Articles

La question du contrôle de l’activité des télétravailleurs par des outils logiciels de n’est pas une question nouvelle : la cybersurveillance sur les lieux de travail avait déjà donné lieu à un rapport de la CNIL en 2002[1]. Dans le dernier rapport de la CNIL (sur l’activité en 2019), on relève notamment que 10% des plaintes à la CNIL concernent la surveillance des salariés

En France, le contrôle de l’activité des salariés est un droit de l’employeur qui découle de son pouvoir de direction. Cette règle a été affirmée à de multiples reprises par la Cour de Cassation.

Ce droit n’est pas sans limite, bien entendu. Il est limité par les droits et libertés des salariés tels qu’ils sont prévus par le code du travail, la loi informatique et liberté et depuis le 25 mai 2018 par le Règlement Général sur la Protection des Données ou RGPD, ainsi que par des droits fondamentaux, dont l’article 9 du code civil, relatif à la protection de l’intimité de la vie privée. Comme le rappelle fréquemment la Cour de cassation, le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée. Il convient donc, dans chaque situation, de rechercher un équilibre entre, d’une part, l’exercice, par l’employeur, de son droit de contrôle et, d’autre part, l’exercice, par les salariés, de leurs droits et libertés.

Le confinement mis en place dans le cadre du plan de lutte contre la COVID-19 a été à l’origine d’un passage massif et inédit au télétravail à domicile. le code du travail permettant à l’employeur d’imposer, en cas de risque épidémique, le télétravail aux salariés dont les fonctions permettent le télétravail. Certaines entreprises ont pu craindre que ce passage un peu précipité au télétravail n’engendre une sorte de décrochage des salariés ou, en tout cas, une baisse de productivité ou, de manière plus générale, un non-respect, par les salariés, de leurs obligations contractuelles.

Il convient de conserver présent à l’esprit que le télétravail ne modifie pas, en principe, les obligations des salariés en ce qui concerne leur temps de travail ; cela suppose, d’ailleurs, que l’employeur définisse très clairement les plages horaires pendant lesquelles le salarié est disponible afin qu’il puisse respecter son droit à la déconnexion.

Dans ce contexte, certains employeurs ont pu être tenté, tout d’abord, d’utiliser les fonctionnalités des outils de visioconférence… en contrôlant, par exemple, la présence des salariés à leur poste au moyen de leur webcam ou en enregistrant la totalité des échanges pendant les sessions de visioconférence. Mais d’autres employeurs ont pu souhaiter aller plus loin, en utilisant des outils permettant d’exercer à distance une surveillance plus approfondie.

Il existe différents outils comme TERAMIND, INTERGUARD, ACTIVETRAK, qui permettent d’analyser avec beaucoup de précision la pratiquement totalité des opérations de traitement effectuées au moyen de l’ordinateur utilisé par le salarié dans le cadre du télétravail à domicile, qu’il s’agisse d’un ordinateur mis à disposition par l’employeur ou de l’ordinateur personnel du salarié. Ces outils dit de « monitoring » ont, semble-t-il, été assez largement utilisés par les entreprises… si l’on en croit les déclarations des éditeurs eux-mêmes.

Quelles sont les conditions de légalité, en France, de l’utilisation de ces outils ?

Tout d’abord il faut écarter l’idée selon laquelle l’utilisation de ces outils serait par principe, de manière générale, légale ou illégale. Ce ne sont que des outils, dont l’utilisation doit être adaptée et proportionnée à la nécessité de contrôler l’activité à distance des salariés, que ce soit pour des raisons tenant à la sécurité des données (qui dépend de la nature des données elles-mêmes) ou pour contrôler la productivité et/ou la performance des salariés.

Si on raisonne globalement, indépendamment de chaque cas particulier, quelles sont les conditions à respecter pour que l’utilisation de ces outils reste dans les limites de la légalité ?

Premièrement, leur utilisation doit être parfaitement transparente, c’est-à-dire qu’elle doit donner lieu à une information individuelle, de chaque salarié[2], et collective – c’est-à-dire qu’il convient d’informer et de consulter le comité social économique… Cette exigence de transparence résulte à la fois du code du travail, de la LIL et RGPD.

Au regard de la jurisprudence de la Cour de cassation en matière sociale, les salariés doivent être informés des périodes pendant lesquelles ils sont susceptibles d’être écoutés ou enregistrés.

Deuxièmement, s’agissant d’un traitement de données ayant pour but la surveillance des salariés, ce traitement doit doit être licite[3] c’est-à-dire fondé sur une base légale valable au sens du RGPD. On considère que le salarié se trouve dans une situation de dépendance qui exclut le consentement comme une base légale valable, celui-ci ne pouvant être considéré comme libre. La base légale de ce traitement ayant pour but la surveillance des salariés et/ou la protection des données peut être :

  • l’exécution du contrat de travail
  • ou (plus fréquemment) l’intérêt légitime… pour autant que, dans ce dernier cas, les droits et libertés du salarié ne soient pas supérieurs à l’intérêt de l’entreprise, ce qui s’apprécie au cas par cas.

Troisièmementet c’est peut-être la condition que la plus délicate à réunir – ce traitement doit respecter le principe de minimisation selon lequel l’entreprise, le responsable de traitement, ne doit collecter et traiter que des données personnelles strictement nécessaires… L’on voit bien que si l’on utilise toutes les fonctionnalités d’un outil de monitoring[4], il y a un risque assez important de collecte excessive de données, peu important que les autres conditions aient été respectées.

Quatrièmementet c’est justement la question de l’appréciation du risque pour les droits et libertés des salariés – dès lors qu’il s’agit d’un traitement qui conduit à une surveillance systématique des personnes concernées, considérées comme « vulnérables » dans la mesure où elles sont dans un état de dépendance, le RGPD, tel qu’il est interprété par la CNIL, impose la réalisation d’une étude d’impact sur la vie privée[5]. Même si le passage au télétravail à domicile a été précipité le 17 mars dernier, les employeurs auraient dû, le plus tôt possible, réaliser cette étude d’impact avant de mettre en œuvre la surveillance à distance. La CNIL met du reste à disposition un outil gratuit en ligne, dénommé outil PIA, dont une nouvelle version a été publiée au mois d’avril.

Cinquièmement, les données collectées dans le cadre du « monitoring » ou de ce que l’on dénommait la cybersurveillance ne peuvent être conservées longtemps. Rappelons que les données de vidéosurveillance – avec une finalité assez proche – ne peuvent être conservées, sauf procédure contentieuse ou disciplinaire, que 30 jours.

Sauf texte imposant une durée spécifique ou justification particulière, la CNIL considère, par exemple, que les enregistrements peuvent être conservés jusqu’à six mois au maximum. Les documents d’analyse peuvent quant à eux être conservés jusqu’à un an.

Sixièmement, s’il y a un délégué à la protection des données, celui-ci doit être associé à la mise en œuvre des écoutes ou des enregistrements des appels ou, plus généralement, du dispositif de surveillance (CNIL).

Septièmement, il faut savoir que les salariés qui télétravaillent à domicile disposent, dans certains cas, d’un doit spécifique d’opposition au traitement.

C’est-à-dire lorsque que :

  • la surveillance ne peut être considérée comme nécessaire à l’exécution du contrat… en d’autres termes qu’elle est fondée sur l’intérêt légitime de l’entreprise,
  • que le traitement est susceptible de conduire à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l’affectant de manière significative de façon similaire (cas de scoring ou de profilage ayant des conséquences directes, sans appréciation humaine, sur la rémunération ou la carrière)[6].

Huitièmement, le dispositif mis en place ne doit pas porter atteinte au secret des correspondances (analyse des messages d’une boîte à lettre électronique personnelle distincte de la messagerie professionnelle dont la salariée disposait pour les besoins de son activité)[7].

CAS PARTICULIERS

Certains usages sont invalidés par la CNIL.

L’employeur ne peut pas mettre en place un dispositif d’écoute ou d’enregistrement permanent ou systématique, sauf texte légal (par exemple pour les services d’urgence).

Ainsi, la CNIL considère que quelle que soit la finalité poursuivie, une capture d’écran est susceptible de n’être ni pertinente ni proportionnée puisqu’il s’agit d’une image figée d’une action isolée de l’employé, qui ne reflète pas fidèlement son travail.

La CNIL considère également que compte tenu des impacts et risques de détournement et de surveillance associés à ces dispositifs, le couplage des enregistrements téléphoniques avec l’image (capture d’écran ou vidéo) des actions de l’employé est disproportionné lorsqu’il est utilisé pour d’autres finalités que la formation, telles que l’évaluation du personnel, la lutte contre la fraude interne, etc. L’employeur doit alors utiliser des moyens alternatifs à ce type de dispositif.

Par ailleurs, l’écoute en temps réel et l’enregistrement sonore des appels sur le lieu de travail peuvent être réalisés en cas de nécessité reconnue et doivent être proportionnés aux objectifs poursuivis (par ex. formation).

Pascal ALIX, avocat à la Cour, DPO externe, lead auditor (certification EUROPRIVACY – RGPD)

[1] le 11 février 2002

[2] Article L. 1222-4 CT : Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.

[3] Au sens de l’article 6 du RGPD

[4] Monitoring de l’usage des logiciels et des applications (lesquelles, combien de temps, etc.), de la navigation sur le réseau internet (quel site – typologie, pro/non-pro, etc.) de l’utilisation de la messagerie (combien d’e-mail, quels destinataires, etc.) quels documents ont été scannés et imprimés, l’utilisation des réseaux sociaux (temps, etc.), jusqu’à l’enregistrement de la frappe sur le clavier et à l’enregistrement avec une fréquence déterminée des écrans affiché par le moniteur ou de la voix.

[5] Article 35 du RGPD

[6] Article 22 du RGPD

[7] Cour de cassation, chambre sociale, 23 octobre 2019, pourvoi n° 17-28448

Lire la suite

cookies

Un petit rappel s’impose. Par délibération du 4 juillet 2019, la CNIL avait adopté des lignes directrices relatives à la conformité de l’écriture et de la lecture des cookies et autres traceurs installés dans le terminal d’un utilisateur au regard de l’article 82 de la Loi Informatique et Libertés, en insistant sur la nécessité, sauf exception, d’obtenir un consentement libre, spécifique, éclairé et univoque se manifestant par une déclaration ou par un acte positif clair avant l’écriture ou la lecture de traceurs et en rappelant la position du CEPD en ce sens. La CNIL rappelait notamment l’interdiction, par le CEPD, du « cookie wall »[1]. Les conclusions du CEPD, dont la position a été rappelée par la CNIL, au sujet du « cookie wall » étaient assez radicales « Pour que le consentement puisse être librement accordé conformément au RGPD, l’accès aux services et aux fonctionnalités ne doit pas être subordonné au consentement de l’utilisateur au traitement de ses données à caractère personnel ou d’informations relatives à son équipement terminal ou traitées par celui-ci. En d’autres termes, les « cookies walls » devraient être explicitement interdits ».

 

Le 19 juin 2020, statuant sur un recours exercé par les principaux groupements agissant dans les secteurs du e-commerce et de la vente à distance, de l’édition de contenus et services en ligne, du marketing digital, de la régie internet et de l’achat d’espace, ainsi que l’union des marques, le Conseil d’Etat a annulé partiellement la délibération de la CNIL[2]. Le Conseil d’Etat censurait la décision de la CNIL en considérant qu’elle ne pouvait légalement interdire les « cookie walls »dans ses lignes directrices, à savoir dans un acte de « droit souple ».

 

La question de la possibilité de mettre en place un « cookie wall » a fait couler beaucoup d’encre. Mais c’est en réalité la nature et les limites du pouvoir normatif de la CNIL qui était en jeu.

 

Les interprétations multiples de la décision du Conseil d’Etat

 

La CNIL insiste sur le fait que « le Conseil d’État a validé pour l’essentiel les lignes directrices »[3]. Le GESTE [4] fait valoir, quant à lui, que « Le Conseil d’État reconnaît ainsi aux médias la liberté de choisir leur business model sans que cela soit au détriment de la protection des données à caractère personnel »[5]. L’Association Française des Correspondants à la protection des Données à caractère Personnel constate que selon le Conseil d’Etat « … la CNIL a outrepassé ses pouvoirs en proclamant une interdiction générale et absolue de la pratique des « cookies walls »…», tout en laissant ensuite la porte ouverte à la possibilité d’un « cookies-or-pay-wall » [6].

 

Rappelons que si la notion de cookie est étrangère au RGPD, qui se borne à définir celui-ci très rapidement et de manière très superficielle le cookie dans son considérant 30, la nouvelle définition du consentement[7] conduit notamment à une présomption d’absence de consentement en cas de couplage, qui peut toutefois être renversée[8].

 

Dans son interprétation de l’article 7, paragraphe 4 du RGPD, éclairé par le considérant 43, le CEPD semble hésiter entre la possibilité d’une validité – fût-elle exceptionnelle – du « cookie wall »  et l’impossibilité absolue d’une telle validité.

 

Après avoir appelé à « bannir » la pratique du « cookie wall », l’AFCDP considère néanmoins qu’il existe des cas « où une offre payante peut être proposée en cas de refus des traceurs », semblant ouvrir la voie au modèle du « cookie-or-pay wall ». Il est exact que « le « troc 2.0 » est « expressément admis par la directive 2019/770 du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques (considérant 24[9] et articles 2 et 3[10]) ».

 

Le « cookie wall » dans les nouvelles lignes directrices de la CNIL

 

Dans ses nouvelles lignes directrices du 17 septembre 2020[11], la CNIL tempère sa position antérieure, en retenant que la pratique dite de « cookie wall » « est susceptible de porter atteinte, dans certains cas, à la liberté du consentement », en précisant ensuite qu’«en cas de mise en place de « cookie wall », et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ».

 

Le « cookie wall » dans la recommandation de la CNIL du 17 septembre 2020

 

Dans sa recommandation du 17 septembre 2020[12], la CNIL, ne souhaitant probablement valider telle ou telle technique de « cookie wall », avec ou sans paiement, à éludé cette question. Il a appartient donc aux opérateurs de déterminer les modalités de la mise en place du « cookie wall » en indiquant clairement les conséquences des choix opérés et… en prenant un risque juridique dès lors que la validité du dispositif sera appréciée « au cas par cas » par la CNIL…

 

Pascal ALIX, avocat au barreau de Paris, DPO externe, Lead auditor (certification EUROPRIVACY)

[1] Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)

[2] https://www.conseil-etat.fr/actualites/actualites/le-conseil-d-etat-annule-partiellement-les-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion

[3] https://www.cnil.fr/fr/cookies-et-autres-traceurs-le-conseil-detat-rend-sa-decision-sur-les-lignes-directrices-de-la-cnil

[4] Groupement d’éditeurs de contenus et de services

[5] https://www.geste.fr/les-professionnels-de-la-publicite-en-ligne-et-des-medias-saluent-la-decision-du-conseil-detat/

[6] AFCDP, Les DPD/DPO de l’AFCDP mettent en garde contre la tentation du « cookie wall », GlobalSecurityMag, juillet 2020 : https://www.globalsecuritymag.fr/Les-DPD-DPO-de-l-AFCDP-mettent-en,20200702,100281.html

[7] Considérants 42 et 43, art. 4. 11), 7. 4) du RGPD

[8] Lignes directrices WP259 du G29 sur le consentement au sens du règlement 2016/679, adoptées le 28 novembre 2017, version révisée et adoptée le 10 avril 2018, p. 10

En tout état de cause, la charge de la preuve repose sur le responsable du traitement en vertu de l’article 7, paragraphe 4 »

[9] «… La présente directive devrait dès lors s’appliquer aux contrats par lesquels le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur et le consommateur fournit ou s’engage à fournir des données à caractère personnel… »

[10] « …La présente directive s’applique également lorsque le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur, et le consommateur fournit ou s’engage à fournir des données à caractère personnel au professionnel… »

[11] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019

[12] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »

Le règlement général sur la protection des données (RGPD) considère l’enfant comme une personne concernée particulièrement vulnérable[1], méritant une protection spécifique[2] du fait de son incapacité à comprendre les risques qu’entraine un traitement de ses données personnelles.

Le législateur européen a introduit une distinction entre les mineurs de plus de 16 ans et les mineurs de moins de 16 ans.  Les premiers pouvant consentir seul à un traitement réalisé dans le cadre d’un « offre directe de services de la société de l’information »[3], à savoir un service payant fourni en ligne[4]. La loi française elle, opère cette distinction à l’âge de 15 ans[5]. En dessous de cet âge, le consentement doit être donné par les titulaires de l’autorité parentale ou conjointement avec eux[6] . Pour l’ensemble des traitements ne ressortissant pas des services de la société de l’information[7], le consentement ne semble pas borné par cette limite d’âge.

Lorsque l’on aborde la notion d’enfant cependant, une autre question se pose, relative celle-ci à l’exercice des droits de ce dernier.

Les mineurs peuvent-il exercer les droits des articles 15 et suivants du RGPD en tant que personnes concernées ?

Le Chapitre III du RGPD, « Droit de la personne concernée », qui se borne à faire référence à : « une personne physique identifiée ou identifiable [8] », n’évoque pas la question des droits des mineurs à cet égard.

Sachant que ces droits sont éminemment personnels et ne peuvent être exercés que par la personne concernée elle-même, peut-on considérer, en l’absence de disposition spécifique dans les articles 15 et suivants, que le mineur peut exercer seul ces droits et ainsi bénéficier de la possibilité de maitriser ses données personnelles sans l’autorisation des titulaires de l’autorité parentale ?

Le RGPD prend en compte le statut particulier de l’enfant lorsqu’il évoque les modalités de délivrance de l’information (concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant[9]). Or, cette information porte notamment sur les droits dont les personnes concernées disposent en cas de traitement de ses données personnelles.

Information sur les droits et exercice des mêmes droits sont pourtant à dissocier : le mineur est informé mais ne peut exercer seul ses droits.

En effet, l’article 388-1-1 du Code civil prévoit que l’administrateur légal représente le mineur dans tous les actes de la vie civile, sauf les cas dans lesquels la loi ou l’usage autorise les mineurs à agir eux-mêmes.

Or, ni la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée ni le RGPD ne prévoient pas une telle autorisation pour l’exercice des droits.

Pour le droit d’accès, la CNIL indique que les titulaires de l’autorité parentale sont habilités à l’exercer[10]. Il semble admis que le régime du droit de rectification est identique[11].

Concernant le nouveau droit à l’oubli consacré par l’article 40-II de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée, s’il concerne des données collectées alors que les personnes concernées étaient mineures au moment de la collecte, il est apparemment exercé par le titulaire de l’autorité parentale[12].

Les autres droits ne semblent pas devoir être traités différemment en l’absence de précisions particulières les concernant.

La loi française introduit une exception intéressante dans le domaine des traitements de données de santé pour les mineurs de plus de 15 ans.

L’article 59 de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée prévoit en effet que pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique[13] ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.

Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale[14] (…) Il exerce alors seul ses droits.

Qu’est-ce qui motive ces exceptions ? Le législateur a considéré qu’il s’agissait ici d’un domaine particulièrement sensible pour le mineur car touchant à sa santé et ayant un caractère très intime, comme un dernier recoin de vie privée inaccessible, même aux titulaires de l’autorité parentale. S’il s’agit de l’alignement du seuil de maturité adopté dans d’autres domaines (services de la société de l’information, consentement en matière de sexualité), l’on voit mal ce qui justifie le maintien de l’exigence de l’autorisation parentale pour l’exercice, par les mineurs de 15 ans et plus, de leurs droits d’accès, de rectification, à l’effacement, à la limitation, à la portabilité et d’opposition.

Pascal Alix, avocat à la Cour et DPO externe

Séverine Lair, avocat à la Cour

[1] Considérant 75.

[2] Considérant 38 : « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel (…) ».

[3] Article 8 du RGPD.

[4] CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL

[5] Article 7-1 de la LIL modifiée.

[6] « donné ou autorisé par le titulaire de la responsabilité parentale » selon le RGPD

[7] Comme la réservation d’un transport au moyen d’une application (CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL, précité).

[8] Article 4.1 du RGPD.

[9] Le Considérant 58 reprend cette même idée.

[10] « Pour les mineurs et les incapables majeurs, ce sont, selon les cas, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche. » https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces.

[11] Informatique et libertés, La protection des données à caractère personnel en droit français et européen, A ; DEBET, et autres, coll. Les intégrales, Lextenso Editions, 2015, p.1443.

[12] Alain Bensoussan (https://www.alain-bensoussan.com/avocats/droit-effacement-donnees-mineurs/2017/02/13/)

[13] « 2° Les recherches interventionnelles qui ne comportent que des risques et des contraintes minimes, dont la liste est fixée par arrêté du ministre chargé de la santé, après avis du directeur général de l’Agence nationale de sécurité du médicament et des produits de santé ;

3° Les recherches non interventionnelles qui ne comportent aucun risque ni contrainte dans lesquelles tous les actes sont pratiqués et les produits utilisés de manière habituelle. »

[14] Article L.1111-5 et L.1111-5-1 du Code de la santé publique : le professionnel de santé doit cependant d’abord rechercher l’accord du mineur sur cette consultation.

Par une délibération du 27 avril 2017[1], la CNIL sanctionne Facebook au versement d’une somme de 150 000 euros, soit l’amende la plus haute qu’elle pouvait lui délivrer hors cas de récidive, pour violations multiples de la loi Informatique et Libertés de 1978[2].

L’analyse de cette décision permet de revenir sur plusieurs principes fondamentaux de la loi Informatique et Libertés qui encadre aujourd’hui la protection des données personnelles et dont le régime va être renforcé à compter de l’entrée en vigueur du Règlement Général sur la protection des données (« RGPD »)[3] le 25 mai 2018.

La procédure aboutissant à cette délibération

Cette délibération est l’aboutissement d’une procédure entamée en 2015. Les 8 et 9 avril 2015 en effet, la CNIL a procédé à une mission de contrôle sur place, chez Facebook France, filiale en France de Facebook Ireland et Facebook Inc. Ce premier contrôle, qui donna lieu à la rédaction de deux PV, fut suivi d’un contrôle sur pièces et de l’envoi d’un questionnaire à Facebook Inc. Un troisième type de contrôle est réalisé, en ligne cette fois-ci, le 15 décembre 2015, et un PV notifié à Facebook le 23 décembre 2015.

Ces trois contrôles finalisés, la Présidente de la CNIL décide de mettre en demeure[4] publiquement Facebook afin que soient prises en compte les mesures suivantes :

  • ne pas procéder sans base légale à la combinaison des données des inscrits à des fins publicitaires ;
  • ne pas traiter de données non pertinentes, excessives ou inadéquates au regard des finalités poursuivies, en particulier cesser de demander aux inscrits de justifier de leur identité en fournissant un dossier médical ;
  • recueillir le consentement exprès des inscrits, sur la base d’une information spécifique, à la collecte et au traitement de leurs données sensibles – en l’espèce des données relatives aux opinions politiques, religieuses et à l’orientation sexuelle – par tout procédé, tel qu’une case à cocher, apposée à l’endroit de la collecte ;
  • procéder à l’information des inscrits, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée en particulier :
  • sur les traitements de données à caractère personnel mis en place directement sur le formulaire d’inscription ainsi que sur les pages permettant aux inscrits de compléter leur profil ;
  • sur la nature des données transférées hors de l’Union européenne, la finalité du transfert, les destinataires des données, et le niveau de protection offert par les pays destinataires ;
  • procéder à une collecte et à un traitement loyal des données des internautes non inscrits au service de FACEBOOK s’agissant des données collectées via le cookie datr et le bouton J’aime ;
  • informer et obtenir l’accord préalable des internautes à l’inscription d’informations sur leur équipement terminal (cookies) et à l’accès à celles-ci ;
  • ne pas conserver de données à caractère personnel au-delà de la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, notamment en supprimant à l’expiration d’un délai de six mois les adresses IP utilisées par les inscrits pour se connecter aux comptes ;
  • prendre toutes mesures nécessaires pour garantir la sécurité des données à caractère personnel des inscrits, notamment en renforçant la robustesse des mots de passe des comptes;
  • procéder à l’accomplissement des formalités préalables applicables aux traitements mis en œuvre, en particulier procéder à une demande d’autorisation pour l’ensemble des traitements de données ayant pour finalité de lutter contre la fraude et susceptibles d’exclure des personnes ;
  • ne pas procéder à des transferts de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor.

La procédure a par la suite pris la forme d’un accompagnement de Facebook par la CNIL, avec la réalisation de plusieurs réunions de travail, ainsi qu’un prolongement du délai de mise en demeure de trois mois, l’ensemble des manquements relevés par la CNIL demandant un important travail pour Facebook.

Le 19 juillet 2016, la société Facebook Ireland fait valoir auprès de la CNIL que selon elle la loi Informatique et Libertés n’est pas applicable et qu’elle conteste l’ensemble des points soulevés sauf deux : la nécessité de veiller à l’adéquation, à la pertinence et au caractère non excessif des données et l’obligation de disposer d’une base légale pour transférer les données à caractère personnel hors de l’Union européenne. Sur ces points, elle indique avoir tenu compte des préoccupations de la CNIL.

La société Facebook Inc. ne réagissant pas, quant à elle, à la mise en demeure, la procédure suit son cours, et débouche in fine sur la délibération du 27 avril.

Les motifs de la décision

La CNIL commence par réaffirmer sa compétence et l’applicabilité de la loi française à l’encontre de Facebook Ireland et Facebook Inc, contrairement au point soulevé par Facebook Ireland. Elle rappelle les critères d’application à savoir : l’existence d’un établissement du responsable de traitement sur le territoire d’un Etat membre et la mise en œuvre du traitement de données dans le cadre des activités de cet établissement. La CNIL identifie sans mal ces éléments, en constatant que Facebook France est un établissement stable qui exerce des activités réelles et effectives et qui prend part aux traitements des données, en participant notamment à la perception des revenus publicitaires ces dernières étant personnalisées par rapport aux centres d’intérêt des utilisateurs. Les responsables de traitement, Facebook Inc et Facebook Ireland, agissant en France par l’intermédiaire d’un établissement stable peuvent donc être poursuivis tous les deux par la CNIL en tant que coresponsables de traitement.

Violation de l’article 32 de la loi Informatique et Libertés

L’analyse des infractions permet un rappel précis de l’importance du consentement des usagers avant tout traitement de données personnelles.

En premier lieu, la CNIL souligne l’absence de mentions obligatoires sur le formulaire d’inscription. Facebook se défend en invoquant un lien placé sur ce formulaire et qui renvoie à sa politique de protection des données.

Pour la CNIL néanmoins, si les informations peuvent être transmises par strates, il n’en demeure pas moins que certaines d’entre elles doivent être accessibles directement sur le formulaire. Les informations devant être nécessairement transmises à l’utilisateur lors de son inscription sont l’identité du responsable du traitement, les finalités du traitement et toute information supplémentaire permettant de garantir un traitement loyal. Cette dernière information reste assez évasive mais l’on comprend qu’il faut que l’utilisateur donne les informations le concernant en connaissance de cause.

Par ailleurs, les droits des utilisateurs concernés (droit d’accès, d’opposition, etc.) et les éventuels transferts hors de l’Union Européenne doivent aussi être des informations transmises au préalable à l’utilisateur. Or ces deux informations sont manquantes sur le formulaire ainsi que dans la politique d’utilisation des données, et empêche ainsi les utilisateurs « d’avoir la maitrise de leurs données et du traitement dont ils font l’objet ».

Ces deux points qualifient un manquement à l’article 32 de la loi Informatique et Libertés.

Violation de l’article 7 de la loi Informatique et Libertés

La CNIL reproche à Facebook de réaliser une combinaison des données en vue de réaliser de la publicité ciblée. Les combinaisons se font avec des données collectées par des sites partenaires tiers ou des sites ou applications appartenant à Facebook. Or, pour pouvoir agir ainsi, Facebook doit recueillir le consentement éclairé, spécifique et libre des utilisateurs.

La CNIL constate que les informations sur ce sujet sont diluées au sein de trois documents différents, au lieu d’être accessibles de façon claire dans celui intitulé « Politique de protection des données ». De plus, l’ensemble de ces informations ne permet pas de cerner l’importance de ce traitement et le volume de données concernées. Le consentement n’est donc pas éclairé. De surcroît, l’impossibilité pour les utilisateurs de pouvoir s’opposer à cette combinaison de données nuit à la liberté du consentement.

Enfin, la CNIL souligne que les utilisateurs s’inscrivent au service de Facebook pour bénéficier du réseau social mais non pas pour recevoir de la publicité ciblée. Cette combinaison de données ne correspond donc pas à l’objet du contrat conclu avec les utilisateurs, quand bien même, comme l’invoque Facebook, cette publicité serait nécessaire pour permettre la mise à disposition gratuite de ce service. L’équilibre entre l’intérêt économique de Facebook et les droits fondamentaux des utilisateurs n’est pas respecté et l’article 7 de la loi Informatique et Libertés violé.

Collecte et traitement loyal des données

Ce point concerne plus précisément le cookie datr utilisé par Facebook qui permet de suivre la navigation de personnes inscrites ou non sur Facebook dès lors qu’elles vont sur Facebook.com ou qu’elles cliquent sur le bouton « j’aime » même si ce boutin est présent sur un site tiers. Ce cookie, d’après Facebook, a une finalité de sécurité en permettant en particulier d’analyser la navigation des internautes afin d’éviter les attaques.

La CNIL relève principalement le manque d’informations délivrées aux utilisateurs dans le bandeau d’informations. Ce bandeau, renvoyant à la politique des données de Facebook, ne comprend pas suffisamment d’éléments permettant à l’Utilisateur de prendre conscience que le dépôt de ce cookie entraîne un suivi détaillé de sa navigation. Par ailleurs, la finalité sécuritaire n’est pas justifiée pour les personnes non inscrites sur Facebook.

Pour toutes ces raisons, le manquement à l’article 1er de la loi de 1978 qui impose une collecte et un traitement loyal des données est caractérisé.

Obligation de recueillir le consentement des personnes concernées pour le traitement de données sensibles relatives aux opinions politiques ou religieuses et à la vie sexuelle

Ce point de la décision est particulièrement intéressant et peut viser de nombreux sites internet, en premier lieu les sites de rencontres. Le formulaire d’inscription contient des informations qui sont cataloguées dans les données sensibles. En particulier les données sur l’origine ethnique et sur la vie sexuelle. Pour le traitement de ces données, l’article 8 de la loi de 1978 demande à ce que le consentement soit exprès.

Pour Facebook, le renseignement volontaire de ces informations par l’utilisateur est la preuve du consentement exprès. Pour la CNIL à l’inverse, le renseignement spontané doit être complété par une action positive prouvant l’existence du consentement (case à cocher par exemple). La CNIL relève par ailleurs que la politique des données personnelles ne comprend pas d’informations spécifiques sur le traitement de ces données sensibles. Le manquement est donc caractérisé.

Obligation de mettre à disposition un moyen valable d’opposition aux informations (cookies) stockées sur l’équipement terminal de communications électroniques des utilisateurs

La CNIL revient sur les cookies déposés par Facebook et relève qu’ils sont de deux ordres : techniques d’une part, et donc indispensables au fonctionnement du réseau social, et first party, d’autre part, à finalité publicitaire. Or, le bandeau d’information, en renvoyant au paramétrage du navigateur pour bloquer les cookies n’offre pas de solution satisfaisante. Soit tous les cookies sont bloqués, ce qui empêche l’utilisateur d’accéder au service, soit l’utilisateur bloque uniquement les cookies third party, mais ne peut pas empêcher le dépôt des cookies first party à finalité publicitaire. Le paramétrage ne permet donc pas de s’opposer valablement ce qui constitue un manquement à l’article 32 de la loi Informatique et Libertés.

Ce point est loin d’être anodin à l’heure du Règlement européen. Celui-ci impose en effet une conformité by design et by default. Il revient au responsable de traitement de créer des outils permettant de s’opposer efficacement aux cookies qui ne sont pas nécessaires à l’exécution d’un service et de prévoir une information accessible sur cette opposabilité.

Durée de conservation des données

Le dernier manquement concerne la durée de conservation des données en particulier des adresses IP. Pour Facebook, la collecte de ces données personnelles correspond à trois finalités : une finalité de sécurité pour lutter contre les contenus illicites, une finalité de protection des enfants liée à la nécessité d’informer rapidement les autorités compétentes lors de la détection d’images pédophiles et enfin une finalité de réponse aux requêtes des autorités publiques.

Ces finalités ne justifient pas, pour la CNIL, que les données soient conservées tant que le compte est ouvert. Il revient au responsable de traitement de pouvoir définir une durée de conservation adéquate et démontrer que celle-ci est nécessaire et proportionnée aux finalités de la collecte. Etant donné que Facebook ne peut réaliser cette démonstration, le manquement à l’article 5 de la loi est caractérisé.

Ce point constitue lui aussi un rappel important pour les responsables de traitement : la durée de conservation choisie, lorsqu’elle n’est pas imposée par un texte, doit pouvoir être justifiée. C’est donc en amont qu’il faut réfléchir à cette question afin de pouvoir expliquer en quoi la durée est proportionnelle à la finalité du traitement.

***

Compte tenu du nombre important des utilisateurs de Facebook et de la collecte massive des données, la CNIL a jugé nécessaire de rendre publique cette délibération.

Elle permet de refaire un tour des points fondamentaux de la loi de 1978, notamment en ce qui concerne l’importance du consentement libre et éclairé de la personne concernée et de son droit d’opposition.

Seule le montant de la sanction peut laisser à désirer pour un acteur de la taille de Facebook.

C’est l’occasion de redire ici que cette ère des sanctions faibles se termine, pour laisser place dès le mois de mai 2018 – après la parenthèse de la loi Lemaire qui n’aura pas eu le temps d’être beaucoup appliquée dans son volet données à caractère personnel -, à l’ère des sanctions potentiellement très élevées (2 à 4% du chiffre d’affaires mondial).

Gageons que Facebook est en train de prendre des mesures de mise en conformité afin d’éviter que ses infractions à la loi de 1978 ne se transforment l’année prochaine en infractions au RGPD dont les conséquences seraient alors toute autre…

Cette délibération donne aussi des pistes mutatis mutandis – à tous les acteurs du numérique en ce qui concerne les points à considérer, que ce soit pour les cookies, les formulaires d’inscription, ou encore les durées de conservation afin d’éviter à l’avenir à la fois une mauvaise publicité et une sanction pécuniaire pénalisante.

Comme cela a été souligné pour les cookies en particulier, les obligations de privacy by design et by default sont donc à prendre en compte dès aujourd’hui afin de ne pas être en contradiction avec le Règlement en mai prochain. Plus qu’un an…

Pascal Alix, avocat et CIL

Hubert de Segonzac, avocat et CIL

[1] Délibération de la formation restreinte SAN –2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND.

[2] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[3] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant  la directive 95/46/CE.

[4] Décision n° 2016-007 du 26 janvier 2016 concernant les traitements de données mis en œuvre dans le cadre du réseau social FACEBOOK.