Énoncé

La société Facebook ayant son siège social à San Francisco, Monsieur X se demande s’il peut faire valoir le RGPD, car la plateforme n’a pas fait suite à sa demande de suppression de ses données personnelles en janvier 2020. Par ailleurs, Monsieur X souhaite obtenir une carte de fidélité dans un magasin de bricolage en France où il se rend régulièrement. Mais en remplissant le formulaire d’adhésion, il aurait voulu savoir pourquoi des informations personnelles (notamment la composition de sa famille) lui sont demandées. Il recherche l’information sur le document, mais en vain.

Qu'en pensez-vous ?

Résolution

La société Facebook, domiciliée à San Francisco, n’a pas fait suite à la demande (en 2020) de suppression des données personnelles de Monsieur X vivant en France. De plus, ce dernier n’a pas su identifier l’exploitation qui sera faite des informations personnelles qui lui ont été demandées lors de son adhésion à programme de fidélité.

Ainsi, il s’agira de répondre à la question suivante : ces données personnelles de Monsieur X ont-elles été protégées comme l’entend le règlement général sur la protection des données (RGPD) ?

Nous verrons d’une part l’obligation de suppression des données personnelles de Monsieur X par Facebook (I) puis l’application du RGPD aux programmes de fidélité (II).

I.      L’obligation de suppression des données personnelles de Monsieur X par Facebook

Nous verrons que Facebook est une entité concernée par le RGPD (A). N'ayant pas supprimé les données personnelles à la demande de Monsieur X, la société encourt des sanctions (B).

A.   Facebook, une entité concernée par le RGPD

La collecte et l’exploitation des données se multipliant en mettant de plus en plus d'informations personnelles en circulation sans le consentement véritable des citoyens, plusieurs textes ont été adoptés au niveau européen. Aujourd’hui, le texte majeur en vigueur a été adopté en 2016. Il s’agit d’un Règlement 2016/679 (relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données), nommé brièvement "règlement général sur la protection des données". Les entreprises (collectivités publiques et associations aussi) ont eu jusqu’au 25 mai 2018 pour appliquer ces nouvelles normes. Par définition, ce règlement s’applique aux pays membres de l’Union européenne (U.E.), mais plus précisément aux citoyens de ces pays. Ce qui permet d'appliquer le règlement à toutes les sociétés qu’elles siègent en Europe ou non, tant que celles-ci collectent des données à des citoyens européens. En effet, c’est ce qu’il en ressort clairement à l’article 3 du RGPD relatif à son champ d’application territorial. En vertu du droit à l’effacement ou encore appelé "droit à l’oubli", les entreprises soumises au RGPD ont l’obligation d’effacer les données enregistrées lorsqu’une personne concernée en fait la demande. Cette obligation existe en présence de certains motifs prévus à l’article 17 du RGPD notamment "la personne concernée retire le consentement sur lequel est fondé le traitement, et il n'existe pas d'autre fondement juridique au traitement".

En l’espèce, Facebook a son siège à San Francisco avec des activités de services certes gratuits, mais la société a récolté les données de Monsieur X résident français donc citoyen européen. Monsieur X a exprimé le désir de retirer son consentement au traitement de ses données, et ce, en 2020 donc bien après l’application effective du RGPD.

Par conséquent, la société Facebook n’a pas respecté le RGPD.

C’est pourquoi il est intéressant de voir quelles sanctions elle encourt.

B.   Les sanctions découlant de la non suppression des données personnelles de Monsieur X

Le chapitre VIII du RGPD prévoit des "voies de recours, [la] responsabilité [et les] sanctions" en cas de non-respect de ce dernier. Ainsi, les sanctions encourues par les sociétés non conformes peuvent s’opérer à la suite soit d’une réclamation soit d’un recours juridictionnel. En effet, une réclamation peut être faite auprès de l’autorité de contrôle compétente dans le pays de résidence, de travail (ou encore notamment de violation du règlement) du citoyen concerné. En France, l’autorité de contrôle en charge du respect du RGPD est la Commission nationale de l'informatique et des libertés (CNIL). La voie juridictionnelle est admise soit à l'encontre de l'entreprise irrégulière soit contre cette même autorité de contrôle. Dans tous les cas, à côté des amendes administratives, les sanctions encourues varient selon les pays du territoire européen. En France, les condamnations peuvent aller du simple avertissement en passant par les mises en demeure jusqu'à une sanction pécuniaire de 4% du chiffre d’affaires quand il s’agit d’une entreprise voire à des dommages et intérêts.

En l’espèce, il s’agit d’un cas en apparence isolé et dont aucun préjudice ne semble présent.

Par conséquent, le plus judicieux pour Monsieur X serait de faire une réclamation auprès de la CNIL qui va sans doute rappeler la société à l’ordre à moins que d’autres réclamations semblables ne soient déjà faites. Alors, la sanction pourrait être pécuniaire.

Mais qu’en est-il de l’application du RGPD au programme de fidélité auquel Monsieur X a adhéré ?

II.    L’application du RGPD aux programmes de fidélité

Contrairement à ce que l’on pourrait croire, le champ matériel d’application du RGPD est assez large puisqu’il concerne "[le] traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi que le traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier". Ainsi, le RGPD s’applique même pour des données récoltées via un formulaire en papier physique. La seule chose qui importe c’est le caractère "personnel" de ces données. Lors de remplissage de formulaire ayant pour objectif d'obtenir une carte de fidélité, de nombreuses informations personnelles peuvent être demandées, rendant ainsi applicable le RGPD à la société concernée. Dès lors, afin d'être en conformité avec le RGPD, la société doit notamment identifier le traitement des données qu’elle fait. En somme, elle doit respecter le principe de transparence "des informations et des communications et modalités de l'exercice des droits de la personne concernée” (article 12 du RGPD). Cette transparence implique plusieurs choses : mettre à disposition les informations permettant de comprendre ce qui sera fait des données ou de mettre en place des mesures permettant de connaître ces informations comme la possibilité d’envoyer un mail pour poser toute question.

En l’espèce, Monsieur X n’a pas trouvé les informations concernant l’utilisation qui sera faite de ses données personnelles à la suite du remplissage du formulaire d’adhésion à un programme de fidélité.

Par conséquent, le magasin de bricolage a l’obligation de répondre aux questions relatives aux données personnelles que Monsieur X leur a communiquées.

En conclusion, ni la société Facebook ni le magasin de bricolage n'a respecté scrupuleusement le RGPD.

 

Sources :

- Le règlement général sur la protection des données - RGPD - CNIL
- Les sanctions en cas de non-respect du RGPD - Legal place
- Protection des données : 4 choses à savoir sur le RGPD, qui entre en vigueur ce vendredi - Le nouvel Obs
- Formation RGPD-Data Protection : la transparence des données” - LEARN ASSEMBLY
- Conservation,effacement, information... Brico Privé est condamné par la Cnil pour violation du RGPD - Usine digitale
- La carte de fidélité - Entreprise et droit