Confidentialité : Facebook se heurte encore à la CNIL Belge
Publié par La rédaction le | Mis à jour le
La CNIL Belge ne désarme pas contre la politique de confidentialité de Facebook. Se jugeant compétent, elle demande plus de transparence et un niveau plus élevé de consentement des utilisateurs sur la collecte et l'utilisation des données.
L'autorité belge chargée de la protection des données personnelles s'estime compétente pour examiner les pratiques de Facebook en matière de confidentialité. Renoncer à toute collecte et utilisation de données par le biais de cookies et de modules sociaux, sauf avec le consentement indubitable et spécifique des personnes concernées, via un opt-in et dans la mesure où cela est strictement nécessaire : c'est l'une des nombreuses recommandations adressées à Facebook par la CPVP, équivalent belge de la CNIL française.
Dans un document du 13 mai 2015 (30 pages, format PDF), l'autorité chargée de la protection de la vie privée précise que ses conseils à l'attention du réseau social n'ont pas valeur de décision, mais qu'ils sont « suffisamment précis et argumentés » pour constituer un ensemble de règles à même de garantir le respect de la loi.
Rédigé après la comparution de Facebook à la séance du 29 avril 2015, le texte se concentre sur les questions préliminaires ; en l'occurrence, le droit applicable et la juridiction compétente, ainsi que les premières constatations relatives au traçage des internautes.
Les autres problématiques seront abordées « plus tard cette année », notamment en vertu de la loi nationale du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (LVP).
Une politique qui fait parler
Pour saisir les subtilités du dossier, il faut remonter à ses origines, le 27 novembre 2014, date choisie par Facebook pour annoncer une révision imminente de sa Déclaration des droits et responsabilités, mais aussi de sa politique en matière de données et de cookies.
Après que les changements eurent pris effet le 30 janvier 2015, la CPVP a été consultée à plusieurs reprises « tant par des utilisateurs de Facebook inquiets, que par les médias, le Parlement fédéral et le secrétaire d'État chargé notamment de la protection de la vie privée ».
S'est ensuivie une analyse de ces nouvelles conditions d'utilisation, avec l'expertise technique des chercheurs de l'université catholique de Louvain (KUL) et de l'université libre néerlandophone de Bruxelles (VUB).
Dans le cadre de cette analyse, une correspondance par courrier a été entretenue avec Facebook Belgique.
Début février, le réseau social avait abattu ses cartes, estimant que c'était sa filiale irlandaise qui devait être considérée comme seule responsable du traitement et personne de contact pour l'enquête.
L'Irlande terre promise
Aujourd'hui encore, Facebook reconnaît exclusivement la compétence du régulateur irlandais pour juger de son cas pour le compte de tous les utilisateurs européens de ses services.
Au coeur de son argumentaire, la notion de sous-traitance. Dans les conditions générales d'utilisation, il est précisé que tous les utilisateurs en dehors des Etats-Unis et du Canada doivent conclure un contrat avec Facebook Irlande, seul responsable du traitement de leurs données : la maison mère Facebook Inc. n'agirait qu'en tant que sous-traitant pour l'enregistrement et l'hébergement de données à caractère personnel.
Précisant n'avoir « qu'un seul établissement dans l'Union européenne » (en Irlande), Facebook explique que l'article 4 de la Directive vie privée 95/46/CE - mentionné en page 12 - doit être interprété dans le sens suivant : si un responsable du traitement a un établissement dans un Etat membre de l'UE, seul le droit de cet Etat membre peut être appliqué. Les contrôleurs d'autres Etats membres ne peuvent faire obstacle car la libre circulation des données au sein de l'UE est un principe fondamental du marché intérieur.
Il n'en va pas de même pour la CPVP, qui signale que Facebook ne mentionne, dans son rapport financier, qu'une seule entité opérationnelle : Facebook Inc., aux Etats-Unis. En outre, la compétence décisionnelle pour toutes les opérations appartient au CEO Mark Zuckerberg. Si bien qu'en l'état, « il n'apparaît pas que Facebook Irlande puisse prendre des décisions en toute autonomie en ce qui concerne la finalité et les moyens relatifs aux traitements de données à caractère personnel des citoyens belges ».
Toujours d'après la CPVP, la question de savoir si Facebook Irlande peut être considéré comme responsable du traitement au sens de la Directive n'a pas lieu d'être examinée dès lors qu'elle n'influe en rien sur l'applicabilité du droit belge. et sur la compétence de la CPVP au regard de l'interprétation apportée à l'article 4 par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 13 mai 2014.
La CPVP considère que ledit arrêt, qui a mené à l'esquisse d'un « droit à l'oubli » dans les moteurs de recherches, « est en tout applicable », car il présente une « similarité avec les questions abordées dans la recommandation [du 13 mai 2015] ».
Et d'ajouter : « Il est évident que plusieurs lois nationales s'appliquent aux nouvelles conditions d'utilisation de Facebook et aux difficultés qui peuvent résulter du point de vue de la protection de la vie privée pour l'ensemble des citoyens européens ».
Sur les traces des internautes ?
Sur la question de traçage, le postulat est le suivant : Facebook suivrait à la trace tous ses visiteurs, y compris ceux qui n'ont pas de compte et ceux qui ont choisi de ne pas être pistés.
Ce traçage serait notamment effectué au moyen de modules sociaux proposés à des exploitants de sites externes en vue d'une intégration - le module « J'aime » étant particulièrement populaire (il est implémenté sur 32 % des 10 000 sites les plus visités, selon Quantcast ranking).
Pour la CVCP, ce traçage est d'autant plus invasif que Facebook « peut facilement relier les habitudes de navigation de ses utilisateurs à leur identité réelle, à leurs interactions sur les réseaux sociaux et à des données sensibles telles que des informations médicales, des préférences religieuses [.] ».
C'est - entre autres - sur ce point que se sont penchées la KUL et la VUB. Elles en ont conclu qu'un utilisateur connectée qui visite une page Internet contenant un module social envoie jusqu'à 11 types d'informations, rapporte ITespresso.
Pour les utilisateurs déconnectés, on compte 4 cookies, dont l'URL de la page visitée. Quant à ceux qui se sont désinscrits des publicités ciblées, ils restent pistés. tout comme les non-utilisateurs de Facebook, avec lesquels aucun contrat n'a pourtant été signé.
Au point 81 de sa recommandation, la CPVP relève par ailleurs qu'il n'est pas possible de ne donner son consentement que pour les fonctions de base de Facebook (par exemple, le partage d'informations avec des amis) sans donner simultanément son consentement pour le traitement de ses données à des fins de profilage commercial.
Au point 84, le régulateur belge considère que le mécanisme d'opt-out « ne convient pas pour obtenir un consentement informé de l'utilisateur moyen ». Il est par ailleurs (point 88) « excessif pour Facebook de collecter systématiquement des données relatives à la consultation de sites Internet externes à son domaine, mais qui contiennent des modules sociaux [.], alors même que le membre n'a pas interagi avec ces modules sociaux ».
A lire aussi :
Facebook veut titiller Google sur le moteur de recherche
Safe Harbor : Facebook dans la ligne de mire de la Commission européenne