< Cookies et traceurs - Nouvelles lignes directrices de la CNILAmende contre Facebook : l’utilisation par la FTC américaine de la notion de pratiques déloyales ou trompeuses envers les consommateurs.
Le régulateur américain a infligé une amende, la plus grosse en la matière, de 5 milliards de dollars à Facebook pour une violation de données à caractère personnel et à cette occasion s’est transformé en super CNIL.
Cette sanction, publiée le 24 juillet dernier, nous apporte les éléments d’éclairage suivants :
(i) Sur le fondement légal de la violation
A défaut de disposer d’une loi générale sur la protection des données ainsi qu’une autorité régulatrice en la matière, la FTC américaine s’est fondée sur un texte relatif à la protection des consommateurs qui interdisait toute pratique déloyale ou trompeuse dans le commerce. Pour condamner Facebook, la FTC s’est interrogée quant aux termes de sa politique de confidentialité et a considéré comme déloyale « toute pratique qui surprendrait le consommateur moyen ». Les entreprises doivent donc être particulièrement vigilantes sur leurs politiques de confidentialité et les adapter régulièrement à leurs nouveaux traitements de données . Les avocats du pôle Data d’altij vous accompagnent tout au long de votre conformité au RGPD afin que votre documentation contractuelle garantisse votre « accountability ».
(ii) Sur le pouvoir de sanction de la FTC
La FTC peut, à défaut de disposer d’un pouvoir de sanction direct, conclure des accords transactionnels avec une entreprise qui aurait enfreint la réglementation en la matière. La FTC est alors autorisée à infliger une sanction financière à une entreprise qui violerait les termes de l’accord transactionnel. Ayant conclu avec Facebook un tel accord en 2012, la violation de cet accord par Facebook - et notamment lors du scandale Cambridge Analytica - permet aujourd’hui à la FTC d’infliger une amende de 5 milliards de dollars et conclure un nouvel accord avec Facebook pour vingt ans.
(iii) Sur le contenu des accords transactionnels
Ces accords permettent au régulateur d’imposer des obligations en matière de protection des données, pouvant ainsi devenir un « mini-RGPD ». Ce nouvel accord prévoit notamment que Facebook devra obtenir le consentement explicite de l’utilisateur avant toute utilisation de ses données de reconnaissance faciale, ou de tout partage de son numéro mobile avec les tiers. L’accord renforce également l’obligation - déjà présente au sein de l’accord de 2012 - de réaliser des études d’impact. Par ailleurs, l’accord oblige Mark Zuckerberg, dirigeant de Facebook, à signer une attestation personnelle relative à la conformité de la politique en matière de données personnelles de son entreprise, l’exposant ainsi, en cas de fausse déclaration, à des sanctions pénales.
Les entreprises en leur qualité de responsables de traitement devront être à même de justifier non seulement de leur propre conformité en menant les études d’impact nécessaires, en produisant une bonne documentation contractuelle et en auditant régulièrement leurs sous-traitant dont ils pourront être solidaires en cas de défaillance.
Le législateur français dispose également d’un Arsenal de sanctions civiles, administratives et pénales conséquent pour que la confiance des consommateurs ne soit pas trompée.
Nos avocats du pôle data pourront vous assister dans vos démarches de conformité au RGPD et dans la recherche de valeur et de différenciation concurrentielle dans votre stratégie de gouvernance des données de l’entreprise.
