Une plainte déposée en Irlande par un autrichien de 24 ans relance le débat de la violation à grande échelle par le réseau social FACEBOOK des principes protecteurs de la vie privée. L’autorité irlandaise de protection des données à caractère personnelle annonce lancer un audit approfondi des pratiques du célèbre réseau social.

S’appuyant sur les principes de la directive européenne 95/46/CE du 24 octobre 1995 un étudiant en droit autrichien a récemment décidé de fonder un groupe d’opposants dénommé «europe-v-facebook ».

Loin de se laisser intimider face au géant Facebook, ledit groupe saisit dans la foulée les commissaires à la protection des données irlandais de 22 plaintes, s’attaquant notamment à la non suppression des données alors qu’elle a été demandée, à la reconnaissance faciale, au système de tag ou encore à la rédaction des Conditions Générales d’Utilisation du site considérées trop floues et trop changeantes.

Loin de constituer une démarche anodine, ces plaintes soulèvent plusieurs questions :

Facebook conserve-t-il sans limite de durée vos messages supprimés ?

Les faits dénoncés sont particulièrement éloquents : le jeune autrichien Max Schrems à l’origine de ces plaintes avait fait valoir son droit d’accès. Après avoir insisté, il aurait obtenu pas moins de 1222 pages de données le concernant conservées sur les serveurs de Facebook.

A suivre les arguments développés par cet étudiant en droit , le plus important réseau social du Web conserverait sans limitation de durée des données telles que :

• les listes d’amis liées à un profil y incluant le nom de toutes les demandes refusées,
• la liste des invitations adressées à un membre depuis son inscription,
• les tags de photo et « pokes » dont les liens, même après suppression par l’utilisateur demeurent sur les serveurs,
• les données permettant de rattacher l’utilisateur à tout ordinateur avec lequel il s’est connecté sur Facebook ainsi que les heures de connexion, la localisation etc.
• mais surtout l’ensemble des messages et tchats entre amis peu importe que l’utilisateur ait cliqué sur le bouton supprimé. En effet, dans ce cas le contenu demeure conservé avec simplement une mention « statut effacé »,

Les demandes de suppression de certaines données par les utilisateurs ne semblent donc pas respectées. Au contraire, ces données conservées sans limite de temps seraient recoupées, organisées et traitées automatiquement afin d’enrichir les profils et proposer des annonces toujours plus précises.

L’affaire s’annonce grave.

Le droit européen de la protection des données est-il opposable à Facebook ?

Face à de telles accusations la première question que devra se poser la « CNIL Irlandaise » est bien celle de la loi applicable. Or, les conditions générales d’utilisation accessibles sur le site facebook.fr disposent que : « Le site web www.facebook.fr et les services présents sur ces pages vous sont proposés par : Facebook Ireland Limited ». Il semble donc que les utilisateurs de Facebook situés sur le vieux continent contractent non pas avec la Société Facebook Inc de droit américain mais bien avec la filiale irlandaise. Le droit européen pourrait donc trouver à s’appliquer.

En l’espèce rappelons également que la directive européenne du 24 octobre 1995 précitée prévoit bien son application y compris lorsque « le responsable du traitement n’est pas établi sur le territoire de la Communauté ». Il convient toutefois de démontrer que le responsable de traitement « recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire » d’un état membre étant toutefois précisé que ces moyens ne doivent pas être « utilisés qu’à des fins de transit sur le territoire de la Communauté ».

Au regard de ces principes et sous réserve d’une étude du rôle effectif de Facebook Ireland Limited dans les traitements de données effectués par Facebook, il est fort probable que le réseau social se voit directement opposer les principes protecteurs de la législation européenne en matière de données à caractère personnel ; a minima pour ses utilisateurs européens.

Quelles pourraient être les conséquences pour Facebook ?

Sur un plan juridique, l’application du droit européen et les conséquences des résultat de l’audit programmé par la CNIL Irlandaise pourraient être à l’origine d’un vrai séisme au sein du géant Facebook. En effet, l’imposition de l’Opt-in alors que le mode de fonctionnement reste orientée sur l’Opt-out, la limitation de durée de conservation des données, la limitation de collecte de certaines données sensibles, la modification des conditions générales d’utilisation et des modes de traitements automatisés de données mis en place sont autant d’exemples de modifications que pourraient être amenées à mettre en place Facebook sous peine d’engager sa responsabilité pénale. Au regard du nombre d’utilisateur, de la quantité de données collectées, et des dangers potentiels attachés aux traitements effectués, il s’agit bien ici d’un débat crucial en vue de renforcer les libertés publiques sur internet. Observons sur ce point que la CNIL Allemande s’est déjà attaquée au dispositif de reconnaissance faciale proposé par Facebook, interdisant par ailleurs dans l’un de ses Land, l’utilisation du bouton « J’aime ».

Sur un plan économique, il est indéniable que Facebook représente aujourd’hui pour de nombreuses entreprises d’une part un objectif prioritaire en termes de visibilité mais également une opportunité en terme de marché et d’évolution. En pleine crise et alors que l’internet est l’un des rares bastions de la croissance, ce simple constat pèsera à n’en pas douter dans la balance.

Ainsi, sur un plan politique, rappelons pour mémoire que le G29 et les différentes représentations nationales des autorités dédiées à la protection des données à caractère personnel n’ont adressé à Facebook que de simples rappels à l’ordre et peinent encore aujourd’hui à imposer leur vue. Une condamnation en Irlande pourrait constituer le point de départ d’une « rébellion » du vieux continent face aux éventuelles dérives du réseau social américain le plus populaire au monde.

Les affaires liées à Facebook et à son utilisation ont, ces derniers temps, régulièrement défrayé la chronique. Au regard de la multiplication de ces faits divers, il est aujourd’hui légitime de s’interroger sur le fait de savoir si les réseaux sociaux sont effectivement vecteurs de nouvelles formes de cyberdélinquance.

Mais en amont de cette problématique bien réelle, apparaît une question, peut être plus cruciale encore : Facebook vampirise-t-il notre vie privée ? Les plaintes récemment déposées en Irlande permettent de sérieusement s’interroger tant les faits dénoncés sont alarmant.

Ces procédures font également échos aux récentes controverses touchant le réseau social évalué à 70 milliards de dollars. En effet, Facebook a fait l’objet de vives critiques concernant son application mobile qui permettrait la création de profils fantômes à partir des répertoires contacts et de collecter ainsi des données sur des personnes non inscrites…

En tout état de cause, le représentant de la « CNIL irlandaise » annonce que les conclusions de son audit seraient probablement publiées d’ici la fin de l’année. Gageons que cette opération permet d’apporter les réponses à nos questions.

Affaire à suivre donc… de très près.