Violation du RGPD par la technologie de suivi de Facebook au sens de la CNIL autrichienne

Sur l’une des 101 plaintes déposées par NOYB, l’autorité autrichienne de protection des données (DSB) a décidé que l’utilisation du pixel de suivi de Facebook par un site web enfreignait directement l’article 44 du RGPD et la décision Schrems II sur les flux de données transatlantiques.

Pour rappel, l’arrêt Schrems II (CJUE, 16 juillet 2020) a invalidé la décision d’adéquation de la Commission européenne pour le transfert de données de l’Union Européenne vers les Etats-Unis. À la suite de cela, des plaintes ont été déposées par NOYB dans les 30 Etats membres de l’Union Européenne et de l’Espace Economique Européen contre 101 entreprises européennes qui continuaient de transmettre des données vers les Etats-Unis.

Dans ce contexte, l’autorité autrichienne de protection des données a indiqué, le jeudi 16 mars 2023, que l’utilisation de la technologie de suivi de Facebook était illégale. En effet, si ces outils sont utilisés, les données sont inévitablement transférées aux Etats Unis, où elles risquent d’être surveillées par les services de renseignement.

En l’espèce, un site web hébergé par une société de médias autrichienne a été visité par une personne connectée à son compte Facebook personnel. La société utilisait alors Facebook Login, outil permettant de faciliter l’accès des utilisateurs à des services non proposés par Meta sans création de comptes supplémentaires. De plus, la société utilisait Facebook Pixel, outil lui permettant de suivre les activités des visiteurs sur son site web. Or, selon le visiteur du site web, le simple accès à celui-ci aurait déclenché un transfert illicite de données à caractère personnel vers les Etats-Unis. Il a donc, en ce sens, déposé une plainte le 18 août 2020.

Au cours de l’enquête de l’autorité autrichienne de protection des données, le responsable de traitement a affirmé avoir désactivé les outils Facebook consécutivement au dépôt de la plainte et fait valoir que la seule partie contractante directe avec lui était Meta Platform Ireland Limited.

Selon l’autorité autrichienne de protection des données :

S’agissant de Meta Platform Ireland Limited

Meta Platform n’a pas violé l’article 44 du RGPD (relatif au principe général applicable aux transferts) car elle n’était qu’un simple importateur de données, ce qui n’entre pas dans la champ d’application du RGPD. Dans le cadre du transfert de données, Meta ne les a pas divulguées mais les a simplement reçues.

S’agissant de la société autrichienne

La simple désactivation des outils postérieurement à la plainte n’est pas suffisante pour exclure une violation de l’article 44 du RGPD dans la mesure où la violation a déjà eu lieu.

En outre, les données transférées aux Etats-Unis par l’intermédiaire des outils de Facebook étaient des données à caractère personnel dans la mesure où Meta Platform Ireland Limited pouvait établir un lien entre les données transférées depuis le site web et les données relatives au compte Facebook de la personne concernée. De plus, le responsable de traitement a accepté que son sous-traitant (ndlr Meta Platform) puisse utiliser un sous-traitant secondaire basé en dehors de l’Union Européenne pour le traitement des données. Un transfert international des données a donc effectivement eu lieu. Or, un tel transfert n’a pas été encadré par la mise en œuvre de clauses contractuelles types. Le responsable de traitement a donc transféré, en violation des dispositions du RGPD, les données à caractère personnel de la personne concernée aux Etats-Unis.

En outre, dans cette affaire, il n’y a pas d’informations sur le prononcé d’une sanction.

À long terme, il semble y avoir deux options s’agissant du transfert de données en dehors de l’Union Européenne :

Soit les États-Unis adaptent les protections de base pour les étrangers afin de soutenir leur industrie technologique
Soit les fournisseurs américains devront héberger les données étrangères en dehors des États-Unis. Or, en raison de son système basé aux États-Unis, Meta n’est pas en possibilité de garantir que les données des citoyens européens ne soient pas interceptées par les agences de renseignement américaines.

Standarderledigung Bescheid (noyb.eu)

Associé

L'équipe

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».

Violation du RGPD par la technologie de suivi de Facebook au sens de la CNIL autrichienne

L'ÉQUIPE

AdrienMorisse

Juliette Goutorbe

Nicolas Moreau

LucasDallongeville

GuylaineLombard

FrédériqueAllier

Elise Dufour

Benjamin Mourot

Christophe Fichet

BarbaraBertholet

Adrien
Morisse

Juliette
Goutorbe

Nicolas
Moreau

Lucas
Dallongeville

Guylaine
Lombard

Frédérique
Allier

Elise
Dufour

Benjamin
Mourot

Christophe
Fichet

Barbara
Bertholet