Facebook : sanction CNIL avant et après RGPD

Dans une délibération fort motivée du 27 avril 2017 [1] (comme par hasard tout juste un an après l’adoption du RGPD [2]), la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné Facebook pour de nombreux manquements à la loi Informatique et Libertés du 6 janvier 1978 modifiée. Cette sanction – ou devrais-je dire « ces sanctions » car elles sont de deux sortes – font suite à la mise en demeure prononcée en 2016 par la CNIL à l’encontre du réseau social [3] et s’inscrivent le prolongement de travaux conduits de manière concertée avec les autorités de protection des données de Belgique, d’Allemagne (Land d’Hambourg), d’Espagne, et des Pays-Bas.

Facebook a donc écopé le mois dernier d’une sanction pécuniaire de 150.000€ assortie d’une « sanction médiatique » à travers la publication de la décision [4], une goutte d’eau dans l’océan que représente l’une des plus rentables entreprises de Californie. Cet évènement ayant déjà été très largement relayé dans des médias divers et variés, intéressons-nous plutôt à ce qu’aurait pu être la sanction pécuniaire sous l’empire du règlement européen entré en vigueur en 2016 et applicable à compter du 25 mai 2018 [5].

Précisions d’emblée que le RGPD instaure une gradation des sanctions financières fonction de la gravité des types de manquements, la gravité des manquements eux-mêmes devant systématiquement être prise en compte pour pondérer le montant définitif [6]. On trouve ainsi les manquements pouvant être sanctionnés à hauteur de 10 millions d’euros ou 2% du chiffre d’affaire (CA) d’une entreprise (« sanction de niveau 1 »: articles 25 à 39, 42 et 43), et les manquements pouvant être sanctionnés à hauteur de 20 millions d’euros ou 4% du CA (« sanction de niveau 2 »: articles 5 à 7, 9, 12 à 22 et 44 à 49).

Dans sa mise en demeure initiale, la CNIL visait de nombreux manquements relevant des sanctions précitées de niveau 1 et 2. Dans la décision de sanction du 27 avril 2017 il n’en restait plus que 5, mais quels manquements !

Manquements persistants au-delà du délai imparti par la mise en demeure initiale de la CNIL Équivalent RGPD Sanction pécuniaire applicable
Article 6-1°: licéité du traitement Article 5-1a) « Jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu » (article 83-5 du Règlement 2016-679).
Article 6-5°: durée de conservation Article 5-1e)
Article 7: consentement Article 7
Articles 32-I et 32-II: information des personnes concernées Articles 12, 13 et 14

Considérant que le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave [7], Facebook aurait encouru sous l’empire du RGPD une sanction allant jusqu’à 4% de son chiffre d’affaire. Sur la base du CA Facebook 2016 global (27.6Md€ à quelques dizaines de millions près), la « goutte d’eau » aurait été tout de suite eu quelques airs de chute de Yosemite…

0
Sanction pécuniaire CNIL 2017 effective
0
Sanction pécuniaire CNIL potentielle sous l’empire du RGPD

Reste à attendre 4 mois pour savoir si Facebook contestera ou non cette décision devant le Conseil d’État ou au niveau européen, à l’instar d’un certain Google en 2016.

Sources et notes

[1] Délibération de la formation restreinte SAN –2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND.
[2] RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[3] Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND et Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2016-026 du 4 février 2016 décidant de rendre publique la mise en demeure n°2016-007 du 26 janvier 2016 prise à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND.
[4] Chacun aura constaté en lisant la décision de sanction de la CNIL que la « sanction médiatique » intervient en sanction de niveau 2 « compte tenu de la gravité des manquements et de l’atteinte aux droits et libertés fondamentaux des personnes concernées ». Ainsi la CNIL considère la sanction médiatique comme un instrument plus efficace, à tout le moins plus impactant, que la sanction pécuniaire (du moins sous l’empire de la loi n°78-17 du 6 janvier 1978 modifiée) comme nous avons pu le souligner précédemment dans cet article.
[5] Chacun aura également constaté en lisant la délibération 2017-006 que les faits Facebook incriminés sont antérieurs à l’adoption de la loi Lemaire du 7 octobre 2016 ayant relevé le plafond des sanctions pécuniaires de la CNIL de 150.000€ à 3.000.000€ maximum.
[6] Article 83 du RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016.
[7] Article 83-3 du RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016.

La présente publication est une orientation générale relative au domaine d’intérêt abordé et ne constitue pas un avis professionnel. Vous ne devriez pas prendre acte sur la base des informations contenues dans cette publication sans requérir les conseils spécifiques d’un professionnel. Bien que cette publication ait été préparée en toute bonne foi, nous n’offrons aucune garantie (expresse ou implicite) quant à l’exactitude ou l’intégralité des informations y étant contenues et, dans les limites prévues par la loi, 3X Consultants, ses membres et ses collaborateurs n’acceptent ni n’assument aucune responsabilité ou obligation de diligence pour toute conséquence vous concernant ou concernant toute autre personne ou tout organisme agissant ou s’abstenant d’agir en se fondant sur les informations contenues dans cette publication ou pour toute décision qui en découle.

© 2017 et droits d’auteur 3X Consultants. Tous droits réservés. Une autorisation est nécessaire pour reproduire quelque partie de cette publication que ce soit.

By | 2018-04-24T11:48:22+00:00 29 mai 2017|Risques CNIL|