Mois : septembre 2016

Par une décision du 26 janvier 2016, la CNIL a constaté que les traitements de données personnelles effectués par les sociétés Facebook inc. et Facebook Ireland ne respectaient pas la loi française et a par conséquent mis en demeure ces dernières de s’y conformer. Il convient de noter que dans sa décision, la CNIL prévoit que chaque manquement à la loi française fait l’objet d’une mise en demeure et de sanctions financières distinctes et cumulatives.

Si cette décision permet de mettre en lumière les pratiques des sociétés Facebook dans le traitement des données qu’elle opère (que la CNIL a jugé illicites), ce qu’il convient de retenir, c’est que la CNIL s’est, pour la première fois, considérée compétente pour analyser et sanctionner les traitements de données personnelles effectués par le géant californien en application de la loi française qu’elle déclare applicable aux faits de l’espèce. Jusqu’alors, la CNIL n’avait adressé à ce dernier que de simples lettres. La CNIL considérait en effet que dans la mesure où la loi française n’était pas applicable, elle n’était pas en mesure de prendre de sanctions en cas d’absence de réponse de Facebook. La donne a changé.

En substance, pour reconnaître l’application de la loi française aux sociétés Facebook inc. et Facebook Ireland, la CNIL reprend à son compte les récentes décisions Google Spain (C-131/12) et Weltimmo (C-230/14) rendues par la CJUE qui ont considérablement élargi le critère d’ « établissement », critère permettant de déterminer la loi applicable au traitement de données effectué par un responsable de traitement situé en dehors de l’Espace Économique Européen (conformément aux articles 4 de la directive 95/46/CE et 5 de la Loi Informatique et libertés n° 78-17 du 6 janvier 1978).

Ainsi, dès lors qu’un responsable de traitement dispose d’un « établissement » sur un territoire de l’UE – un établissement n’étant pas forcément constitué par une société enregistrée mais par toute installation stable qui sans effectuer elle même le traitement des données intervient dans le cadre des activités de celui-ci (en assurant la promotion et la vente d’espaces publicitaires par exemple) – la loi nationale de cet Etat sera applicable.

En tirant bénéfice de l’élargissement du critère d’établissement et en déclarant la loi française désormais applicable (sans préciser d’ailleurs les circonstances de l’espèce), la CNIL démontre sa volonté de s’inscrire comme fer de lance de la protection des données personnelles en Europe (cette décision marque le premier acte contraignant d’un office de protection des données personnelles européen à l’encontre d’un géant du Web) et dans la dynamique toujours plus grande de voir engager la responsabilité des acteurs de l’internet basés à l’étranger affichée par la Commission Européenne[1].

Ainsi, il y a fort à parier que d’autres sociétés étrangères procédant à des traitements de données en France feront bientôt, à leur tour, l’objet d’enquêtes de la CNIL et peut-être de sanctions si les obligations de la loi française n’étaient pas respectées.

Compte tenu du préjudice d’image indéniable que représente des telles sanctions et du caractère cumulatif des amendes encourues, les responsables de traitement qui pensaient pouvoir échapper à la loi française devront réfléchir à deux fois avant de mettre en place leur traitement. D’autant plus, avec l’entrée en vigueur du Règlement européen qui prévoit que les amendes administratives des autorités de contrôle pourront être indexées sur un pourcentage du chiffre d’affaires annuel mondial du responsable de traitement (dans la limite de 1.000.000 d’euros).

La conformité des entreprises avec le droit de l’Union et notamment avec le droit français est aujourd’hui une priorité.

 

[1] Le futur Règlement européen prévoit en effet que le droit de l’Union sera applicable, aux traitements de données à caractère personnel relatifs aux personnes ayant leur domicile sur le territoire de l’Union dès lors que les activités de traitement sont liées i) à l’offre de biens ou services, ou ii) à l’observation de leur comportement.

0