In Re FACEBOOK INTERNET TRACKING LITIGATION
Filing
105
DECLARATION of Stephen G. Grygiel in Opposition to #101 MOTION to Dismiss Defendant Facebook, Inc.s Motion to Dismiss Plaintiffs Second Amended Consolidated Class Action Complaint (Fed. R. Civ. P. 12(b)(1) & 12(b)(6)) filed byPerrin Aikens Davis, Brian K. Lentz, Cynthia D. Quinn, Matthew J. Vickery. (Attachments: #1 Exhibit 1, #2 Exhibit 2, #3 Exhibit 3, #4 Exhibit 4, #5 Exhibit 5)(Related document(s) #101 ) (Straite, David) (Filed on 2/18/2016)
<![CDATA[
Exhibit 4
CN.L
Decisi{)n n° 2016-007 du 26 janvier 2016 mettant en demeure I~ societe~ fA< EBOOK
iNC. et FACEBOOK IRELAND
La Presidente de la Commission nationale de l'infonnatique et des libertes,
Vu Ia Convention n° 108 du Conseil de !'Europe pour Ia protection des personnes al'egard du
traitement automatise des donnees acaractere personnel ;
Vu la directive 95/46/CE du Parlement europeen et du Conseil du 24 octobre 1995 relative A
Ia protection des personnes physiques a l' egard du traitement des donnees a caractere
personnel et ala libre circulation de ces donnees ;
Vu le code penal ;
Vu la loi no 78-17 du 6 janvier 1978 modifiee relative
libertes, notamment son article 45 ;
a l'infonnatique, aux fichiers et aux
Vu le decret n° 2005-1309 du 20 octobre 2005 modifie pris pour !'application de la loi n° 7817 du 6 janvier 1978 relative a l'informatique, aux. fichiers et aux libertes ;
Vu la deliberation n° 2013-175 du 4 juillet 2013 portant adoption du reglement inteneur de la
Commission nationale de I'informatique et des libertes ;
Vu les arrets rendus par la Cour de justice de l'Union europeenne le 13 mai 2014 dans
l'affaire C-131/12 Google Spain SL et Google Inc. contre Agencia Espafto1a de Protecci6n de
Datos (AEPD) et Mario Costeja GonzAlez, le ler octobre 2015 dans !'affaire C-230/14
Weltimmo s.r.o. oontre Nemzeti Adatvooelmi es lnfonnaci6szabadsag Hat6sag et le 6
Octobre 2015 dans !'affaire C-362/14 Maximillian Schrems contre Data Protection
Commissioner;
Vu les decisions de la Presidente de la Commission nationale de l'informatique et des libertes
de proc&ler a des missions de verification des traitements de donnees a caractere personnel
mis en ceuvre par la societe FACEBOOK Inc. (n° 2015-091C du 17 mars 2015) et portant, en
tout au partie, sur des donnees collectees au moyen du site web FACEBOOK.COM ou au
moyen des cookies relevant de ce domaine (n° 2015-401C du 14 decembre 2015) ;
Vu les proces-verbaux de contr6le sur place no 2015-09111 et n° 2015-091/2 des 8 et 9 avril
2015, les reponses apportees par FACEBOOK INC. au questionnaire envoye par Ia CNIL Je
30 juillet 2015 et le proces-verbal de constatations en ligne n° 2015-401 du 15 decembre
2015;
Vu les autres pieces du dossier ;
Commission Nationa!e de l':l'nforrr.atiqua ct ~L-:~s 1-i~ •ilrtu :":
8 rue Vivienne CS 30223 75083 PARIS Cedex 02- Tel: 01 53 73 22 22 - Fax : 01 53 73 22 00 t www.cnil.fr
. ..• ·~·- • . . .... --~ • - - - .• ..•••. -- -~ - - - R~PUBLIQUE FRAN<;AISE _
les donn'e~ neceuaires au !raitemenl des courrien et dea douiers de loriiiQI~J r~us par Ia CNil soot enragl$11'1ies dons un Rchlt~r lnformotis6 r&setve li son usage exduslf pour l'accompUssl!lllenl
de - mis~N . Vow poiMt% exercer vo1re droit d'ocw oux donnees vout concernant et les lairtt rlldifier en vous adressanl au cormpandant lnformotiqurt et lobenes (Cill de Ia CNIL.
J- Constate les faits suivants
La societe FACEBOOK Inc. a ete fondee en 2004 et a son siege social aux. Etats-Unis
(1601 Willow Road, Menlo Park, CA 94025). Elle a pour activite Ia gestion du reseau social
FACEBOOK (FACEBOOK.COM) (ci-apres le «site») et compte environ 1,5 milliard
d'utilisateurs actifs par mois dans le monde. La societe a egalement une activite de regie
publicitaire. Elle possede 49 bureaux implantes dans une trentaine de pays et compte environ
12 000 salaries atravers le monde.
La societe F ACEBOOK Inc. a cree plusieurs dizaines de filiales dans le monde, dont Ia
societe F ACEBOOK Ireland Limited, situee 4 Grand Canal Square, Grand Canal Harbour,
Dublin, et la societe FACEBOOK France Sari, situee 108 avenue de Wagram Paris (75017).
a
a
En application de la decision n° 2015-091C du 17 mars 2015 de Ia Presidente de la
Commission nationale de l'infonnatique et des libertes (ci-apres « CNIL }} ou « Ia
Commission »), une delegation de Ia CNIL a precede une mission de controle sur place les 8
et 9 avril2015
un contr61e sm pieces le 30 juillet 2015. Puis, par decision n° 2015-401C
du 14 decembre 2015, la Presidente de Ia CNIL a decide de faire proceder egalcment a des
constatations en ligne le 15 decembre 2015. Ces missions ont eu pour objet de proceder la
verification du respect par la societe F ACEBOOK Inc. des dispositions de la loi n°78~ 17 du 6
janvier 1978 modifiee en ce qui concerne les regles de confidentialite applicables aux seiVices
destination des internautes franyaiS et ont egalement porte sur les donnees collectees au
moyen du site FACEBOOK.COM et des temoins de connex.ion (ci-apres «cookies») relevant
de ce domaine.
a
eta
a
a
Sur I 'applicabilite de la loi francoise
a
11 est tout d'abord rappele que, confonnement son article 4, la directive 95/46/CE s'applique
lorsque « le traitement est effectue dans le cadre des activites d'un etablissement du
responsable du traitement sur le territoire de l'Etat membre ». L'article 5 de Ia loi du 6
janvier 1978 modifiee prevoit quanta lui que Ia loi fran~se est applicable des lors que le
responsable de traitement est etabli sur le territoire franvais.
ou
La loi fran~se est en l'espece applicable dans la mesure
FACEBOOK France est un
« etablissement »au sens de la directive 95/46/CE, telle qu'interpretee par Ia Cour de Justice
de !'Union Europeenne (CJUE) dans son
Weltimmo du ler octobre 2015. En outre, il
apparai't que le traitement, mis en ceuvre dans le cadre du reseau social F ACEBOOK, est
effectue « dans le cadre des activites » de cet etablissement au sens de 1' arr~ Costeja de la
CJUE en date du 13 mai 2014.
arret
Par ailleurs, au regard des constats effectues et des pieces foumies lors des differertts
controles, il apparait que tant FACEBOOK Inc. que FACEBOOK Ireland participent Ia
determination des finalites et des moyens du traitement (ci-apres Ia «societe»). Ces deux
societes doivent, par consequent, etre considerees com.me conjointement responsables de
traitement, comme le permet Ia directive 95/46/CE. En effet, !'article 2(d) de ladite directive
a
2
definit le « responsable du traitement » comme « Ia personne physique ou morale, l'autorite
publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres,
determine les finalites et les moyens du traitement de donnees acaractere personnel ».
En tout etat de cause, la circonstance que l'un des responsables de traitement, en l'espece Ia
societe FACEBOOK Ireland, soit situe sur le tenitoire de I'Union europeenne est indifferente
en matiere de controle et de sanction. En effet, I' article 48 de la loi du 6 janvier 1978 modifiee
prevoit que la CNIL peut exercer ces pouvoirs «a l'egard des traitements dont les operations
sont mises en reuvre, en tout ou partie, sur le territoire national, y compris lorsque le
responsable du traitement est etabli sur le te"itoire d'un autre Etat membre de la
Communaute europeenne ».
Sur les (g.its
La delegation a ete infonnee et a constate que la societe collecte des donnees, relatives a]a
navigation sur des sites tiers, des intemautes qui ne disposent pas de compte sur le site
FACEBOOK.COM.
La delegation a egalement ete informee que la societe transf'ere des donnees personnelles des
internautes vers les Etats-Unis sur Ia base du Safe harbor.
Elle a oonstate que Ia societe collecte des donnees relatives a !'orientation sexuelle, aux
opinions religieuses ct aux opinions politiques des inscrits. La societe peut egalement
coHeeter des dossiers medicaux foumis par Ia~ inscrits en tant que justificatifs d'identite.
.Par ailleurs, la delegation a ete informee que la societe procede sans base legale a la
combinaison de nombreuses donnees relatives aux inscrits et qu'elle a mis en place sans
autorisation de Ia CNIL des traitements ayant pour finalite de Iutter contre la ftaude et visant a
exclure des inscrits de son site.
Elle a egalement constate que le formulaire d'inscription au site ne contient aucune mention
d'infonnation relative au traitement de donnees a caractere personnel et que les internautes ne
sont pas informes notamment de la finalite du transfert de donnees vers les Etats·Unis.
En outre, la delegation a constate que 13 cookies ont ete deposes sur son terminal.
La delegation a egalement constate que Ia societe conserve toutes les ad.resses 1P utilisees par
les inscrits pour se connecter aleurs comptes.
Entin, 1a delegation a constate que les internautes qui souhaitent s'inscrire sur le site peuvent
choisir un mot de passe de 6 caractCres.
3
II- Sur les manquements constates au regard des dispositions de la loi du 6 janvier 1978
modifiee
Un manquement ll'obligation de disposer d'une base legale pour les traitements ~is en
reuvre
La delegation a ete infonnee que Ia societe procede a la combinaison de multiples
infonnations aux fins d'affichage de publicites ciblees sur les comptes des inscrits et de
mesure d'efficacite des campagnes publicitaires. En effet, Ia Politique d'utilisation des
donnees de la societe prevoit que « Nous nous servons des informations a notre
disoosition pour ameliorer nos systemes de publicite et de mesure, ce qui nous permet de vous
presenter des publicites pertinentes, a travers nos services ou en dehors, et d 'evaluer
I 'ejjicacite et Ia portee de nos publicites et de nos services )>.
Le lien hypertexte « Informations a notre disposition » renvoie vers le baut de la Politique
d'utilisation des donnees dont la premiere rubrique enumere les types de donnees collectees
par Ia societe. En reponse au questionnaire, Ia societe a confinne qu' elle pouvait utiliser
toutes ces donnees pour adresser des publicites ciblees (reponse a Ia question 11 ).
Ainsi, i1 apparait que la societe procede notamment a la combinaison des donnees suivantes :
les donnees foumies par les inscrits lors de la creation de leur compte sur le site ;
les donnees relatives a l'activite des inscrits sur le site (contenus partages ou con~ultes
par exemple), quel que soit le terminal utilise par ces demiers ;
les donnees relatives aux appareils (ordinateur, t61ephone et autres) utilises par les
inscrits (systeme d'exploitation, coordonn.ees GPS, type de navigateur, numero de
telephone mobile par exemple) ;
les donnees provenant de sites tiers et applications integrant notamment des boutons
<< J'aime » ou « Se connecter>> (sites consultes et applications utilisees par exemple);
les donnees provenant de partenaires tiers (partenaires avec qui la societe a collabore
pour offiir un service ou annonceurs avec lesquels les inscrits ont interagi) (adresse
electronique par exemple) ;
les donnees provenant des societes qui appartiennent ou qui sont exploitees par Ia
societe (Facebook Payments Inc., Instagram LLC, WhatsApp Inc. par exemple).
Or, une telle combinaison ades fins publicitaires des donnees personnelles des inscrits ne peut
intervenir que si Ia societe peut se prevaloir d'une des conditions prevues aI'article 7 de Ia loi
0° 78-17 du 6 janvier 1978 modifiee, qui prevoit que: « un traitement de donnees caractere
personnel doit avoir re~ le consentement de Ia personne concemee ou satisfaire l'une des
conditions suivantes :
1° Le respect d'une obligation legale incombant au responsable du traitement;
2° La sauvegarde de Ia vie de Ia personne concernee ;
3 ° L 'execution d'une mission de service public dont est investi le responsable ou /e
destinataire du traitement ;
a
a
4
4° L 'execution, soit d'un contrat auquel la personne concernee est partie, soit de
mesures precontractuelles prises aIa demande de celle-ci ;
5° La realisati01J de /'interet legitime pourSUiVi par le responsable du traitement QU
par le destinataire, sous reserve de ne pas meconnaitre /'interet ou les droits et
libertes fondamentaux de Ia personne concernee. »
En l'espece, faute de recueil du consentement des inscrits prealablement a Ia combinaison de
leurs donnees, Ia mise en reuvre de ce traitement ne peut avoir pour base legale que 1'une des
conditions enumerees par les 1° a 5° de !'article precire.
Compte tenu de la nature des traitements en cause, les 1°, 2° et 3° de l'article 7 ne peuvent
constituer la base legale de la combinaison des donnees par Ia societe. Le traitement issu de
cette combinaison ne peut done ~tre examine qu'au regard du 4c et du so de !'article 7.
S'agissant du 4° de I' article 7, il n'existe pas, en l'espece, de cadre contractuel gouvemant la
combinaison de donnees ades fins d' affichage de publicites ciblees. Bien que mentionnee par
la societe dans sa Politique d'utilisation des donnees, Ia combinaison de donnees ne constitue
pas l'objet principal du contrat auquel souscrit l'internaute lorsqu'il s'inscrit sur le site. La
possibilite que se menage la societe de combiner les donnees doit et:re consideree comme
accessoire audit contrat, fixe unilateralement par Ia societe.
a
A cet egard, il convient de noter que les inscrits ont Ia possibilite de s'opposer Paffichage de
publicires ciblees dans les parametres de leur compte (rubrique « Publicites >)), cet affichage
etant directement issu de Ia combinaison de donnees. Les inscrits peuvent done demander a ce
que cette fonctionnalite ne lem soit pas appliquee, ce qui confinne que la combinaison de
donnees n' est ni I' objet, ni une clause substantielle du contrat
a
En consequence, Ia societe ne peut fonder Ia combinaison de donnees des fins publicitaires
sur !'execution de Ia seule Politique d'utilisation des donnees, de sorte que le 4° de l'article 7
precite ne peut trouver as' appliquer en 1' espece.
En ce qui concerne le so de I' article 7, I'interet legitime du responsable de traitement doit etre
apprecie d'une ~ en tant que tel, et d'autre part, au regard de !'interet de la personne
concemee et de ses droits et libertes fondamentaux, auquell'interet legitime du responsablc
de traitement ne saurait porter atteinte.
D'une part, pour apprecier la legitimite de l'interet du responsable de traitement, il convient
notamment de tenir compte de la proportionnalite du traitement de donnees au regard de ses
finalites. En l'espece, Ia societe affirme que Ia combinaison de !'ensemble des donnees lui
permet d' « ameliorer [ses] systemes de publicite et de mesure ».
D'autre part, force est de constater qu'une telle combinaison de donnees est, par sa nature
meme, son ampleur ct son caractere massif, susceptible de meconnaitre }'interet des
utilisateurs inscrits et leur droit fondamental au respect de leur vie privee.
5
etre
Des lors, 1' interet economique et commercial de Ia societe ne peut
regarde comme
legitime que si le responsable de traitement met a disposition des utilisateurs inscrits des
rnoyens adequats leur pennettant de controler la combinaison de leurs donnees et d'exercer
effectivement le droit qui leur est reconnu par 1' article 38 de la loi du 6 janvier 1978 modifiee.
En l'etat, la societe n'of:fre pas d'outils permettant aux inscrits de faire obstacle a la
combinaison de leurs donnees personnelles, et, par suite, d'opposer leur interet prive ou le
respect de leurs droits et libcrtes a !'interet du responsable de traitement. En effet, dans les
parametres de compte, rubrique « Publicites », la societe propose uniquement aux inscrits des
outils leur permettant de s'opposer al'affichage de publicites ciblees:
•
pour les publicites basees sur les preferences des inscrits : la societe precise que
« Nous voulons vous montrer des publicites que vous jugez interessantes. C 'est
pourquoi nous avons cree les preflrences publicitaires, un outil dans lequel vous
pouvez voir, ajouter et supprimer les preferences que nous avons creees pour vous en
fonction des informations de votre profit, de votre activite sur Facebook et des sites
web et apps que vous utilisez en dehors de Facebook (. ..) Si vous supprimez toutes vos
prejerences, vous verrez toujours des publicites mais elles seront peut-€tre moins
interessantes pour vous ». Si lcs inscrits peuvent effectivement supprimer les
preferences identifiees par Ia societe, cet outil ne leur pennet pas de s' opposer a la
a
a
collecte et Ia combinaison de ces donnees des fins publicitaires ;
pour les publicites affichees en fonction de Ia navigation des inscrits sm les sites web
et applications : Ia societe indique qu' « une des fa~ons de vous presenter des
publicites repose sur votre utilisation des sites webs et applications qui utilisent les
technologies Facebook. Par exemp/e, si vous consultez des sites de voyage, il se peut
que vous voyiez ensuite des publicites pour des Mtels sur Facebook (...) Si vous
desactivez les publicites en ligne basees sur les interets, vous verrez toujours le meme
nombre de publicites, mais elles seront peut..etre moins pertinentes pour vous ». Cet
outil ne permet done pas aux inscrits d'exercer lem droit d'opposition a Ia collecte eta
la combinaison de leurs donnees des fins publicitaires.
a
II resulte de ce qui precede que Ia combinaison de !'ensemble des donnees des inscrits est
depourvue de base legale faute, soit de faire 1'objet d'un encadrement contractuel adequat,
soit de respecter, dans la recherche de son int~ legitime en tant que responsable de
traitement, !'interet et les droits et libertes des personnes, en mettant a leur disposition des
moyens leur permettant de maitriser la combinaison des donnees les concernant et d'exercer
leurs droits de maniere effective.
Ces faits sont de nature 8. constituer un manquement aux dispositions de I'article 7 de la loi du
6 janvier 1978 modifiee.
6
Un manquement a l'obligation de veiller a !'adequation,
non excesstf des do.n nees
a Ia
pertinent~
et au caraet~re
La delegation a constate que Ia societe peut !tre amenee a demander aux internautes qui se
sont inscrits sur le site (ci-apres « les inscrits ») de foomir des justificatifs d'identite, tels
qu'un dossier medical, par exemple lorsqu'ils tentent de remplacer leur nom de famille par
celui d\me celebrire. Dans les Pages d'aide du site, la societe invite les internautes, lorsqu'ils
envoient de tels documents, a « masquer les informations personnelles qui ne sont pas
necessaires la confirmation de votre identite (par exemple, votre numero de carte de credit
ou de securite sociale) ».
a
Bien que la societe attire !'attention des inscrits sur Ia necessite de proceder ace masquage, il
n'apparait pas pertinent de demander le dossier medical des inscrits pour justifier de leur
identite. En effet, un tel document comporte de nombreuses donnees pouvant porter atteinte a
la vie privee des personnes concernees et de nombreux autres docwnents pourraient pennettre
aux inscrits de justifier de leur identite.
Ces faits constituent un manquement a I'article 6-3° de Ia loi du 6 janvier 1978 modifiee, qui
dispose que les donnees collectees doivent etre « adequates, pertinentes et non excessives au
regard des finalites pour lesquel/es elles sont collectees et de leurs traitements ulterieurs ».
a l'obligation de recuelllir le consentement des penonnes ccncem~es
pour le traitement de donnees sensibles relatives aux opinions polltiques ou r e!igieuses,
et a Ia vie sexuel!e
Un manquement
La delegation a constate qu'une fois inscrits sur le site, les intemautes peuvent completer leur
profil sur la page «A propos », rubrique « Informations generales et coordonnee.r ». Us
peuvent notamment preciser leur orientation sexuelle (rubrique « Ajoutez qui vous
interesse»: «Interesse(e) par o Femmes o Hommes»), leurs opinions religieuses (rubrique
<<Ajoutez vos croyances religieuses ») et leurs opinions politiques (rubrique «Ajoutez vos
opinions politiques )>).
Or, Ia delegation a releve que la societe n'a pas prevu de case
consentement des personnes ala collecte de ces donnees.
a cocher pot:lr recueillir le
L'article 8 de la loi du 6 janvier 1978 modifiee prevoit notamment qu'il est interdit de
collecter ou de traiter des donnees a caractere personnel qui sont relatives aux opinions
politiques ou religieuses et AIa vie sexuelle des personnes, sauf dans les cas prevus au II de
cet article, notamment en cas de oonsentement expres des personnes concernees.
Or. le consentement ne peut et:re expres que s'il est donne en toute connaissance de cause,
c'est-8.-dire apres la d61ivrance d'une information adequate sur l'usage qui sera fait des
donnees personnelles.
7
En respece, aucun moyen technique n'est mis A Ia disposition des personnes lorsque les
donnees « sensibles » sont collectees et traitees afm de s'assurer qu'eJles y consentent de
maniere expresse sur Ia base d'une information specifique.
La Commission considere que le fait, pour les personnes concemees, de renseigner leurs
donnees sensibles, ne saurait etre considere cornme un consentement expres. Les utilisateurs
doivent pouvoir marquer leur assentiment en cochant Wle case dediee a }'approbation de
lilsage de leurs donnees personnelles sensibles, ce qui n'est pas le cas en l'espece.
Ces faits constituent un manquement
susmentionne.
a l'article
8 de la loi du 6 janvier 1978 modifiee
I1 est rappele enfin qu' en application des articles 226-19 et 226~24 du code penal combines, le
fait pour une personne morale, hors les cas prevus par la loi, de mettre ou de conserver en
memoire informatisee, sans le consentement expres de !'interesse, des donnees a caractere
personnel qui, directement ou indirectement, font apparaitre les origines ra.ciales ou etbniques,
les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des
personnes, ou qui sont relatives a la sante ou a !'orientation sexuelle de celles-ci, est puni
d'une peine d'amende pouvant atteindre 1.500.000 €.
Un manquement a i'oblig2tion d'in.former Ies personnes
La delegation a constate que le fonnulaire d'inscription au site ne contient aucune mention
d'information relative au traitement de donnees a caractere personnel.
Or, Particle 32 de Ia loi d.u 6 janvier 1978 modifiee impose de foumir aux. personnes
concemees, sur le formulaire de collecte des donnees, des informations sur 1' identite du
responsable du traitement, Ia :finalite de ce traitement, Ie caractere obligatoire ou facultatif des
reponses, leurs droits d'acces, de rectification et, le cas echeant, d'opposition aux. donnees les
concernant.
En outre, Ia delegation a constate que la Politique d'utilisation des donnees de Ia societe
prevoit que« Les informations recuei/lies au sein de l'Espace Economique Europeen
(<< EEE ») peuvent, par exemple, etre transmises a d'autres pays en dehors de l'EEE auxfins
decrites dans les presentes ». Pour les intemautes se trouvant en dehors des Etats-Unis,
l'article 16 de Ia Declaration des droits et des responsabilites precise : « Vous acceptez que
vos donnees personnelles soient transferees et traitees aux Etats-Unis ».
Or, la delegation a constate que les intemautes ne sont pas infonnes de la nature des donnees
transferees, de la finalite du transfert, des categories de destinataires des donnees, et du niveau
de protection offert par les pays destinataires, ce qui n'est pas confonne a !'article 91 du
decret du 20 octobre 2005 modifie pris en application de Ia loi du 6 janvier 1978 modifiee.
8
En effet, cet article precise que : « Les informations flgurant au 7° du I de 1'article 32 de Ia
loi du 6 janvier 1978 susvisee que le responsable du traitement communique, dans les
conditions prevues a I 'article 90, a la personne aupres de laquelle tks donnees a caractere
personnel sont recueillies, sont les suivantes :
1 o Le ou les pays d 'etablissement du deslinataire des donnees dans les cas ou ce ou
ces pays sont determines lors de Ia collecte des donnees :
2° La nature des donnees transfirees;
3° La finalite du transfert envisage ;
4° La ou /es categories de destinataires des donnees ;
5° Le niveau de protection offert par le ou les pays tiers :
a) Si le ou les pays tiers figurent dans la liste prevue a /'article 108, il est fait
mention de Ia decision de Ia Commission europeenne autorisant ce transfert ;
b) Si le ou les pays tiers ne satisfont pas aux conditions prevues a l 'article 68 de
Ia meme lo~ il est fait mention de I 'exception prevue a l 'article 69 de cette loi
qui permet ce transfert ou de Ia decision de Ia Commission nationale de
1'informatique et des libertes autorisant ce transfert ».
Ces faits constituent un manquement a !'article 32 de Ia loi no 78-17 du 6 janvier 1978
modifiee quant a !'obligation pour le responsable du traitement de fownir a Ia personne
concernee, directement sur le formulaire de collecte des donnees, des informations sur
l'identite du responsable du traitement,la finalite de ce traitement, le caractere obligatoire ou
facultatif des reponses, leurs droits d'acces, de rectification et, le cas echeant, d'opposition
aux donnees les concernant.
11 est rappele qu •en application des articles 131-41 et R. 625~ 10 du code penal combines, le
fait pour Ia personne morale responsable d'un traitement de ne pas informer, dans les
conditions prevues a !'article 32 de Ia loi du 6 janvier 1978 modifiee, Ia personne aupres de
laquelle sont recueillies des donnees a caractere personnel Ia concernant est puni d'une peine
d' amende pouvant atteindre 7.500 €.
Un manquement
donnees
n l'obligation de proceder a nne collecte et a nn tnlitement loyal de.
A 1'occasion de Ia navigation sur Ia page d 'un site tiers sur lequel figure un module social
FACEBOOK (bouton« J'aime »par exemple), Ia delegation a constate que la societe collecte
des donnees relatives a la navigation des intemautes qui ne sont pas inscrits sur le site
FACEBOOK.COM.
Pour ce faire, 1a societe« depose un cookie (le cookie datr) sur le navigateur d'un internaute
lorsque cette personne interagit directement avec le site web Facebook en premiere partie (en
se rendant sur une page de foceboolc.com ou en interagissant avec le domaine
facebook.com) » (reponse ala question 18). En effet, la delegation a constate que la societe
depose le cookie « datr )) sur le terminal de tout intemaute qui visite une page du site
F ACEBOOK.COM, et ce, alOI"S meme qu,il ne dispose pas d'un compte sur ce site.
9
La delegation a constate que la societe est alors en capacite de suivre la navigation des
intemautes sur les sites tiers, des lors que ces sites contiennent un module social
FACEBOOK. En effet, lorsqu'un intemaute non inscrit sur le site FACEBOOK.COM se rend
sur une page de ce site, puis visite un site tiers contenant un module FACEBOO~
!'information du site consulte est remontee a 1a societe en meme temps que le cookie << datr >>.
La delegation a ete infonnee que : « en ce qui concerne les non-detenteurs de comptes, les
journaux d'acces relatifs aux cookies et aux modules sociaux sont supprimees dans les dix
jours » (reponse ala question 27).
A cet egarcl, la societe a precise qu'elle « n 'utilise pas et n 'a pas utilise /e cookie datr pour
surveiller le comportement de navigation des non-detenteurs de compte
des .fins de
publicites ou autres. Ce cookie est en realite utilise des fins essentielles de securite et
d 'integrite » et qu'il permet de« (i) faire Ia distinction entre des demandes d'acces autorise
et des demandes d'acces non autorise ,· (ii) d'empecher tout acces non autorise et (iii) de
comprendre le volume etlafrequence tks demandes d 'acces pour empecher les personnes ou
les machine tk recuperer tks donnees, d'executer des attaques par deni de service ou de
creer de faux comptes en masse )) (r6ponse a]a question 18).
a
a
Si la finalite avancee par la societe peut appa.ra.itre legitime (assurer Ia securite de ses
services), la collecte des donnees relatives ala navigation sm des sites tiers des non inscrits au
site FACEBOOK.COM est realisee sans qu'ils en soient infonnes. EJle pennet en effet de
suivre une large part de Ia navigation des intemautes concernes, aleur insu, pendant une duree
potentielle de 10 jours, alors mBme qu'ils n'ont visite le site FACEBOOK..COM qu'une seule
fois.
Ces faits constituent un manquement au 1o de 1' article 6 de Ia loi no 78-17 du 6 janvier 1978
modifiee disposant que les donnees a caractere personnel « sont co/lectees et traitees de
maniere loyale et licite ».
Un manquement a !'obligation d'obtenir i'accord prealable des personnes con~emees
avant d'illserire des informations (cookies) sur leur eq~.aipement terDti."la! de
COmmunicatiOnS e}edroniques OU d'aececJer a CellesMcf
L'article 32-II de la loi du 6 janvier 1978 modifiee dispose que« Tout abonne ou utilisateur
d'un service de communications electroniques doit etre informe de maniere claire et complete,
saufs'ill'a ete au prealable, par le responsable du traitement ou son representant:
- de Ia finalite de toute action tendant acceder, par voie de transmission electronique,
a des informations deja stockees dans son equipement terminal de communications
electroniques, ou inscrire des informations dans cet equtpement;
des moyens dent il dispose pour sy opposer.
Ces acces ou inscriptions ne peuvent avoir lieu qu'a condition que l'abonne ou Ia personne
utilisatrice ait exprime, apres avoir re~u cette information, son accord qui peut resulter de
parametres appropries de son dispositif de connexion ou de tout autre dispositif place sous
son controle.
a
a
10
Ces dispositions ne sont pas applicables si l'acces aux informations stockies dans
l'equipement terminal de l'utilisateur ou /'inscription d'informations dans l'equipement
terminal de l'utilisateur :
soit a pour finalite exclusive de permettre ou faciliter la communication par voie
electronique ;
• soit est strictement necessaire a Ia fourniture d'un service de communication en ligne
la demande expresse de l'utilisateur ».
a
Les cookies necessitant une information et un consentement prealables de l'internaute sont
notamment les cookies lies aux operations relatives a Ia publicite ciblee, certains cookies de
mesure d'audience et les cookies traceurs de reseaux sociaux generes par les « boutons de
partage de reseaux sociaux ».
Afin de proposer aux professionnels du secteur des !ignes directrices en la matiere, la CNIL a
adopte Ia deliberation n° 2013-378 du 5 decembre 2013 portant adoption d'une
recommandation relative aux Cookies et aux. autres traceurs. Cette recommandation, qui n'a
pas de valeur imperative, vise a interpreter les dispositions legislati.ves precitees eta eclairer
les acteurs sur Ia mise en place de mesures concretes pennettant de garantir le respect de ces
dispositions, afin, soit qu'ils mettent en ceuvre ces mesures, soit qu'ils mettent en reuvre des
mesures d'effet equivalent.
Cette recommandation rappelle que « Ia validite du consentement est liee a La qualite de
/'information re~ue ». La Commission recommande done que ce consentement soit recueilli
endeuxetapes:
premiere etape : « I 'internaute qui se rend sur le site d'un editeur (page d'accueil ou
page secondaire du site) doit §tre informe, par /'apparition d'un bandeau : des
ftnalites precises des Cookies utilises ; de Ia posstbilite de s 'opposer a ces Cookies et
de changer les parametres en cliquant sur un lien pr~ent dam le bandeau ; du fait
que Ia poursuite de sa navigation vaut accord au depot de Cookies sur son
terminal » ;
seconde etape : « les personnes doivent etre informees de maniere simple et
intelligible des solutions mises a leur disposition pour accepter ou refuser tout ou
partie des Cookies necessitant un recueil du consentement : pour 1'ensemble des
technologies visees par I 'article 32-/1 precite ; par categories de finalites : notamment
Ia publicite, les boutons des reseaux sociaux et Ia mesure d'audience ».
En outre, Ia recommandation indique que le consentement « doit se manifester par le biais
d'une action positive de Ia personne prealablement informee des consequences de son choix et
disposant des moyens de l'exercer » et qu'il (( ne peut etre valable que si Ia personne
concernee est en mesure d'exercer valablement son choix et n 'est pas exposee
consequences negatives importantes si elle refose de donner son consentement ».
a des
En l'espece, 1a delegation a constate que 13 cookies ont ete deposes sur son equipement
terminal lors de sa connexion a FACEBOOK..COM. Interrogee sur les finalites de ces
cookies, 1a societe a renvoye Ia CNIL ala lecture de sa Politique d'utilisation des cookies et
11
aux rapports d'audit menes par le Commissaire Irlandais ala Protection des Donnees en 2011
et 2012.
La Politique d 'utilisation des cookies du site (page « Cookies, pixels et technologies
simi/aires») precise que<< des outils tels que le.t cookies(. ..) sont utilises pour comprendre et
dijfu.ser des publicites, les rendre plus pertinentes et analyser les produits et services ainsi
que leur utilisation». De la m6me maniere, le rapport d'audit mene par le Commissaire
Irlandais ala Protection des Donnees en 2012 fait appanu'lre que certains cookies ont une
finalite publicitaire (notammcnt le cookie «fr >)depose par le domaine « facebook.com »).
Or, Ie depot de cookies ayant une finalite publicitaire ne peut intervenir sans une information
et un accord prealables des personnes concernees.
A cet egard, Ia delegation a constate que les intemautes sont informes du depot des cookies
par un bandeau indiquant « Les cookies nous permettent de fournir, proteger et ameliorer les
services de Facebook. En continuant a utiliser notre site, vous acceptez notre Pglitique
d'utilisation des cookies».
Des lors, l'internaute n'est pas informe
de Ia finalite de tous les cookies deposes soumis au consentement (notamment
-
publicitaire);
de la possibilite de changer les parametres des cookies en cliquant sur Wl lien present
dans le bandeau.
En outre, la delegation a constate que Ia Politiquc d'utilisation des cookies vers laquelle
renvoie le bandeau precise que « Votre navigateur ou votre appareil sont susceptibles de vous
proposer des parametres relatifs aces technologies. Pour en savoir plus sur Ia disponibilite
de ces parametres, leur fonction et leur fonctionnement, consultez /'aide de votre navigateur
ou de votre appareil ».
Or. le paramet:rage du navigateur ne peut ~e considere comme un mecarusme valable
d' opposition au depot des cookies que dans deux cas :
le site ne depose pas de cookies techniques essentiels A son fonctionnement : dans ce
cas, Ia personne concemee peut pa:rametrer son navigateur de maniere a bloquer le
depot de tous les cookies, qu'ils proviennent du domaine du site (cookies «first
party»} ou du domaine d'un tiers (cookies« third party»), dont ceux necessitant son
consentement, et ce sans I' exposer Ades consequences negatives importantes;
le site ne depose pas de cookies first party necessitant le recueil du consentement de la
personne concemee : dans ce cas, cette derniere peut parametrer son navigateur de
maniere abloquer le depot de cookies third party sans em¢cher le site de fonctionner
ni risquer que des cookies first party soumis au consentement ne soient deposes.
En 1'espece, le site depose des cookies techniques essentiels a son fonctionnement et des
cookies first party. En eff~ Ia Politique d'utilisation des cookies precise que Ia societe
depose des cookies d' authentification qui permettent de savoir Aquel moment l'internaute est
12
connecte au site (cookies techniques). Elle depose egalement des cookies issus du domaine
« Jacebookcom » qui ont, pour certains, une finalite publicitaire, conune le cookie «fr »
(cookies first party soumis au consentement).
Par consequent, le parametrage du navigateur ne peut, en 1' espece, ~re considere comme un
mecanisme valable d'opposition au depfit de cookies.
Au regard de ce qui precede, il apparait que le site internet nta pas correctement informe les
personnes concemees et n'a pas recueilli valablement leur consentement avant de proceder au
depOt des cookies.
Ces faits constituent un manquement au II de l'article 32 precite de Ia loi du 6 janvier 1978
modifiee, qui soumet a information et accord prealables de la personne concemee !'inscription
d'infonnations sur son equipement terminal de communications electroniques et l'acces a
celles-ci.
En outre, il est rappele qu'en application des articles 131-41 et R. 625-10 du code penal
combines, le fait pour Ia personne morale responsable dtun tra.itement de ne pas informer les
personnes concernees et obtenir leur accord avant d'acceder a ou d'inscrire des informations
dans leur 6quipement terminal de communications electroniques est puni d'une peine
d'amende pouvant atteindre 7.500 €.
Un manquement a l'obligation de definir et de respecter une dude de conservation
proportionnee a la finalite du traitemen.t
La delegation a constate que la societe propose aux inscrits une fonctionnalite « Telecharger
/ 'archive », qui pennet de recevoir « une copie des donnees que voU3 avez publiees sur
Facebook ». La delegation a notamment constate que dans l'onglet « Securite » de cette
archive figure Ia liste des differentes adresses IP utilisees par les inscrits pour se connecter a
leurs comptes, et ce depuis le 9 avril 2015, date d'ouverture d'un compte sur le site
FACEBOOK.COM par la delegation.
Or, si la necessite de !utter contre les usurpations de compte peut justifier de conserver ces
donnees, i1 n'apparait pas proportionne de les conserver pendant une duree supeneure 6
a
mois.
a
Ces faits sont de nature constituer un manquement aux dispositions de !'article 6-5° de la loi
du 6 janvier 1978 modifiee qui prevoit que les donnees « (...) sont conservees sous une forme
permettant /'identification des personnes concernees pendant une duree qui n'excede pas Ia
duree necessaire aux ftnalites pour lesquelles elles sont collectees et traitees ».
J1 est en outre rappele qu'en application des articles 226-20 et 226-24 du code penal
combines, le fait pour Wle personne morale, de conserver des donnees a caractere personnel
au-dela de Ia
prevue par la loi ou Ie reglement, par la demande d'autorisation ou d'avis,
duree
13
ou par la declaration prealable adressee ala Commission nationale de l'informatique et des
libertes, est puni d'une peine d'amende pouvant atteindre 1.500.000 €.
Un manquement AI'obligation d'assurer Ia securite des donnees
La delegation a constate que l'internaute qui souhaite s'inscrire sur le site est invite a choisir
un mot de passe contenant «plus de 6 caracteres », « unique » et « difficile adeviner pour les
autres ». En outre, elle a oonstate que le mot de passe« 1234567a »a ete accepte.
Or, un mot de passe de 6 caracteres ou ne comportant que 2 regles de complexite (chiffres et
lettres) ne pennet pas d'assurer la securite et Ia confidentialite des donnees auxquelles ils
pennettent d'avoir acces.
Ces faits constituent un manquement A ]'article 34 de la loi D0 78-17 du 6 janvier 1978
modifiee disposant que « le responsable du traitement est tenu de prendre toutes precautions
utiles, au regard de Ia nature des donnees et des risque.s presentes par le traitement, potu
preserver Ia securite des donnees et, notamment, empecher qu 'elles soient deformees.
endommagees, ou que des tiers non autorises y aient acces ».
II est en outre rappele qu'en application des articles 226-17 et 226-24 du code penal combines,
le fait pour une personne morale de proceder ou de faire proceder a Wl traitement de donnees
acaractere personnel sans mettre en ~vre les mesures prescrites a!'article 34 de Ia loi n° 7817 du 6 janvier 1978 precitee est notamment puni d'une peine d'amende pouvant atteindre
1.500.000 €.
Un manqoement ll'obligation d'accomplir les formaHtes prialables a la mise en renvre
des traitemenu de lutte contre Ia fraude et d'exelusion
La delegation a ete informee de Ia mise en place d'un traitement de lutte contre la fraude par
Ia societe. En effct, la Politique d'utilisation des donnees du site prevoit que «Nous pourrons
egalement acceder ades informations personnelles, /es preserver et les partager lorsque nous
sommes convaincus qu 'il est necessaire de : detecter, empecher et trailer des fraudes ou toute
autre activite illicite : nnus proteger nous-memes et proteger des tiers, notamment dans le cas
d'enquetes; ou empecher Ia mort ou tout risque imminent d'atteinte a /'integrite physique
d'une personne. Par exemple, nous pouvons partager des informations concernantlafwbilite
de votre compte anos partenaires tiers ajin d'eviter touteforme defraude et d'abus atravers
comme en dehors de nos service)).
En outre, la delegation a ete infonnee que Ia societe se reserve la possibilite d'exclure des
inscrits en cas de non respect de Ia Declaration des droits et responsabilites. En effet, 1'article
14 de ce document precise que « Si vous enfreignez la lettre ou l'esprit de cette Declaration,
ou creez autrement un risque de poursuites a notre encontre, nous pouvons arreter de vous
fournir tout ou partie de Facebook ».
14
Or, la delegation a constate que Ia societe n'a effectue aucune demande d!autorisation pour
encadrer la mise en reuvre de ces traitements.
Ces faits constituent un manquement aux dispositions du 4 o de 1'article 25-I de Ia loi du
6 janvier 1978 modifiee qui dispose que, sont mis en reuvre apres autorisation de la CNIL,
« Les traitements automatises susceptibles, du fait de leur nature, de leur portee ou de leurs
jinalites, d'exclure des personnes du benefice d'un droit, d'une prestation ou d'un contrat en
/'absence de toute disposition legislative ou reglementaire ».
Il est rappele qu'en application des articles 226-16 alinea ler et 226-24 du code penal
combines, le fait pour une personne morale, y compris par negligence, de proceder ou de faire
proceder a des traitements de donnees a caractere personnel sans qu'aient ete respectees les
formalites prealables leur mise en reuvre prevues par la loi est puni d'une peine d'amende
pouvant atteindre 1.500.000 €.
a
Un manquement relatif a robligation de disposer d'une base legale pour transferer des
donnees personneHes hors de l'Union Europeenne
L'article 16 de la Declaration des droits et des responsabilites prevoit que les donnees
relatives aux intemautes se trouvant en dehors des Etats~Unis sont « transferees et traitees
aux Etats-Unis ».
A cet egard, la Politique d'utilisation des donnees du site precise que << Facebook Inc. adhere
aux programmes « Safe Harbor framework» etablis entre le.s Etats-Unis et I 'Union
europeenne, et entre le.s Etats~Unis et Ia Suisse pour Ia collecte, /'utilisation et Ia
conservation des donnees provenant de l'Union europeenne et de la Suisse, comme defini par
le ministere du Commerce americain ». La societe a ajoute que « les clauses contractuelles
type approuvees par la Commission europeenne et Je Safe Harbor (s 'il s 'agit d 'importateurs
ba.ses aux Etats-Unis) sont les moyens par lesquels Facebook Irlande veille a ce que ces
exportations de donnees soient (i) licites et (ii) protegent de fafon adequate les personnes
concernees » (reponsc AIa question 10).
Or, dans sa decision du 6 octobre 2015, Ia Cour de Justice de !'Union Europeenne a invalide
Ia decision de la Commission europeenne no 2000-520 du 26 juillet 2000 relative
la
pertinence de Ia protection assuree par les principes de la sphere de securi~ (Safo harbor)
publies par le ministere du commerce des Etats-Unis, qui pennettait d'encadrer les transferts
de donnees a caractere personnel de l'Union europeenne vers les Etats-Unis.
a
Dans 1a mesure ou cette decision a
societe de procCder a un transfert de
Safe Harbor.
ete invalidee, i1
n'est desormais plus possible pour Ia
donnees personnelles vers les Etats-Unis sur la base du
a
Ces faits constituent un manquement !'article 68 de Ia loi no 78-17 du 6 janvier 1978
modifiee disposant que « Le responsable d'un traitement ne peut transfirer des donnees
a
15
a
caractere personnel vers un Etat n 'appartenant pas Ia Communaule europeenne que si cet
Etat assure un niveau de protection sujfisant de la vie privee et des libertes et droits
fondamentaux des personnes l'egard du traitement dont ces donnees font I 'objet ou peuvent
faire /'objet».
a
En consequence, les socletes FACEBOOK Inc., sise 1601 Willow Road,
Menlo Park, CA 94025 (Etats-Unis), et FACEBOOK Ireland. Limfted, sise 4 Gl"smd
Canal Square, Grand Canal Harbour, a Dublin (Ir!ande), sont mises en ci~me-:u-e, !21:!!
un delai de trois (3) mois a compter de Ia notification de Ia presente decision et sous
reserve des mesnres qu'elles auraient deja pu adopter, de :
:ne pas proceder sans base legale a Ia eombtnalson des donnets des inscrits t. des
ims publlcitaires ;
ne pas traiter de donnees non pertinentes, excessives ou inadequates au regard
des finalites poursuivies, en particulier cesser de demander aux inscrits de justifier de
leur identite en foumissant un dossier medical ;
recueillir le consentement upres des inscrits, sur Ia base d'une information
spedfique, a Ia coDecte et au traltement de Jeun donnees << sensibles >> ~ en
l'espece des donnees relatives aux opinions politiques, religieuses et a l'orientation
sexuelle - par tout prodde, tel qu'une case a cocl!er, appose i I'e:ndroit de Ia
eoDecte;
proceder a }'information des inscrits, conformement aux di.spositions de l'article
32 de la loi du 6 janvier 1978 modifiee :
• quant aux traitemen.ts de dotmees a caractere personnel mis en place, et ce
directement sur le fonnulaire d'inscription ainsi que sur Jes pages pennettant
aux inscrits de completer leur profil ;
• quant a la nature des donnees transferees hers de l'Union europeenne, a Ia
finalite du transfert. aux destinataires des donnees, et au niveau de protection
offert par les pays destinataires ;
proceder a une collecte et a un traitement loyal des donnees des intemautes non
inscrits s'agissant des donnees collectees via le cookie « datr » et le bouton
« 1' aime >> ;
informer et obtenir l'accord prialable des inte::rnau·tes a i'inscripti!)n
d'informations sur leur ~uipement terminal (cookies) et n Pacces ~ celles-ci. A
cet egard, il appartient a Ia societe, sauf Amettre en place un dispositif presentant Ies
memes garanties, d'indiquer aux intemautes, an prealable et de maniere claire et
complete, sur le bandeau present sur le site internet :
• les finalites de tous les cookies soumis au consentement ;
• qu'ils ont Ia possibilite de changer les parametres de ces cookies en cliquant
sur un lien present dans le bandeau. Ce bandeau doit renvoyer vers une page
presentant les solutions adequates mises a leur disposition pour accepter ou
refuser le depOt des cookies ;
- ne pas conserver de donnee a caractere personnel au·d~!! de !s. dune nkess&b-e
aux f"mnlites pou.r Iesquelles elle a ete c~llectee et trattee, notamment en supprirnant
16
a 1'expiration d'un
-
delai de 6 mois les adresses IP utilisees par les inscrits pour se
connecter aux comptes ;
prendre toutes mesnres necessaires pour garantir Ia securite des donnees a
caractere personnel des inscrits, notamment en renfo~t la robustesse des mots de
passe des comptes (mots de passe composes d'au moins huit caracteres de 3 types
panni les 4 suivants: chiffre, majuscule, minuscule et caractere special);
proceder a l'accomplissement des formalites preaJnbles applitables f!UX
traitements mis en C£uvre, en particulier pro ceder a une demande d' autorisation pour
!'ensemble des traitements de donnees ayant pour fmalite de Iutter contre la fraude et
susceptibles d'exclure des personnes;
ne pas proceder A des transferts de donnees personilelles vers Ies Etats-Unis sur
Ia base du Safe Harbor ;
justifier aupres de la CNIL que l'ensemble des demandes preeitees a hien. ~t~
respecte, et ce dams le delai imparti.
A l'issne de ee deJai, si les societ& FACEBOOK Inc. et FACEBOOK Irelmd Limited se
sont conformees a la presente mise en demeure, ll sera considere que la procedure es!
close et un courrier leur sera adresse en ce sens.
A l'invene, si les sodetes }A.CEBOOK Inc. et FACEBOOK Ireland Limite<! :ce se sont
a Ia presente mise en demeure, un rapporteur pourra etre designe crui
pourre demander a Ia. formation restrelnte de la Commission de proncncer l'nn! oes
pas c:onformees
samctlons prevues par I'article 45 de Ia loi du 6 janvier 1978 modifi&.
La Presidente
f:Jl··~ -
Isabelle FALQUE-PIERROTIN
17
]]>
Disclaimer: Justia Dockets & Filings provides public litigation records from the federal appellate and district courts. These filings and docket sheets should not be considered findings of fact or liability, nor do they necessarily reflect the view of Justia.
Why Is My Information Online?
