Facebook sanctionné par l’autorité espagnole de protection des données

Facebook est une nouvelle fois condamné pour plusieurs manquements dans le traitement des données personnelles de ses utilisateurs. L’agence espagnole de protection des données a ainsi infligé une amende de 1,2 million d’euros au réseau social, estimant que ses conditions générales d’utilisation manquaient de clarté et que des données sensibles étaient collectées sans le consentement valide de leurs titulaires.

Les réseaux sociaux sont l’objet d’une riche actualité juridique. Leur facilité d’utilisation explique qu’ils soient devenus des moyens d’exercice de la liberté d’expression, comme la Cour suprême des États-Unis l’a récemment affirmé. Toutefois, la contrepartie de ce droit d’accès, qui est majoritairement gratuit, repose sur l’exploitation publicitaire des données personnelles des utilisateurs, suivant la logique « si c’est gratuit, c’est que vous êtes le produit ». Une telle exploitation ne peut néanmoins faire l’économie du respect des droits des personnes, que celles-ci soient ou non inscrites sur le réseau social. C’est ce que vient de rappeler l’Autorité espagnole de protection des données (AEPD), qui a prononcé une amende de 1,2 million d’euros à l’encontre de Facebook le 11 septembre 20171.

Les griefs de l’Autorité espagnole de protection des données

Pour justifier cette sanction, l’AEPD a relevé plusieurs séries de manquements qui dénotent un manque de transparence dans le fonctionnement du réseau social.

Le non-respect des droits à l’information et au consentement préalable

La première série de manquements met en cause l’absence d’information délivrée aux utilisateurs quant à l’existence et au but des collectes effectuées par Facebook, ainsi que le non-respect de l’obligation de recueillir le consentement explicite, qui est pourtant exigé pour certaines catégories de données. Ces manquements ont été constatés à différents niveaux.

Ils concernent tout d’abord la collecte et l’exploitation publicitaire de données sensibles, telles que les opinions politiques, les préférences sexuelles ainsi que les convictions religieuses. Des données de navigation seraient également concernées, y compris celles qui intéressent des sites tiers. Ces informations seraient « ajoutées » à celles que les utilisateurs ont eux-mêmes communiquées sur leur profil, sans qu’ils en soient dûment informés. La finalité publicitaire de ce croisement de données serait également passée sous silence. Suivant la même logique, l’AEPD reproche aussi à Facebook d’avoir collecté les données de personnes non inscrites sur ses services, toujours sans information préalable ni recueil du consentement. L’Autorité vise particulièrement l’utilisation de cookies qui sont installés sur les ordinateurs des personnes lorsqu’elles consultent des pages contenant un bouton « like ». Ceux-ci permettraient encore de collecter des données de navigation, que les pages visitées appartiennent ou non au réseau social, et que les personnes en cause y soient inscrites ou non. L’étendue de ces collectes serait donc très grande et réalisée au mépris des droits des internautes.

L’insuffisance des conditions générales d’utilisation

Sur un autre terrain, l’AEPD relève l’insuffisance des informations délivrées par Facebook dans ses conditions générales d’utilisation. Celles-ci seraient peu lisibles, l’utilisateur ayant à consulter plusieurs liens différents pour en prendre utilement connaissance. Leurs termes seraient également trop génériques et obscurs et ne permettraient de comprendre raisonnablement ni les conditions de traitement des données ni leur finalité. Elles sont de plus inaccessibles aux personnes non inscrites sur le réseau social, alors même que leurs données sont également collectées suivant le procédé sus-indiqué.

Le non-respect du droit d’opposition et la prolongation de la durée d’utilisation des données

Enfin, Facebook continuerait d’exploiter les données de ses anciens utilisateurs au-delà de la fermeture de leur compte pendant une durée de dix-sept mois. Une telle pratique ne respecte pas le droit d’opposition pourtant exprimé par les membres ayant fermé leur compte. De plus, elle n’est pas proportionnée à la finalité publicitaire de ce traitement. L’AEPD sous-entend que ces données ne devraient même pas être conservées, et encore moins réutilisées, tant au regard du respect du droit d’opposition que du principe de limitation de la durée de traitement. Encore une fois, le manquement était aggravé en raison de croisements avec des données issues de sites tiers effectués à l’insu des internautes.

Du droit des données personnelles au droit de la concurrence

Cette décision de l’AEPD ajoute une pierre au fardeau que porte Facebook, le réseau social étant déjà sous le coup d’autres sanctions et enquêtes pour ses pratiques (La rem n°41, p.20 et n° 42-43, p.18). Les manquements relevés par l’Autorité espagnole avaient déjà été signalés en France par la CNIL, qui a infligé à Facebook une amende de 150 000 euros en avril dernier2. Le « pistage » des personnes non membres du réseau social a également pu être dénoncé, notamment à travers les profils « fantômes ». Ceux-ci sont réalisés à l’aide de la synchronisation de données issues de sites et services tiers, et permettent de faire de nouvelles suggestions d’amis aux membres de Facebook. Les personnes concernées, qui n’ont nullement consenti à la conception de ces profils, sont intégrées de fait dans les pages du réseau social.

De même, le changement des conditions générales d’utilisation permettant à Facebook de partager les données de ses utilisateurs avec WhatsApp a donné lieu à plusieurs enquêtes et autres sanctions de la part des autorités nationales de protection des données, ou même des juridictions. Tel a été le cas notamment en France3, en Belgique4 ainsi qu’en Italie, où l’autorité de concurrence a prononcé une amende de 3 millions d’euros en mai 20175. Le G29 s’est également saisi de l’affaire et a averti l’entreprise sur la nécessité d’apporter des garanties juridiques à cette pratique6. On rappellera que ce partage des données a également donné lieu à une amende de 110 millions d’euros infligée par la Commission européenne, celle-ci estimant que Facebook avait manqué à son devoir d’information lors du rachat de WhatsApp. Le partage des données personnelles ne lui avait pas été signalé alors qu’il était techniquement réalisable. Ce changement intempestif des conditions générales d’utilisation avait provoqué un certain émoi chez les utilisateurs des deux applications, alors même que la politique initiale de WhatsApp excluait toute exploitation publicitaire de leurs données.

Les pratiques de Facebook sont donc de plus en plus souvent remises en question, tant sur le terrain du droit des données personnelles que sur celui du droit de la concurrence. En effet, celles-ci peuvent influencer le marché de la publicité en ligne, où le réseau social occupe une position prépondérante. Les autorités de la concurrence française et allemande ont également ouvert des enquêtes à ce niveau7.

Perspectives russes

Au-delà de l’Union européenne, Facebook se heurte aussi à une certaine hostilité en Russie, où les pouvoirs publics entendent appliquer des solutions encore plus radicales. Le réseau social pourrait en effet se trouver bloqué sur tout le territoire, faute d’y stocker les données personnelles des utilisateurs russes, comme l’exige la loi. Cette menace n’est pas nouvelle et a déjà été mise à exécution en début d’année à l’égard de LinkedIn8. Ces sanctions renforcent en Russie la défiance vis-à-vis des opérateurs américains, au profit de leurs concurrents nationaux.

Sources :

  1. Voir le communiqué « The Spanish DPA fines Facebook for violating data protection regulations », sur le site de l’AEPD (http://www.agpd.es).
  2. Délibération de la formation restreinte SAN –2017-006 du 27 avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés Facebook Inc. et Facebook Ireland.
  3. CNIL, Décision n° 2016-007 du 26 janvier 2016 mettant en demeure les sociétés Facebook Inc. et Facebook Ireland.
  4. Commission de protection de la vie privée, Recommandation n° 04/2015 du 13 mai 2015, et Cour d’appel de Bruxelles, 29 juin 2016.
  5. « WhatsApp fined for 3 million euro for having forced its users to share their personal data with Facebook », communiqué de l’Autorità Garante Della Concorrenza e Del Mercato, 11 mai 2017 (http://www.agcm.it).
  6. « Communiqué du groupe de travail de l’Article 29 – Lettre à WhatsApp sur la mise à jour des conditions d’utilisation et de la politique de confidentialité », 28 octobre 2016 (https://www.cnil.fr/fr/communique-du-groupe-de-travail-de-larticle-29).
  7. Décision n° 16-SOA-02 du 23 mai 2016 relative à une saisine d’office pour avis portant sur l’exploitation des données dans le secteur de la publicité en ligne ; « Bundeskartellamt initiates proceeding against Facebook on suspicion of having abused its market power by infringing data protection rules », communiqué du  Bundeskartellamt, 2 mars 2016 (https://www.bundeskartellamt.de).
  8. C. Kang & K. Benner, « Russia Requires Apple and Google to Remove LinkedIn From Local App Stores », The New York Times, 6 janvier 2017.
Professeur de droit privé à Aix-Marseille Université et directeur adjoint du Laboratoire interdisciplinaire de droit des médias et des mutations sociales (LID2MS).

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici