Au cours des derniers mois, chronologiquement, la France, l’Allemagne et enfin la Belgique ont reproché au réseau social Facebook ses lacunes en matière de protection des données personnelles de ses utilisateurs.
Tout d’abord, en France fin décembre 2017
La Cnil a mis en demeure publiquement Whatsapp, l’application mobile de messagerie instantanée via internet, pour absence de base légale dans la transmission à Facebook des données de ses 10 millions d’utilisateurs français.
En effet, cette société, rachetée par Facebook en 2014, a publié en 2016 une nouvelle version de ses conditions d’utilisation et de sa politique de confidentialité. Il y est mentionné que les données des utilisateurs sont désormais transmises à la société Facebook pour trois finalités : le ciblage publicitaire, la sécurité et l’évaluation et finalement l’amélioration des services (« business intelligence »).
La Présidente de la Cnil a estimé que la transmission des données des utilisateurs telles que leur numéros de téléphone ainsi que les informations relatives à leurs habitudes d’utilisation de l’application whatsapp vers Facebook pour la finalité de « business intelligence » ne reposait sur aucune des bases légales qu’exige, pour tout traitement, la loi informatique et libertés.
En particulier, ni le consentement des utilisateurs ni l’intérêt légitime de Whatsapp ne peuvent être invoqués dans les circonstances de l’espèce.
En effet, d’une part, le consentement des utilisateurs n’est pas valablement recueilli car il n’est pas spécifique à cette finalité. Lors de l’installation de l’application les utilisateurs doivent accepter que leurs données soient traitées pour le service de messagerie, mais également, de manière générale, par Facebook pour des finalités accessoires, telle que l’amélioration de son service.
Finalement, le consentement n’est pas libre puisque le seul moyen de s’opposer à la transmission des données pour la finalité accessoires de « business intelligence » est de désinstaller l’application.
D’autre part, la société Whatsapp ne peut se prévaloir de son intérêt légitime à transférer massivement des données à la société Facebook dans la mesure où cette transmission ne s’accompagne pas des garanties suffisantes permettant de préserver l’intérêt ou les droits et libertés fondamentaux des utilisateurs puisqu’il n’existe aucun mécanisme leur permettant de s’y opposer tout en continuant à utiliser l’application.
La Présidente de la Cnil a donc décidé de mettre en demeure la société Whatsapp de se conformer à la loi dans un délai d’un mois et de procéder légalement à la transmission des données de ses utilisateurs à Facebook, notamment en obtenant leur consentement.
Finalement, la Cnil rappelle que cette mise en demeure n’est pas une sanction. Néanmoins, si la société ne s’y conforme pas dans le délai imparti, la Présidente pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la Cnil, chargée de réprimer les manquements à la loi, de prononcer une sanction.
A l’heure actuelle aucune clôture de la mise en demeure n’a été annoncée publiquement.
Ensuite, en Allemagne.
Dans son jugement, rendu le 16 janvier 2018, le tribunal régional de Berlin a jugé contraires à la loi nationale sur la protection des données personnelles plusieurs paramétrages de Facebook, dans l’affaire qui l’opposait à la Fédération allemande des organisations de consommateurs (ou VZBV, pour Verbraucherzentrale Bundesverband).
Ainsi, certains réglages par défaut, comme la géolocalisation des messages sur l’application Facebook Messenger, devraient pour le tribunal d’abord être approuvés par l’utilisateur avant leur activation.
Le tribunal estime aussi que la possibilité pour les moteurs de recherche, tels que Google, d’indexer le profil Facebook d’un utilisateur devrait être désactivée par défaut. En l’état, l’utilisateur, s’il veut rendre son profil inaccessible depuis un moteur de recherche, doit désactiver manuellement cette option dans les paramètres de Facebook.
De plus, selon la VZBZ, le fait que Facebook demande à ses membres d’utiliser leur véritable identité est contraire à la loi allemande, qui autorise le pseudonyme. Dans sa décision, la justice a considéré que cette exigence induisait les utilisateurs en erreur et biaisait le consentement donné par les utilisateurs à Facebook pour recueillir leurs données.
Finalement, le réseau social a été sommé de se mettre en conformité avec la loi allemande, ou de s’acquitter d’une amende susceptible d’atteindre 250 000 euros « pour chaque infraction constatée ». Facebook a cependant fait appel, et déclaré avoir déjà procédé à d’importantes modifications depuis le début de la procédure, en 2015.
En Allemagne, Facebook est aussi dans l’attente des conclusions de l’office anti-cartel, chargé de statuer sur un possible abus de position dominante, Facebook se voyant reprocher d’utiliser des informations récoltées sur d’autres services lui appartenant, tels que Whatsapp et Instagram.
Enfin, récemment en Belgique,
Le tribunal néerlandophone de première instance de Bruxelles a rendu un jugement le 16 février 2018 dans le procès au fond de la Commission vie privée (la Cnil belge) contre Facebook dans lequel il suit l’argumentation de la Commission vie privée.
Ainsi, le groupe américain doit « cesser de suivre et d’enregistrer l’utilisation d’internet des personnes surfant de Belgique, jusqu’à ce qu’il se conforme à la loi belge sur la vie privée », juge le tribunal.
En effet, Facebook collecte des informations de navigation sur Internet à travers les « cookies » ou les « social plug-ins » (les boutons « J’aime » ou « Partager ») ou encore les « pixels » qui sont invisibles. Il les utilise sur son site Internet, mais aussi et surtout sur les sites Internet de tiers. Ainsi, même sans naviguer sur Facebook ou sur les applications lui appartenant, Facebook peut tout de même suivre le comportement de navigation des internautes à leur insu grâce à ces pixels placés sur plus de 10 000 autres sites.
À l’instar de la Commission vie privée, le tribunal conclut que Facebook 1) manque de transparence sur la collecte des données concernant les utilisateurs, sur la nature des données collectées, sur l’usage de ces informations et sur le délai de conservation de ces dernières et 2) ne reçoit pas d’autorisation valable de l’utilisateur pour collecter et traiter ses données personnelles.
Finalement, le tribunal ordonne, comme l’a demandé la Commission de la vie privée, que :
• Facebook cesse de suivre et d’enregistrer le comportement de navigation des personnes qui surfent depuis la Belgique tant qu’il ne met pas ses pratiques en conformité avec la législation belge en matière de vie privée.
• Facebook doit également détruire toutes les données à caractère personnel obtenues illégalement.
Si Facebook ne respecte pas le jugement, il se verra contraint de payer des astreintes à la Commission vie privée d’un montant de 250 000 euros par jour de retard, avec un maximum de 100 millions d’euros.