Facebook fait-il face à une fronde internationale ? Le développement mondial du géant américain n’est pas encore en danger mais, cette semaine, il a dû encaisser deux annonces particulièrement inquiétantes : le coup d’arrêt à son projet d’application Free Basics visant à offrir un accès à Internet gratuit, mais filtré, en Inde ; et surtout le début d’un bras de fer sans précédent avec les autorités françaises sur la question des données personnelles.
C’est la Commission nationale de l’informatique et des libertés (Cnil) qui a ouvert les hostilités lundi 8 février en rendant publique une mise en demeure datant du 26 janvier extrêmement sévère pour Facebook. La Cnil donne trois mois à la société pour se conformer au droit français et européen. Cette décision fait suite à une enquête lancée au mois de mars 2015 par le G29, regroupant les Cnil de l’ensemble des pays européens et dans le cadre de laquelle ont été menées des investigations techniques en ligne, mais également directement dans les locaux de Facebook même.
Même si beaucoup des pratiques dénoncées par la Cnil étaient déjà connues, leur constatation formelle dans la décision du 26 janvier est accablante. Concernant ses usagers, lors de leur inscription, Facebook collecte, en plus des données fournies quotidiennement par leurs activités, « des données relatives à l’orientation sexuelle, aux opinions religieuses et aux opinions politiques. La société peut également collecter des dossiers médicaux fournis par les inscrits en tant que justificatifs d’identité ».
Les enquêteurs confirment également que la société fiche non seulement ses usagers, mais également des personnes non inscrites sur le réseau social. « En effet », précise la Cnil dans le communiqué accompagnant la décision, « le site dépose un cookie sur le terminal de chaque internaute qui visite une page Facebook publique, sans l’en informer (pages d’un événement public ou d’un ami par exemple). Ce cookie permet alors au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton Facebook (“J’aime” ou “Se connecter” par exemple) ». Les enquêteurs du G29 rapportent, à titre d’exemple, avoir constaté que pas moins de 13 cookies avaient été installés sur leur terminal par Facebook.
Mais surtout, la Cnil reproche au géant américain de collecter ces données sans informer clairement les usagers et de les combiner dans un but commercial sans leur demander leur autorisation. « Le formulaire d’inscription au site ne contient aucune mention d’information relative au traitement de données à caractère personnel », explique la décision, et « les internautes ne sont pas informés notamment sur la finalité du transfert de données vers les États-Unis ».
Pour avoir une idée de la quantité et de la variété des informations que Facebook peut offrir aux publicitaires, la décision de la Cnil liste les différents types de données moissonnées en se référant aux conditions générales d’utilisation édictées par la société elle-même : celles « fournies par les inscrits lors de la création de leur compte », celles « relatives à l’activité des inscrits (…) (contenus partagés ou consultés par exemple), quel que soit le terminal utilisé par ces derniers », celles « relatives aux appareils (ordinateur, téléphone et autres) utilisés par les inscrits (système d’exploitation, coordonnées GPS, type de navigateur, numéro de téléphone mobile par exemple) », « les données provenant de sites tiers et application intégrant des boutons “J’aime” ou “Se connecter” (sites consultés et applications par exemple », celles « provenant des sites partenaires tiers (partenaires avec qui la société a collaboré pour offrir un service ou annonceurs avec lesquels les inscrits ont interagi) (adresse électronique par exemple) » et enfin celles « provenant des sociétés qui appartiennent ou qui sont exploitées par la société (Facebook Payments Inc., Instagram LLC, WhatsApp Inc par exemple ».
Les enquêteurs précisent, en outre, que le géant américain « conserve toutes les adresses IP utilisées par les inscrits pour se connecter à leur compte », ce qui permet de continuer à traquer un usager, même lorsqu’il utilise un autre ordinateur.
Or, rappelle la Cnil, la collecte, et surtout le traitement à des fins commerciales, de telles données sont strictement encadrés par la loi française. Elle impose aux sociétés de demander « le consentement de la personne concernée », à moins que cette collecte ne se fasse dans le cadre de cinq cas prévus par la loi : « le respect d’une obligation légale », « la sauvegarde de la vie de la personne concernée », « l’exécution d’une mission de service public », l’exécution d’un contrat ou, enfin, la réalisation d’un « intérêt légitime ».
Le fichage opéré par Facebook ne résulte d’aucune « obligation légale », et n’a pas, à l’évidence, pour but de sauver des vies ni de remplir une mission de service public. Concernant le quatrième cas, envisageant l’existence d’un contrat, la Cnil souligne que, même si l’utilisateur accepte bien les conditions générales d’utilisation, celles-ci ne couvrent pas le traitement des données opéré par Facebook. « Il n’existe pas, en l’espèce, de cadre contractuel gouvernant la combinaison de données à des fins publicitaires », affirme la décision de la commission.
Enfin, concernant un éventuel « intérêt légitime », Facebook avance que celui-ci est constitué par l’usage des données qui permettent d’« améliorer les systèmes de publicité et de mesure ». Un argument balayé par la Cnil qui souligne que cet « intérêt légitime » avancé par le réseau social ne sert que lui-même et pas ses utilisateurs, bien au contraire. « Force est de constater, affirme la décision, qu’une telle combinaison de données est, par sa nature même, son ampleur et son caractère massif, susceptible de méconnaître l’intérêt des utilisateurs inscrits et leur droit fondamental au respect de leur vie privée. »
L'enjeu de la renégociation du Safe Harbor
Sans concession, la mise en demeure du G29 est un véritable coup de semonce pour Facebook. On peut pourtant s’interroger sur le temps mis par les Cnil européennes pour arriver à ce constat et se décider à agir. Une bonne partie des pratiques décrites sont connues et dénoncées depuis de nombreuses années. En avril 2013 par exemple, Mediapart avait interrogé un professionnel du secteur qui venait de publier, sous le pseudonyme de Frank Leroy, un essai intitulé : Réseaux sociaux & Cie. Le commerce des données personnelles. L’auteur y évoquait la plupart des techniques épinglées par la Cnil. Concernant le fichage des internautes n’ayant même pas de compte Facebook, il rappelait que dès 2011, un Land allemand avait interdit la présence des boutons « J’aime » sur les sites. « Le motif est très clair, écrivait Franck Leroy, le bouton “J’aime” permet notamment à Facebook de créer des profils utilisateurs sur des usagers qui ne sont pas membres du réseau. »
L’une des raisons de ce réveil des Cnil européennes se trouve peut-être dans un dernier grief formulé contre Facebook. La décision explique en effet que sa « délégation a été informée que la société transfère des données personnelles des internautes vers les États-Unis sur la base du Safe Harbor », cet accord qui jusque récemment encore régissait le transfert de données personnelles des pays européens vers les États-Unis.
Signé en 2000, le « Safe Harbor » ou « Sphère de sécurité » concernait environ 5 000 entreprises américaines, dont les principaux acteurs du Web. Il offrait un cadre juridique dérogatoire aux entreprises américaines, leur facilitant l’accès aux données européennes. Pour cela, elles devaient obtenir une certification accordée en fonction d’une liste de principes : l’information des internautes, la sécurisation des données, l’engagement de ne pas les transmettre à des tierces parties n’offrant pas une protection suffisante…
Mais cet accord a été annulé le 6 octobre dernier dans une décision retentissante de la Cour de justice de l’Union européenne (CJUE), rendue au terme d’un combat judiciaire mené durant près de cinq années par un citoyen européen. En 2011, Max Schrems, un Autrichien alors étudiant de 24 ans, se met en tête d’obtenir de Facebook communication de toutes les données collectées le concernant. Il finit par en obtenir copie, sur CD, et découvre une masse d’informations représentant, une fois imprimées, plus de 1 200 pages de documents.
Il se lance alors dans une véritable bataille judiciaire, déposant pas moins de 22 plaintes, qui, de recours en recours, ont fini sur le bureau des juges de la CJUE. Dans leur décision, qui faisait également référence aux révélations d’Edward Snowden sur la collaboration des entreprises américaines avec les services américains, les magistrats avaient estimé que les conditions exigées pour bénéficier du Safe Harbor n’étaient plus remplies, et que celui-ci devait donc être annulé.
Cette décision historique en matière de protection des données personnelles ne signifie pourtant pas que Facebook, Google et consorts sont du jour au lendemain dans l’impossibilité de transférer vos données vers les États-Unis. Le droit européen prévoit d’autres régimes d’exception permettant le transfert de données vers un pays tiers, comme les clauses contractuelles ou les codes de bonne conduite internes. En outre, ce jugement intervient alors qu’Américains et Européens sont justement en train de négocier une nouvelle version du Safe Harbor. Ces discussions délicates devaient initialement se terminer le 31 mai 2015, mais n’ont visiblement pas abouti.
Cependant, les enquêteurs du G29 ont repéré que Facebook continuait à utiliser les mécanismes du Safe Harbor en violation flagrante de la décision de la CJUE. Cette dernière adressait également un message sans équivoque aux autorités nationales en leur reprochant de ne pas avoir fait assez pour protéger les données de leurs citoyens. Cet appel à plus de fermeté a été, selon nos informations, très bien reçu par les membres du G29. Il explique en partie le choix de rendre publique la décision du 26 janvier. Celle-ci a en effet été conservée dans un premier temps secrète. Ce n’est que dans une délibération séparée, en date du 4 février, prise après avoir constaté que Facebook continuait à utiliser les mécanismes du Safe Harbor, qu’elle a été rendue publique.
Le géant américain a désormais trois mois pour se conformer à une série de recommandations drastiques répondant aux diverses infractions relevées. Ainsi, il est demandé à Facebook de « ne pas procéder sans base légale à la combinaison des données inscrites à des fins publicitaires », de recueillir leur « consentement exprès (…) à la collecte et au traitement de leurs données “sensibles” », de « procéder à une collecte et à un traitement loyal », à mieux informer ses utilisateurs ou encore à ne plus transférer de données sur la base du Safe Harbor.
Si la société ne se conforme pas à ces recommandations, la Cnil pourra alors entamer une procédure de sanction pouvant aller jusqu’à une amende de 150 000 euros. Une somme qui peut paraître dérisoire pour un mastodonte tel que Facebook. Mais l’addition pourrait vite être multipliée. La mise en demeure de la Cnil s’inscrit en effet dans le cadre d’une action du G29 initiée plus particulièrement par cinq autorités : celles de France, Belgique, Pays-Bas, Espagne et Land de Hambourg. En cas de condamnation, la sanction sera multipliée en conséquence.
De plus, le projet de loi numérique de la secrétaire d’État Axelle Lemaire, en cours d’examen par le Sénat, prévoit d’augmenter considérablement le pouvoir de sanction de la Cnil qui pourrait prononcer des amendes de 20 millions d’euros. Même si le texte est voté en l’état, il faudra cependant encore faire modifier la loi du 6 janvier 1978, régissant la Cnil. « Cela suppose du travail et du temps ainsi que des disponibilités dans le calendrier législatif. » Il n’est donc pas sûr que cette réforme soit menée à temps pour être appliquée au cas de Facebook.
Preuve, peut-être, de la détermination des autorités françaises, le géant du Web a également fait l’objet, le mardi 9 février, d’une injonction émanant, celle-ci, de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Ce qui est cette fois reproché au réseau social, c’est d’avoir imposé à ses utilisateurs des « clauses abusives ». La DGCCRF reproche à Facebook de s’être arrogé un « pouvoir discrétionnaire de retirer des contenus ou informations publiés par l’internaute sur le réseau » et « de modifier unilatéralement ses conditions d’utilisation sans que l’internaute en soit informé préalablement ou en présumant son accord ». Bercy donne, dans son injonction, 60 jours à Facebook pour « supprimer ou modifier les clauses contractuelles considérées comme interdites », avant d’ouvrir une procédure de sanction.
L’Inde dit « non » à l’Internet au rabais promu par Facebook
La dernière mauvaise nouvelle pour Facebook cette semaine est venue d’Inde. Son fondateur, Mark Zuckerberg, aura beau avoir déroulé le tapis rouge au premier ministre, Narendra Modi, lors de son passage dans la Silicon Valley en septembre, il aura beau avoir ensuite dépensé des milliards de roupies en publicités pleine page dans tous les quotidiens du pays, il aura beau avoir larmoyé dans les colonnes du Times of India sur le mauvais accueil qui lui était réservé alors que ses intentions étaient, juré craché, des plus louables, il aura beau, enfin, avoir invité ses centaines de milliers d’abonnés à submerger de messages en sa faveur la consultation publique organisée ces derniers mois, le couperet est tombé lundi 8 février. L’Autorité indienne de régulation des télécoms (TRAI) a dit « non ».
« Non » aux initiatives « discriminatoires » qui créent un Internet à plusieurs vitesses. « Non » aux fournisseurs d’accès à Internet qui proposent au grand public un accès au Web gratuit, mais limité à un nombre très restreint de sites. « Non », par conséquent, à Free Basics, l’application que Facebook souhaitait déployer en Inde, en partenariat avec l’opérateur téléphonique Reliance Communication. « Non » au projet fou de Mark Zuckerberg d’offrir à tous les humains la possibilité de surfer sur la Toile et, accessoirement, de s’abonner à Facebook. La TRAI a ainsi gravé dans le marbre le principe de neutralité qui prévaut sur la Toile depuis ses origines. Internet est un système « ouvert » dans lequel personne n’a le droit de limiter la liberté de circulation des internautes, a-t-elle expliqué en substance.
Implicitement, Facebook est accusé d’avoir voulu s’en prendre à l’idéal démocratique. Sur Internet, tout le monde est traité de la même façon et tout le monde peut s’exprimer et offrir des services, une start-up comme une multinationale, un blogueur militant comme un grand parti politique. Or c’est là que le bât blessait, selon la TRAI.
Free Basics – “free” pour gratuit, “basics” pour services de base tels que la météo, les offres d’emploi, l’achat de voyages ou les conseils de santé – permettait d’accéder à quelques petites dizaines de sites seulement. Avec cette application, « Facebook était seul à déterminer ce qui pouvait constituer un service de base », relève Prabir Purkayastha, président de la Society for Knowledge Commons, une association qui milite pour un développement équitable de l’Inde.
Les plus démunis auxquels Free Basics s’adressait n’obtenaient rien de ce que tout le monde veut en réalité : faire des recherches sur Google, ennemi juré de Facebook, regarder des vidéos sur YouTube, autre ennemi juré du réseau américain, ou simplement créer une adresse email. On leur ouvrait la porte « d’un jardin stérile entouré de murs où, au mieux, vous pouvez voir ce que vos amis sont en train de faire », résume Prabir Purkayastha, en référence au caractère à la fois intrusif et exhibitionniste de Facebook. Le système allait de plus à l’encontre du principe d’égalité de traitement des données.
« Dorénavant, les opérateurs télécoms ne pourront plus entraver la liberté des consommateurs en donnant un accès gratuit à un nombre limité de sites, tout en faisant payer les fournisseurs de contenu de ces sites », explique Apar Gupta, avocat ayant participé à la campagne Save the Internet qui a permis, avec d’autres, de saisir la TRAI de cette affaire il y a maintenant un an.
Quel est désormais l’avenir de Facebook en Inde ? « Nous sommes déçus, mais je tiens personnellement à faire savoir que nous allons continuer à travailler en Inde et dans le monde, pour faire tomber les barrières qui empêchent les gens de se connecter à Internet », prévient Mark Zuckerberg. Le réseau social américain ne peut se passer d’un pays qui représente actuellement son deuxième plus grand marché après les États-Unis, avec 130 millions d’abonnés. Il devra néanmoins se plier aux règles du jeu. « Internet est l’une des plus belles inventions de l’esprit humain et ne doit pas passer sous le monopole de quelques-uns, a déclaré le ministre de la communication, Ravi Shankar Prasad, dans une interview à The Economic Times. Le gouvernement continuera de s’assurer que chacun peut y accéder de manière non discriminatoire. »
Un propos qui ne manque pas de piquant, venant d'un représentant d'une droite nationaliste hindoue qui encourage la police à traquer tous ceux qui postent des opinions politiquement incorrectes sur les réseaux sociaux. Début février, un homme a été arrêté au Bengale-Occidental pour avoir critiqué sur Facebook un apparatchik du Trinamool Congress, le parti au pouvoir à Calcutta. En janvier, c’est un habitant du Kerala qui a été arrêté après avoir enregistré sur son profil Facebook des commentaires ironiques sur les militaires victimes de l’attentat islamiste contre la base aérienne de Pathankot, près de la frontière pakistanaise. L’an passé, plusieurs dizaines d’Indiens l’avaient été également, toujours à cause de publications sur Facebook.
Source : https://www.mediapart.fr