Question avec demande de réponse écrite à la Commission

Selon un rapport récent de l’organisme de contrôle réalisé par l’université de Louvain et publié en février dernier, l’entreprise américaine Facebook viole les normes européennes en matière de protection des données. L’on apprend ainsi que les politiques relatives à la publicité faite par des tiers sur le réseau social et aux informations obtenues à partir des profils des utilisateurs ne respectent pas les dispositions en vigueur, pas plus qu’elles n’offrent de mécanismes de contrôle adéquats pour éviter que les contenus produits par les utilisateurs de Facebook ne soient exploités à des fins commerciales.
Le rapport indique également que l’entreprise extrait de façon « abusive » des informations à partir des téléphones portables de ses utilisateurs, notamment grâce à la géolocalisation, sans leur en avoir demandé l’autorisation préalable.
La Commission estime-t-elle qu’en l’espèce, Facebook se rendrait coupable d’une violation de la directive 95/46CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données?

Réponse donnée par Mme Jourová au nom de la Commission En application de la directive 95/46/CE ,

Le traitement de données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement ou si un autre motif légitime énuméré à l’article 7 s’applique. À cela s’ajoutent d’autres exigences, comme le fait que des informations doivent être fournies à la personne auprès de laquelle des données la concernant sont collectées, notamment sur les finalités du traitement auquel les données à caractère personnel sont destinées . La directive 95/46/CE est complétée par la directive 2002/58/CE (directive relative à la vie privée et aux communications électroniques) modifiée en 2009 , qui se rapporte spécifiquement à la protection de la vie privée dans le secteur des communications électroniques. L’article 5, paragraphe 3, de la directive relative à la vie privée et aux communications électroniques dispose qu’un accord préalable est nécessaire pour stocker des données dans l’équipement terminal d’une personne ou pour accéder à des données qui y sont déjà stockées, à moins que l’une des deux exceptions prévues ne s’applique. Les entreprises privées traitant des données à caractère personnel, dont Facebook, doivent se conformer à ces obligations légales.

En ce qui concerne les activités de traitement des données effectuées dans l’Union européenne, les autorités nationales chargées de la protection des données sont habilitées à enquêter et à prendre des mesures conformément à la directive 95/46/CE et à la directive 2002/58/CE, à la suite de plaintes concernant une infraction aux obligations légales telles qu’elles sont transposées dans la législation nationale, sans préjudice de tout recours juridictionnel devant les tribunaux nationaux et des compétences de la Commission européenne en tant que gardienne des traités.

_____________________________________________

1 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).
2 Ibid., articles 10 et 11.
3 Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs.