soutient quil nexiste aucun fondement lgal la dure de conservation de six
mois fixe dans la mise en demeure. Sagissant de la conservation des adresses IP lies des
actions spcifiques, elle fait valoir quelle rpond trois finalits : une finalit de scurit
pour lutter contre les contenus illicites, contre le piratage de comptes grande chelle et aux
fins de dtection dactivits suspectes sur les comptes des utilisateurs, une finalit de
protection des enfants lie la ncessit dinformer rapidement les autorits comptentes lors
de la dtection ou lors de signalement dimages pdophiles et enfin, une finalit de rponse
aux requtes des autorits publiques.

La formation restreinte rappelle quil appartient aux responsables de traitement de dfinir une
dure de conservation adquate et de dmontrer que celle-ci est ncessaire et proportionne
aux finalits de la collecte.

En lespce, au regard de la pluralit des finalits invoques par la socit, la formation

restreinte considre quelle ne dmontre pas en quoi une conservation de lintgralit des
adresses IP des inscrits, associes des actions spcifiques , pendant toute la dure de vie
du compte serait ncessaire.

Par consquent, la formation restreinte considre que le manquement au 5de larticle 6 de la

loi du 6 janvier 1978 modifie est caractris.

22
III. Sur la sanction et la publicit

La formation restreinte considre que les manquements aux articles 6-1, 6-5, 7, 8, 32-I, et
32-II de la loi du 6 janvier 1978 modifie ont persist au-del du dlai imparti par la mise en
demeure de la Prsidente de la Commission et justifie que soit prononce une sanction
pcuniaire dun montant de 150.000 lencontre des socits.

Compte tenu de la gravit des manquements et de latteinte aux droits et liberts

fondamentaux des personnes concernes sagissant notamment du caractre massif de la
collecte et du traitement des donnes de navigation des internautes et de labsence de base
lgale aux oprations de combinaison de donnes des fins publicitaires, la formation
restreinte dcide de rendre publique sa dcision.

Elle estime que cette publicit se justifie galement compte tenu de la nature des donnes
traites et du nombre de personnes concernes par les traitements en cause, savoir au moins
33 millions dutilisateurs en France.

23
 PAR CES MOTIFS

La formation restreinte de la CNIL, aprs en avoir dlibr, dcide de

- de prononcer lencontre des socits FACEBOOK INC. et FACEBOOK

IRELAND, tenues solidairement, une sanction pcuniaire dun montant de
150.000 ;

- de rendre publique sa dlibration, qui sera anonymise lexpiration dun dlai

de deux ans compter de sa publication.

Le Prsident

Jean-Franois CARREZ

Cette dcision peut faire lobjet dun recours devant le Conseil dEtat dans un dlai de quatre
mois compter de sa notification.

24