La Federal Trade Commission (FTC) a infligé une amende record d’un montant de 5 milliards de dollars à Facebook pour ses manquements au respect de la vie privée des utilisateurs.
Les sanctions pleuvent sur certains Gafa depuis plusieurs mois pour leurs manquements au droit européen des données personnelles. Si certaines amendes ont été infligées par les autorités de protection censées garantir le respect du RGPD (règlement général sur la protection des données), d’autres décisions ont pu être prises sur des fondements différents tels que le droit de la consommation (voir La rem, n°49, p.19 et n°50-51, p.16). On sait aussi que la concentration de données personnelles peut intéresser le droit de la concurrence, notamment lorsqu’elle conduit une entreprise ou un groupe à détenir une position dominante via des pratiques déloyales (voir La rem, n°41, p.20). Des manquements au droit des données personnelles peuvent ainsi produire certains effets dans d’autres branches du droit, ce qui invite à considérer celles-ci d’une manière plus globale.
C’est justement sur le terrain du droit de la consommation que la FTC a sanctionné, le 24 juillet 2019, le réseau social Facebook d’une amende record d’un montant de 5 milliards de dollars1. La décision tire notamment les leçons du scandale Cambridge Analytica (voir La rem n°48, p.90) et invite l’entreprise à faire preuve d’une plus grande transparence dans ses pratiques, particulièrement en ce qui concerne l’exploitation des données personnelles de ses utilisateurs.
Le non-respect de l’ordonnance de la FTC du 10 août 2012
L’accord passé entre la FTC et Facebook vient clore le scandale Cambridge Analytica. D’autres manquements ont cependant été relevés par l’autorité pour justifier la sanction ainsi infligée au réseau social.
En droit, l’accord s’appuie notamment sur une ordonnance de l’autorité en date de 20122. Celle-ci faisait déjà suite à une enquête menée sur les pratiques de Facebook concernant l’utilisation des données personnelles des utilisateurs. Il était notamment reproché au réseau social de ne pas avoir respecté les choix de configuration effectués par ces derniers. Des informations normalement qualifiées de « privées » ou « réservées » aux amis avaient ainsi été divulguées ou partagées avec des applications tierces sans que leurs titulaires en soient informés. Le recoupement et l’analyse de ces données permettaient de dégager potentiellement d’autres informations telles que les opinions politiques, la vie sexuelle ou les croyances religieuses, ce qui constitue autant d’atteintes aux droits fondamentaux. Les faits reprochés avaient eu lieu à l’occasion d’un changement dans les conditions générales d’utilisation, dont la portée n’avait pas été suffisamment communiquée aux utilisateurs. Jugeant ces pratiques déloyales et trompeuses, la FTC avait enjoint au réseau social de respecter plusieurs obligations vis-à-vis de ses usagers. Facebook était notamment tenu de délivrer une information précise et fiable quant à l’utilisation de leurs données personnelles et d’obtenir leur consentement préalable à tout partage de ces mêmes données avec des applications et entreprises partenaires.
Par ailleurs, l’entreprise devait mettre en œuvre un programme de protection de la vie privée et se soumettre à des audits tous les deux ans afin de vérifier le respect de ces obligations.
Une amende record assortie de nouvelles obligations
Le non-respect répété de ces obligations a conduit la FTC à instruire une nouvelle action contre Facebook. L’autorité a notamment constaté que le réseau social avait continué de partager les informations personnelles de ses utilisateurs, mais aussi de leurs « amis » avec des applications tierces, alors même que Marck Zuckerberg avait publiquement déclaré qu’un tel partage avait cessé depuis 2014. L’entreprise n’est pas parvenue à délivrer une information fiable à ses usagers sur ce point, alors même qu’elle est financièrement intéressée à l’exploitation des données par les applications partenaires. De manière générale, le discours de façade tenu par ses dirigeants dissimulait des pratiques commerciales trompeuses. C’est pourquoi la FTC a décidé d’infliger une sanction record au réseau social, tenant compte des précédents avertissements dont celui-ci avait fait l’objet. L’amende de cinq milliards de dollars est ainsi la plus élevée que l’autorité ait infligée en matière de vie privée. On notera qu’elle a également sanctionné, la veille, l’entreprise Equifax d’une amende de 575 millions de dollars, à la suite d’une faille de sécurité ayant affecté les données de près de 147 millions de personnes en 20173 (voir La rem n°44, p.50).
Au-delà de l’amende, la FTC a également enjoint à Facebook de respecter de nouvelles obligations. En filigrane, l’entreprise se voit obligée de corriger les principaux défauts ayant conduit au scandale Cambridge Analytica. Elle devra se doter, au sein de son conseil d’administration, d’un comité indépendant chargé de faire respecter les engagements pris en matière de protection de la vie privée. Les pouvoirs de ce nouveau comité sont censés contrebalancer l’autorité de Marck Zuckerberg, et garantir un contrôle des décisions affectant l’exploitation des données personnelles des utilisateurs. Ce même comité aura également pour mission de désigner des experts chargés de contrôler les collectes de données effectuées au sein du réseau social, mais aussi celles qui relèvent de ses autres applications telles que Whatsapp et Instagram. Ces experts devront rendre compte trimestriellement devant la FTC du respect des obligations imposées par l’ordonnance du 10 août 2012 ainsi que de celles qui découlent du nouvel accord. Par ailleurs, un contrôle externe renforcé sera également mis en œuvre par l’autorité.
S’agissant des nouvelles obligations, Facebook devra également réaliser des audits sur toute nouvelle application partenaire exploitant des données personnelles de ses usagers avant mise en œuvre du traitement. L’entreprise devra aussi examiner les conditions d’utilisation des applications partenaires existantes et mettre un terme à ses relations avec celles qui ne se seraient pas conformes à ses engagements en matière de protection des données. Elle devra de plus s’assurer régulièrement de la bonne sécurisation des données, et ne pas exploiter celles-ci à des fins autres que celles annoncées dans les conditions d’utilisation. Les données collectées à des fins exclusives de sécurisation des comptes ne pourront donc pas faire l’objet d’un usage publicitaire.
Malgré les avancées ainsi exigées par le nouvel accord, certains membres de la Commission ont exprimé des opinions dissidentes. Ils estiment notamment que le modèle d’affaires de Facebook n’est pas remis en cause dans sa globalité, et que d’autres poursuites auraient dû être engagées, y compris contre Marck Zuckerberg en personne4. Surtout, les pratiques sanctionnées par la FTC touchent moins au respect de la vie privée qu’à d’autres libertés fondamentales. Elles mettent en cause une réelle surveillance de masse, qui permet de contrôler et d’influencer le comportement des citoyens5, ce qui aurait pu justifier des mesures encore plus restrictives. L’ombre du scandale Cambridge Analytica plane toujours, et on peut légitimement se demander si les garanties exigées par la commission seront suffisantes pour pallier les manquements du réseau social.
On notera justement que des poursuites ont également été engagées par la FTC contre les anciens dirigeants de l’entreprise Cambridge Analytica6. Ce sera là l’occasion de clarifier cette question particulièrement essentielle pour le respect des droits et libertés fondamentaux.
Sources :
- United States District Court for the District of Columbia, Stipulated Order for Civil Penalty, Monetary Judgment, and Injuctive Relief, United States vs Facebook Inc., July 24, 2019, n° 19-cv-2184.
- United States of America – Federal Trade Commision, Decision and Order in the matter of Facebook Inc., August 10, 2012, n° C-4365.
- United States District Court for the Northern District of Georgia – Atlanta Division, Stipulated Order for Civil Penalty, Monetary Judgment, and Injuctive Relief, Federal trade Commision vs Equifax Inc., July 23, 2019, n° 1:19-cv-03297-TWT.
- Dissenting Statement of Commissioner Rebecca Kelly Slaughter, in the Matter of FTC vs Facebook, July 24, 2019.
- Dissenting Statement of Commissioner Rohit Chopra, in re Facebook, Inc., July 24, 2019.
- United States of America before The Federal Trade Commission, Complaint In the Matter of Cambridge Analytica LLC, July 22, 2019, n° 9383.