Outre la sanction infligée à Facebook par la FTC américaine (Federal Trade Commission) le 24 juillet 2019, le réseau social a fait l’objet de deux condamnations prononcées, l’une par l’autorité allemande de la concurrence, l’autre par l’autorité italienne de protection des données personnelles. Dans un cas comme dans l’autre, il est reproché à Facebook un manque de transparence dans les conditions de partage et de croisement des données des utilisateurs. La décision de l’autorité allemande a cependant fait l’objet d’une suspension en appel, dans l’attente d’une décision au fond.
La concentration des fichiers de données constitue pour Facebook un bon moyen permettant de profiler ses utilisateurs. La pratique consiste à partager les informations collectées par différentes applications. Ce croisement permet d’enrichir, mais aussi de préciser le stock de données exploitables pour chaque personne utilisant au moins l’un de ses services. Il inclut également les informations de leurs « amis », au sens donné à ce terme par le réseau social. Pour autant, une telle combinaison ne peut s’affranchir des prescriptions légales encadrant les traitements de données personnelles. Les utilisateurs devraient ainsi être informés de l’existence, de l’étendue et des finalités de ces opérations, ainsi que de l’identité des entreprises et applications partenaires qui y participent. Le non-respect de ces dispositions par Facebook a déjà pu être sanctionné par le passé, notamment à l’occasion des changements apportés aux conditions générales d’utilisation de la messagerie Whatsapp, et qui avaient pour finalité un tel croisement (voir La rem, n°41, p.20 et n°42-43, p.18). Le manque de transparence du réseau social sur ce point a pu être dénoncé une nouvelle fois avec le scandale Cambridge Analytica (voir La rem, n°48, p.90). Il constitue justement l’un des motifs pour lesquels la FTC a sanctionné le réseau social d’une amende de 5 milliards de dollars, le 24 juillet 2019.
Cette situation préoccupe également les autorités européennes de la concurrence et de la protection des données personnelles. C’est ainsi que l’autorité allemande de la concurrence et l’autorité italienne de protection des données personnelles ont enjoint au réseau social de modifier ses pratiques sur ce point. Si la seconde décision a été assortie d’une sanction pécuniaire, on relèvera en revanche que la première a fait l’objet d’une suspension en appel.
Allemagne : la décision controversée du 6 février 2019 de l’Office fédéral de lutte contre les cartels
L’Office fédéral de lutte contre les cartels (Bundeskartellamt) a rendu une décision le 6 février au terme de plusieurs années d’enquête portant sur les croisements de données effectués par Facebook via ses différents services1.
De façon générale, l’Office a reproché à l’entreprise de ne pas informer suffisamment ses usagers de l’existence de ces croisements, ni de leurs finalités. Sur le fondement du RGPD (règlement général sur la protection des données), le consentement à ces traitements de données ne saurait être déduit de la seule acceptation des conditions générales d’utilisation lors de l’ouverture d’un compte sur le réseau social ou une autre application du groupe. Ces manquements sont d’autant plus graves que les sources de données sont multiples. Outre les partages réalisés à partir des applications dont Facebook est propriétaire (Whatsapp et Instagram, par exemple), il est également procédé à des collectes via des sites tiers sur lesquelles figurent les boutons « like » et « share ». Les personnes utilisatrices du service se voient « tracées » sur des pages de sites web n’ayant aucun lien avec Facebook, quand bien même elles n’auraient pas cliqué sur ce bouton. L’entreprise est donc en mesure de connaître précisément leurs habitudes de navigation et d’affiner leur profilage, au-delà même des données qu’elles ont chargées dans le réseau social. On notera sur ce point que la Cnil française (Commission nationale de l’informatique et des libertés) ainsi que l’Autorité espagnole de protection des données avaient déjà relevé et sanctionné cette pratique dans deux décisions en 2017, les autres manquements alors reprochés à Facebook étant similaires à ceux relevés dans la décision ici commentée (voir La rem, n°42-43, p.18 et n°44, p.17).
Au vu du nombre d’utilisateurs allemands de Facebook (23 millions d’utilisateurs quotidiens et 32 millions d’utilisateurs mensuels), l’Office déduit que ces pratiques sont constitutives d’un abus de position dominante. Elles permettent en effet à Facebook d’accéder à une quantité quasiment illimitée de données personnelles, tant sur le marché des réseaux sociaux que sur celui des applications satellites, telles que celles dédiées à la messagerie privée. L’entreprise est ainsi à même de proposer des services de publicité personnalisée sans équivalent chez ses concurrents. Aussi, l’Office a enjoint au réseau social de revoir ses conditions de traitement à l’aune du RGPD. Selon sa décision, le partage des données issues des applications propriétaires du groupe avec le réseau social ne pourra être effectué qu’avec le consentement explicite de l’utilisateur. Il en est de même pour les collectes procédant des sites tiers, une information préalable devant par ailleurs être délivrée aux internautes quant aux finalités de celles-ci. Le consentement devra naturellement être distinct de l’acceptation des conditions générales d’utilisation et ne pas constituer une condition d’accès aux services.
Bien que ces griefs rejoignent ceux formulés devant d’autres autorités et juridictions, la décision de l’Office a fait l’objet d’une suspension le 26 août 2019, Facebook ayant fait appel devant la Cour provinciale de Düsseldorf2. Les juges ont en effet estimé que les conditions d’utilisation des services de Facebook étaient suffisamment explicites pour que ses utilisateurs puissent garder le contrôle sur le sort de leurs données. Par ailleurs, il n’existerait pas de corrélation entre le partage de celles-ci et un éventuel abus de position dominante. Une décision au fond devrait prochainement être rendue sur cette épineuse question.
Italie : sanction d’un million d’euros prononcée par l’Autorité de protection
des données le 14 juin 2019
Dans la continuité du scandale Cambridge Analytica (voir La rem n°48, p.90), l’Autorité italienne de protection des données (Garante per la protezione dei dati personali) a également prononcé une sanction à l’égard de Facebook, le 14 juin 20193.
L’Autorité a ainsi établi que 57 utilisateurs italiens du réseau social avaient téléchargé et utilisé l’application partenaire thisisyourdigitallife. Outre les données transmises par ces personnes, il est établi que la collecte portait également sur les informations de leurs « amis », ce qui porte à 214 077 le nombre d’utilisateurs concernés en Italie. Ceux-ci n’étaient bien sûr pas informés de l’existence de ces collectes par « amis » interposés, et n’y avaient donc pas consenti. Le grief est désormais classique. Aussi, même s’il semble que les données n’aient pas été transmises à l’entreprise Cambridge Analytica, l’Autorité estime le manquement suffisamment grave pour infliger une amende d’un million d’euros, tenant compte de la taille de la base de données eu cause.
La décision contribue à un mouvement global de responsabilisation des réseaux sociaux, et en particulier de Facebook, qui convoque aussi bien le droit des données personnelles que le droit de la concurrence ou de la consommation. À ce titre, on rappellera que l’Autorité italienne de la concurrence avait déjà sanctionné Facebook, fin 2018, pour pratiques commerciales trompeuses au sens du code de la consommation (voir La rem, n°49, p.19). Un certain nombre de clauses des conditions générales d’utilisation ont également pu être annulées par les juridictions françaises sur ce même fondement (voir La rem, n°48, p.26 et n°50-51, p.16).
Perspectives européennes
Au-delà du réseau social, les partenaires de Facebook seront également conduits à revoir leur politique d’exploitation des données. La Cour de justice de l’Union européenne tend en effet à responsabiliser ces acteurs, qui tirent un avantage de l’utilisation des outils fournis par Facebook.
Tel est le cas du fameux bouton « like », qui était au cœur de l’affaire portée à la connaissance de la Cour dans son arrêt du 29 juillet 20194. Saisie d’une question préjudicielle posée par une juridiction allemande, la juridiction européenne devait confirmer si un site tiers offrant cet outil sur ses pages devenait coresponsable du traitement de données avec le réseau social. La réponse est positive pour la Cour, dès lors que les deux parties sont financièrement intéressées par l’utilisation de cette fonctionnalité. Le site tiers voit cependant sa responsabilité limitée aux seules opérations dont il détermine les finalités, à savoir la collecte et la transmission des données.
Cette décision fait écho à un précédent arrêt de la Cour, en date du 5 juin 20185, ayant jugé dans le même sens que l’administrateur d’une page Facebook assumait également les fonctions de coresponsable du traitement des données réalisé sur celle-ci.
Sources :
- Bundeskartellamt, Beschluss in dem Verwaltgungsverfahren, Facebook Inc., Facebook Ireland ltd., Facebook Deutschland GmbH, 06 Februar 2019, n° B6-22/16.
- Oberlandesgericht Düsseldorf Beschluss, VI-Kart 1/19, Facebook Inc., Facebook Ireland ltd., Facebook Deutschland GmbH gegen Bundeskartellamt, 26 August 2019.
- Ordinanza ingiunzione nei confronti di Facebook Ireland Ltd e Facebook Italy s.r.l. – 14 giugno 2019.
- CJUE, 2e Ch., 29 juillet 2019, Fashion ID GmbH & Co. KG c./ Verbraucherzentrale NRW eV, n° C-40/17.
- CJUE, GC, 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein c./ Wirtschaftsakademie Schleswig-Holstein GmbH, n° C-210/16.
