Facebook « tagué » par les autorités françaises – et ce que ceci présage pour l’avenir des acteurs multinationaux du numérique

Actualités Legalnews ©

A un jour d’intervalle, la Commission Nationale de l’Informatique et des Libertés (CNIL) et la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) ont toutes deux lancé l’assaut contre Facebook sur le terrain de la réglementation française. Cela donne l’impression d’une action concertée des autorités qui insistent sur la volonté de protection des internautes français.

La DGCCRF pointe du doigt le caractère abusif de certaines clauses des Conditions d’Utilisation de Facebook

Le 9 février 2016, la DGCCRF a publiquement enjoint Facebook de supprimer ou modifier certaines des clauses de ses conditions d’utilisations et de paiement considérées comme abusives, c’est-à-dire considérées comme étant trop défavorables à l’internaute. Il en est ainsi de la clause accordant à Facebook le pouvoir discrétionnaire de retirer tout contenu ou information publiés par l’internaute, ou encore le droit de modifier unilatéralement ses conditions d’utilisations ou son service de paiement sans en informer au préalable l’’internaute. La DGCCRF a enjoint Facebook de se mettre en conformité dans un délai de soixante jours. Si Facebook persistait à maintenir en l’état la rédaction actuelle de ses conditions d’utilisation, il risque une amende administrative qui peut aller jusqu’à 15.000 euros.

Mais surtout, il peut être poursuivi devant les tribunaux par les utilisateurs qui peuvent réclamer des dommages-intérêts, dont les montants peuvent se révéler plus ou moins importants en fonction du préjudice. L’action de groupe, qui a été introduite en France, risque sur ce point de « changer la donne » en démultipliant le risque.

La CNIL rappelle quant à elle Facebook à l’ordre sur le respect des exigences relatives à la protection des données personnelles

De son côté, le 8 février 2016, la CNIL a mis en demeure Facebook de se conformer à la loi Informatique et Libertés. Les manquements reprochés à Facebook sont multiples : Facebook utilise des cookies à finalité publicitaire, sans avoir correctement informé au préalable les utilisateurs, et sans avoir recueilli leur consentement. Il traque même les habitudes de navigation des internautes à leur insu alors même qu’ils ne disposent pas de compte Facebook. La CNIL reproche également à Facebook de ne pas recueillir le consentement des internautes avant de collecter des données sensibles tels que des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle. Les droits des utilisateurs et notamment le droit d’opposition ne seraient pas non plus respectés. Enfin, la CNIL rappelle à Facebook qu’elle ne peut plus transférer les données personnelles des internautes vers les Etats-Unis sur la base du Safe Habor. Ce dispositif populaire (près de 4.500 souscriptions) qui était une sorte d’auto-certification de conformité à la réglementation européenne, accessible aux responsables de données américains a été invalidé par décision de la CJUE le 6 octobre 2015, qui en avait souligné les lacunes. Sur ce point, la CNIL a déjà enjoint toutes les sociétés certifiées Safe Habor à mettre en place un autre cadre légal pour leurs transferts de données vers les Etats-Unis (soit un accord de transfert de données -Data Transfer Agreement- incorporant les clauses contractuelles types de la Commission Européenne, soit des règles d’entreprise contraignantes –Binding Corporate Rules-). Facebook est la première entreprise certifiée Safe Harbor à être épinglée par la CNIL, passé le délai octroyé juqu’au 31 janvier 2016 pour se mettre en conformité après l’invalidation du Safe Harbor. Les sanctions sont par ailleurs ici plus dissuasives que sur le terrain des clauses abusives : Facebook risque jusqu’à 300.000 euros d’amende et cinq ans d’emprisonnement.

Les régulateurs français ont franchi une étape

Ces développements marquent l’entrée des régulateurs dans une nouvelle phase. Les tribunaux français avaient en effet déjà alpagué Facebook, car selon ses conditions d’utilisation, en cas de litige opposant Facebook à un internaute, ce dernier se trouvait contraint d’agir devant les tribunaux californiens. Par ordonnance du 5 mars 2015, le Tribunal de Grande Instance de Paris s’était déclaré compétent malgré la clause attributive de juridiction en Californie. Elle avait jugé que cette clause attributive de compétence était abusive, et de ce fait devait être réputée nulle et non écrite.

Aujourd’hui, non content de déclarer les clauses comme abusives, le régulateur demande la réécriture des conditions générales. La CNIL se joint à l’offensive en confrontant Facebook à la non-conformité de sa politique d’utilisation des données personnelles.

L’attaque combinée de la DGCCRF et de la CNIL montre que l’année 2016 marque un véritable tournant. Les autorités françaises haussent le ton sans attendre que le régulateur européen montre la voie à suivre. L’offensive française n’est d’ailleurs pas isolée : la CNIL belge (Commission de la Protection de la Vie Privée – CPVP) avait déjà montré l’exemple en enjoignant Facebook de mettre un terme à l’enregistrement et la collecte des cookies des internautes belges n’ayant pas de compte Facebook.

Ce dernier ne s’étant pas conformé à cette demande, les tribunaux belges ont infligé à Facebook le 9 novembre 2015, une astreinte de 250.000 euros par jour s’il ne met pas fin aux pratiques reprochées. L’Allemagne n’est pas en reste : la Cour fédérale allemande a confirmé le 14 janvier 2016 la condamnation de Facebook pour pratique commerciale déloyale et infraction aux règles de protection des données personnelles du fait de la fonctionnalité « Retrouver ses amis » qui permet de scanner les contacts de la boîte mail pour envoyer une invitation aux personnes inscrites sur le réseau social.

Un signal fort pour les autres acteurs multinationaux du numérique

Il ne faut pas se méprendre sur la portée de ces actions. Au-delà du symbole Facebook, les régulateurs français donnent un signal fort aux acteurs multinationaux du numérique qu’ils ne laisseront faire ni les acteurs disruptifs (UberPop, etc.), ni ceux qui tentent d’imposer des conditions générales uniformes. Dans la mesure où quasiment toutes les sociétés sont entrées dans l’ère numérique avec les réseaux sociaux, la question de la conformité est en train de devenir une question centrale qu’il vaut mieux intégrer résolument qu’ignorer.

Daniel Kadar, avocat associé et Caroline Gouraud, avocate au sein du cabinet ReedSmith