Se jugeant compétente pour examiner les pratiques de Facebook en matière de confidentialité, l’autorité belge chargée de la protection des données personnelles n’en démord pas face au réseau social.
La CPVP, l’autorité belge chargée de la protection des données personnelles qui est l’équivalent de la CNIL française, n’en démord pas vis-à-vis de Facebook : elle se juge compétente et demande plus de transparence et un niveau plus élevé de consentement des utilisateurs sur la collecte et l’utilisation des données.
Rédigé après la comparution de Facebook, un document de 30 pages daté du 13 mai 2015 de l’autorité précise que les conseils à l’attention du réseau social n’ont pas valeur de décision, mais qu’ils sont « suffisamment précis et argumentés » pour constituer un ensemble de règles à même de garantir le respect de la loi. Ce texte se concentre sur des questions préliminaires, en l’occurrence le droit applicable et la juridiction compétente, ainsi que les premières constatations relatives au traçage des internautes, alors que les autres problématiques seront abordées « plus tard cette année ».
Pour comprendre les subtilités du dossier, il faut remonter au 27 novembre 2014, lorsque Facebook a annoncé une révision de sa Déclaration des droits et responsabilités, mais aussi de sa politique en matière de données et de cookies. Ces nouvelles conditions d’utilisation ont lancé l’affaire.
Le réseau social estime que c’est sa filiale irlandaise qui doit être considérée comme seule responsable du traitement et personne de contact pour l’enquête. Facebook reconnaît exclusivement la compétence du régulateur irlandais pour juger de son cas pour le compte de tous les utilisateurs européens de ses services. Pour se justifier, le réseau base son argumentaire sur la notion de sous-traitance.
Dans les conditions générales d’utilisation, il est précisé que tous les utilisateurs en dehors des États-Unis et du Canada doivent conclure un contrat avec Facebook Irlande, seul responsable du traitement de leurs données : la maison mère Facebook Inc. n’agirait qu’en tant que sous-traitant pour l’enregistrement et l’hébergement de données à caractère personnel. Facebook explique que l’article 4 de la Directive vie privée 95/46/CE doit être interprété dans le sens suivant : si un responsable du traitement a un établissement dans un Etat membre de l’UE, seul le droit de cet Etat membre peut être appliqué. Les contrôleurs d’autres États membres ne peuvent faire obstacle, car la libre circulation des données au sein de l’UE est un principe fondamental du marché intérieur.
Ce n’est pas l’avis de la CPVP. En effet, dans son rapport financier, Facebook ne mentionne qu’une seule entité opérationnelle : Facebook Inc., aux États-Unis. Il est aussi mentionné que la compétence décisionnelle pour toutes les opérations appartient au CEO Mark Zuckerberg. De fait, « il n’apparaît pas que Facebook Irlande puisse prendre des décisions en toute autonomie en ce qui concerne la finalité et les moyens relatifs aux traitements de données à caractère personnel des citoyens belges ».
La CPVP fait aussi valoir que la question de savoir si Facebook Irlande peut être considéré comme responsable du traitement au sens de la Directive n’a pas lieu d’être dès lors qu’elle n’influe en rien sur l’applicabilité du droit belge ni sur la compétence de la CPVP, au regard de l’interprétation apportée par la Cour de justice de l’Union européenne (CJUE) dans son arrêt du 13 mai 2014. Ledit arrêt, qui a mené au « droit à l’oubli » dans les moteurs de recherches, « est en tout applicable », car il présente une « similarité avec les questions abordées ». « Il est évident que plusieurs lois nationales s’appliquent aux nouvelles conditions d’utilisation de Facebook et aux difficultés qui peuvent résulter du point de vue de la protection de la vie privée pour l’ensemble des citoyens européens », ajoute la CPVP.
C’est ainsi que sur la question de traçage, le postulat est que Facebook suivrait à la trace tous ses visiteurs, y compris ceux qui n’ont pas de compte et ceux qui ont choisi de ne pas être pistés. Pour la CVCP, ce traçage est d’autant plus invasif que le réseau social « peut facilement relier les habitudes de navigation de ses utilisateurs à leur identité réelle, à leurs interactions sur les réseaux sociaux et à des données sensibles telles que des informations médicales, des préférences religieuses […] ».
Quatre cookies sont comptés pour les utilisateurs déconnectés, alors que ceux qui se sont désinscrits des publicités ciblées… restent pistés, tout comme les non-utilisateurs de Facebook, avec lesquels aucun contrat n’a pourtant été signé.
La CPVP relève aussi qu’il n’est pas possible de ne donner son consentement que pour les fonctions de base de Facebook sans donner simultanément son consentement pour le traitement de ses données à des fins de profilage commercial.
Le régulateur belge considère également que le mécanisme d’opt-out « ne convient pas pour obtenir un consentement informé de l’utilisateur ». Il juge par ailleurs « excessif pour Facebook de collecter systématiquement des données relatives à la consultation de sites internet externes à son domaine, mais qui contiennent des modules sociaux […], alors même que le membre n’a pas interagi avec ces modules sociaux ».
Au final, cette affaire n’est de loin pas terminée, l’autorité belge chargée de la protection des données personnelles de semble vraiment pas vouloir en démordre vis-à-vis de Facebook.
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.