A un jour dintervalle, la Commission Nationale de lInformatique et des Libertés (CNIL) et la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) ont toutes deux lancé lassaut contre Facebook sur le terrain de la réglementation française. Cela donne limpression dune action concertée des autorités qui insistent sur la volonté de protection des internautes français.
La DGCCRF pointe du doigt le caractère abusif de certaines clauses des Conditions dUtilisation de Facebook
Le 9 février 2016, la DGCCRF a publiquement enjoint Facebook de supprimer ou modifier certaines des clauses de ses conditions dutilisations et de paiement considérées comme abusives, cest-à-dire considérées comme étant trop défavorables à linternaute. Il en est ainsi de la clause accordant à Facebook le pouvoir discrétionnaire de retirer tout contenu ou information publiés par linternaute, ou encore le droit de modifier unilatéralement ses conditions dutilisations ou son service de paiement sans en informer au préalable linternaute. La DGCCRF a enjoint Facebook de se mettre en conformité dans un délai de soixante jours. Si Facebook persistait à maintenir en létat la rédaction actuelle de ses conditions dutilisation, il risque une amende administrative qui peut aller jusquà 15.000 euros.
Mais surtout, il peut être poursuivi devant les tribunaux par les utilisateurs qui peuvent réclamer des dommages-intérêts, dont les montants peuvent se révéler plus ou moins importants en fonction du préjudice. Laction de groupe, qui a été introduite en France, risque sur ce point de « changer la donne » en démultipliant le risque.
La CNIL rappelle quant à elle Facebook à lordre sur le respect des exigences relatives à la protection des données personnelles
De son côté, le 8 février 2016, la CNIL a mis en demeure Facebook de se conformer à la loi Informatique et Libertés. Les manquements reprochés à Facebook sont multiples : Facebook utilise des cookies à finalité publicitaire, sans avoir correctement informé au préalable les utilisateurs, et sans avoir recueilli leur consentement. Il traque même les habitudes de navigation des internautes à leur insu alors même quils ne disposent pas de compte Facebook. La CNIL reproche également à Facebook de ne pas recueillir le consentement des internautes avant de collecter des données sensibles tels que des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle. Les droits des utilisateurs et notamment le droit dopposition ne seraient pas non plus respectés. Enfin, la CNIL rappelle à Facebook quelle ne peut plus transférer les données personnelles des internautes vers les Etats-Unis sur la base du Safe Habor. Ce dispositif populaire (près de 4.500 souscriptions) qui était une sorte dauto-certification de conformité à la réglementation européenne, accessible aux responsables de données américains a été invalidé par décision de la CJUE le 6 octobre 2015, qui en avait souligné les lacunes. Sur ce point, la CNIL a déjà enjoint toutes les sociétés certifiées Safe Habor à mettre en place un autre cadre légal pour leurs transferts de données vers les Etats-Unis (soit un accord de transfert de données -Data Transfer Agreement- incorporant les clauses contractuelles types de la Commission Européenne, soit des règles dentreprise contraignantes Binding Corporate Rules-). Facebook est la première entreprise certifiée Safe Harbor à être épinglée par la CNIL, passé le délai octroyé juquau 31 janvier 2016 pour se mettre en conformité après linvalidation du Safe Harbor. Les sanctions sont par ailleurs ici plus dissuasives que sur le terrain des clauses abusives : Facebook risque jusquà 300.000 euros damende et cinq ans demprisonnement.
Les régulateurs français ont franchi une étape
Ces développements marquent lentrée des régulateurs dans une nouvelle phase. Les tribunaux français avaient en effet déjà alpagué Facebook, car selon ses conditions dutilisation, en cas de litige opposant Facebook à un internaute, ce dernier se trouvait contraint dagir devant les tribunaux californiens. Par ordonnance du 5 mars 2015, le Tribunal de Grande Instance de Paris sétait déclaré compétent malgré la clause attributive de juridiction en Californie. Elle avait jugé que cette clause attributive de compétence était abusive, et de ce fait devait être réputée nulle et non écrite.
Aujourdhui, non content de déclarer les clauses comme abusives, le régulateur demande la réécriture des conditions générales. La CNIL se joint à loffensive en confrontant Facebook à la non-conformité de sa politique dutilisation des données personnelles.
Lattaque combinée de la DGCCRF et de la CNIL montre que lannée 2016 marque un véritable tournant. Les autorités françaises haussent le ton sans attendre que le régulateur européen montre la voie à suivre. Loffensive française nest dailleurs pas isolée : la CNIL belge (Commission de la Protection de la Vie Privée CPVP) avait déjà montré lexemple en enjoignant Facebook de mettre un terme à lenregistrement et la collecte des cookies des internautes belges nayant pas de compte Facebook.
Ce dernier ne sétant pas conformé à cette demande, les tribunaux belges ont infligé à Facebook le 9 novembre 2015, une astreinte de 250.000 euros par jour sil ne met pas fin aux pratiques reprochées. LAllemagne nest pas en reste : la Cour fédérale allemande a confirmé le 14 janvier 2016 la condamnation de Facebook pour pratique commerciale déloyale et infraction aux règles de protection des données personnelles du fait de la fonctionnalité « Retrouver ses amis » qui permet de scanner les contacts de la boîte mail pour envoyer une invitation aux personnes inscrites sur le réseau social.
Un signal fort pour les autres acteurs multinationaux du numérique
Il ne faut pas se méprendre sur la portée de ces actions. Au-delà du symbole Facebook, les régulateurs français donnent un signal fort aux acteurs multinationaux du numérique quils ne laisseront faire ni les acteurs disruptifs (UberPop, etc.), ni ceux qui tentent dimposer des conditions générales uniformes. Dans la mesure où quasiment toutes les sociétés sont entrées dans lère numérique avec les réseaux sociaux, la question de la conformité est en train de devenir une question centrale quil vaut mieux intégrer résolument quignorer.
Daniel Kadar, avocat associé et Caroline Gouraud, avocate au sein du cabinet ReedSmith