Déclaration commune des autorités de protection des données personnelles des Pays-Bas, de la France, d’Espagne, de Hambourg et la Belgique.

16 mai 2017

Le 13 novembre 2014, Facebook a annoncé la révision de l’ensemble des conditions de sa politique en matière de données et en matière des cookies. Suite à cette annonce, un groupe de contact a été créé au niveau européen regroupant les autorités de protection des données personnelles des Pays-Bas, de la France, de l’Espagne, de Hambourg et de la Belgique.

 Les membres du groupe de contact ont entrepris des investigations nationales, portant entre autres, sur la qualité des informations fournies aux utilisateurs, la validité du consentement et le traitement des données personnelles à des fins publicitaires. Trois des membres du groupe de contact publient aujourd’hui les résultats de leurs investigations (France, Belgique et Pays-Bas).

Les résultats des procédures nationales

En France, la formation restreinte de la CNIL a décidé de prononcer une sanction publique de 150 000 euros à l’encontre de Facebook Inc. et Facebook Ireland Limited. La formation restreinte considère que le groupe Facebook ne dispose pas de base légale pour combiner toutes les informations dont il dispose sur les utilisateurs pour afficher de la publicité ciblée. Elle a également considéré que le groupe Facebook procède à un suivi déloyal, via le cookie datr, des internautes. Le bandeau d’information sur les cookies et les mentions d’informations collectées « sur et en dehors de Facebook » ne permettent pas aux utilisateurs de comprendre clairement que leurs données personnelles sont systématiquement collectées dès qu’ils naviguent sur un site tiers comportant un module social.

En Belgique, après les 1ères recommandations du 15 mai 2015 et suite aux modifications apportées par Facebook en septembre 2015 et mai 2016, la Commission de la protection de la vie privée belge, publie aujourd’hui, de nouvelles recommandations destinées au groupe Facebook à propos du suivi des utilisateurs et des non utilisateurs de Facebook à travers les cookies, les plugins sociaux et les pixels. La Commission considère que Facebook continue d’agir en méconnaissance de la loi belge et la loi européenne pour le suivi des utilisateurs et des non utilisateurs de Facebook à travers les cookies, les plugins sociaux et les pixels. Elle estime en particulier, que les conditions concernant le consentement, la loyauté, la transparence et la proportionnalité ne sont pas remplies notamment en raison d’une information insuffisante et adéquate délivrée aux personnes concernées. La Commission considère également que la collecte des données personnelles par l’usage des cookies, des plugins sociaux et des pixels par Facebook est excessive dans plusieurs circonstances. La Commission de la vie privée demandera l’exécution judiciaire de ses recommandations devant le Tribunal de première instance de Bruxelles. Les plaidoiries auront lieues le 12-13 octobre 2017.

Aux Pays-Bas, le groupe Facebook viole la loi  néerlandaise sur la  protection des données. C'est la conclusion de l'Autorité néerlandaise pour la protection des données (Autoriteit Persoonsgegevens, ci-après: DPA) après son enquête sur le traitement des données personnelles de 9,6 millions d'utilisateurs de Facebook aux Pays-Bas. La société ne respecte pas la loi néerlandaise sur la protection des données, notamment en donnant aux utilisateurs des informations insuffisantes sur l'utilisation de leurs données personnelles. L’autorité néerlandaise a également considéré que le groupe Facebook utilise les données sensibles des utilisateurs sans recueillir leur consentement explicite. Par exemple, les données relatives aux préférences sexuelles ont été utilisées pour afficher des publicités ciblées. Le Groupe Facebook a apporté des modifications pour cesser l'utilisation de ce type de données à cette fin. L’autorité néerlandaise examine actuellement si les autres infractions ont cessé. Si ce n'est pas le cas, elle  pourrait prononcer une sanction.

En Allemagne (Hambourg), l’autorité de protection des données a délivré deux injonctions concernant le groupe Facebook. Une première procédure se concentrait sur la problématique de l’utilisation des pseudonymes. Facebook a fait appel de cette décision. La Haute cour administrative a levé l’injonction prononcée, sans se prononcer sur la question de la compétence ou non de l’autorité de protection des données. Elle s’est référée à la procédure en cours devant la Cour de justice de l’Union européenne pour décider de la loi applicable (dans le cas de l’autorité de protection des données de Schleswig-Holstein affaire EUCJ C-210/16 [1]). Dans une seconde procédure, l’autorité de protection des données a ordonné au groupe Facebook d’arrêter de combiner les données des utilisateurs de WhatsApp sans leur consentement préalable. Le 25 avril 2017, le tribunal administratif a confirmé la validité de cette injonction sans se prononcer sur la loi applicable [2].

En Espagne, après avoir menée des investigations préliminaires sur la politique de confidentialité de FACEBOOK et ses conditions d'utilisation, l’autorité de protection des données espagnole a ouvert deux procédures d'infraction. Ces procédures, tenant compte des résultats des investigations, se fondent sur la violation alléguée des dispositions de la loi sur la protection des données espagnole.

La loi applicable

Dans chacune des enquêtes nationales susmentionnées, le groupe Facebook a contesté l’applicabilité de la législation nationale en matière de protection des données de l’Etat membre en question. D’après le groupe Facebook, seule la loi irlandaise en matière de protection des données serait applicable, et seule l’autorité de protection des données irlandaise serait compétente pour superviser le traitement des données personnelles des utilisateurs du service en Europe. Cependant, les autorités de protection des données, réunies au sein du groupe de contact, concluent que leurs législations nationales respectives en matière de protection des données s’appliquent au traitement des données personnelles des utilisateurs et non-utilisateurs réalisé par le groupe Facebook dans leurs pays respectifs et que chaque autorité de protection des données est compétente.

A la suite de la jurisprudence de la Cour de justice de l’Union européenne (affaires Google Spain, Weltimmo et Amazon [3]), les autorités de protection des données constatent que le groupe Facebook dispose de bureaux dans plusieurs pays en Europe. Ces bureaux visent à promouvoir et à améliorer les ventes de publicité ciblée destinée aux utilisateurs et non-utilisateurs nationaux du service. Pour ses revenus, le groupe Facebook dépend pratiquement complètement de la vente d’espace publicitaire et les données personnelles doivent nécessairement faire l’objet d’un traitement pour le type de services publicitaires ciblés qu’offre le groupe Facebook. Par conséquent, les activités de ces bureaux sont « inextricablement liées » au traitement des données du groupe Facebook et tous les bureaux nationaux examinés sont des établissements pertinents au sens de de l’article 4(1) de la directive européenne sur la protection des données 95/46/EC.

 

[1] ECJ, Requête pour une décision préalable de Bundesverwaltungsgericht (Allemagne) déposé le 14 April 2016, Wirtschaftsakademie Schleswig-Holstein GmbH v Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Case C-210/16.

[3] ECJ C -131/12 (Google Spain), ECLI:EU:C:2014:317, C-230/14 (Weltimmo), ECLI:EU:C:2014:317 and C‑191/15 (Amazon), ECLI:EU:C:2016:612.