France vs Facebook : la guerre est déclarée !

La Cnil et la DGCCRF* somment le réseau social de se mettre en conformité avec notre vision de la protection des données. Un coup de tonnerre.

Ce n’est pas une simple affaire de malentendu où, d’un côté, Facebook assure respecter les droits de ses utilisateurs et, de l’autre, la Cnil et la DGCCRF lui démontrent le contraire. Cette fois, le géant californien peut légitimement redouter la mise à exécution des menaces de ces deux autorités françaises qui veillent au respect des règles sur la protection des consommateurs. En effet, le ton est monté d’un cran. En cause ? Les clauses abusives des contrats de Facebook et une politique n’ayant de « confidentialité » que le nom. Que traduit cette offensive soudaine des régulateurs français ? Le roi des réseaux sociaux, toujours sous le coup d’une assignation en justice de l’association UFC-Que Choisir, va-t-il (enfin) se conformer aux exigences de la loi informatique et libertés ? Le Point.fr a interrogé Daniel Kadar, avocat associé du cabinet Reed Smith.

Le Point.fr : Quels sont les griefs reprochés à Facebook par la DGCCRF ?

Daniel Kadar : La DGCCRF, qui a pour mission essentielle de faire respecter les règles ayant trait à la protection des consommateurs, a enjoint à Facebook de modifier plusieurs clauses considérées comme abusives de ses conditions d’utilisation, voire de les supprimer : la clause par laquelle Facebook s’autorise à retirer discrétionnairement des contenus ou informations publiés par les utilisateurs, celle qui l’autorise à modifier unilatéralement ses conditions d’utilisation sans en informer le consommateur ou encore celle qui l’autorise à modifier ou à résilier unilatéralement son service de paiement sans en informer au préalable le consommateur…

Que risque le réseau social s’il n’obtempère pas ?

Facebook a soixante jours pour se mettre en conformité. Il risque des poursuites par les utilisateurs qui peuvent réclamer des dommages et intérêts devant les juridictions civiles. Celles-ci considèrent en effet que les clauses abusives sont réputées non écrites. Sur ce point, la possibilité d’agir par le biais d’actions de groupe peut avoir un effet démultiplicateur. Par ailleurs, Facebook encourt également des sanctions pouvant aller jusqu’à 15 000 euros d’amende. Le montant reste peu dissuasif à ce stade : c’est avant tout une question d’image.

De son côté, la Cnil accuse Facebook de pister la navigation des internautes…

La Cnil a constaté plusieurs manquements de la part de ce réseau social, comme le fait de suivre la navigation des utilisateurs à travers des cookies, y compris celle des internautes ne disposant pas de compte Facebook. La Cnil constate également que Facebook ne recueille pas le consentement des utilisateurs avant de collecter des données considérées comme sensibles (données relatives aux opinions politiques, religieuses ou relatives à l’orientation sexuelle). Autre manquement reproché, le réseau social ne permet pas aux utilisateurs de s’opposer à l’utilisation de leurs données à des fins publicitaires. Autant de pratiques qui sont contraires aux principes et obligations résultant de la loi informatique et libertés.

Facebook est aussi accusé de ne pas se conformer aux règles sur le transfert des données vers les États-Unis…

C’est en effet l’un des points qui ont été retenus par la Cnil contre Facebook. Les Cnil européennes, et notamment notre Cnil française, ont développé depuis quelques années une réglementation qui complète la législation existante en ce qu’elle interdit tout transfert régulier et massif de données vers les pays dits « n’offrant pas de protection des données adéquate » au nombre desquels figurent les États-Unis. Les « données » visées sont aussi bien des données relatives aux ressources humaines pour les entreprises internationales que des données publiées par les utilisateurs sur les réseaux sociaux, par exemple. La Cnil a donc été à la tête d’un mouvement qui a imposé progressivement l’obligation pour un responsable de données de ne pouvoir envoyer des données personnelles régulièrement aux États-Unis que dans un cadre légal adapté. Parmi les véhicules juridiques acceptés par les Cnil européennes se trouvait le Safe Harbor, un mécanisme d’auto-certification auprès du département du Commerce américain. Pour faire simple, un « importateur » de données » qui reçoit ces données aux États-Unis pouvait, en s’y enregistrant et après avoir déclaré se conformer aux exigences réglementaires européennes, recevoir ces données. Le problème soulevé par les Cnil européennes était que personne ne contrôlait cette déclaration. Par ailleurs, le scandale de la NSA a mis en lumière des lacunes réglementaires puisque le transfert de données par ces « importateurs » de données aux services de renseignement locaux passait littéralement sous le radar du Safe Harbor. Cet accord passé avec le secrétariat d’État américain du commerce il y a 15 ans était décrié par les régulateurs européens depuis des années. Il a finalement été annulé en octobre 2015 par la Cour de justice de l’Union européenne.

LIRE aussi Safe Harbor : « La CJUE affirme que la protection des données est un droit fondamental »

Facebook légitimait les transferts de données sur la base de cet accord annulé, le Safe Harbour : encourt-il donc des sanctions aussi sur ce terrain?

Oui, s’il apparaît qu’il opère ces transferts hors cadre légal. Les Cnil européennes, dont la nôtre, exigent aujourd’hui que les responsables de données qui s’appuyaient sur le Safe Harbor cherchent des cadres juridiques alternatifs plus contraignants car contractualisés a minima. Le Privacy Shield, le bouclier de la vie privée négocié par l’Union européenne avec les autorités américaines il y a quelques jours, vise à offrir ce contrôle qui manquait aux États-Unis et aussi à limiter et réglementer l’accès aux données par les services de renseignement. Mais il n’est pas encore adopté, et les Cnil européennes ont décidé d’imposer d’ores et déjà des cadres plus contraignants.

Comment interpréter ce ferme rappel à l’ordre de Facebook ? Et que risque le réseau social ?

C’est une véritable injonction ! La Cnil reproche à Facebook de ne pas avoir trouvé de cadre légal alternatif alors qu’elle avait donné aux responsables de données actifs en France jusqu’au 31 janvier 2016 pour le faire. C’est peu dire que la Cnil n’a pas tardé à passer des paroles aux actes puisqu’elle épingle Facebook sur ce point aussi 8 jours après l’arrivée à échéance de cette date butoir ! Facebook dispose de trois mois pour s’exécuter, et encourt des sanctions pouvant aller jusqu’à cinq ans de prison et 300 000 euros d’amende.

La réglementation française va-t-elle finir par s’imposer au géant californien à l’égard duquel la justice française s’est déclarée compétente ?

Il s’agit d’une action conjointe à la fois de deux autorités de régulation françaises et par ailleurs d’une action européenne, puisque la Cnil agit de concert avec d’autres régulateurs européens, comme elle l’avait fait d’ailleurs avec Google. Je vois ici un signal fort lancé aux acteurs du monde digital dont il ne faut pas se méprendre sur la portée, car aujourd’hui, en raison du développement des réseaux sociaux précisément, presque chaque entreprise est une entreprise média.

N’est-il pas trop tard pour soumettre Facebook aux exigences du droit français ?

Je ne le crois pas, je crois même le contraire : l’exemple récent d’UberPOP nous montre que les régulateurs français ont compris qu’ils pouvaient peser sur les choix stratégiques et imposer leurs vues. Le fait qu’ils joignent leurs forces pour faire davantage pression sur les opérateurs me laisse penser que les temps du « one size fits all » (« modèle universel ») sont révolus et qu’il va falloir, pour les acteurs internationaux, se résoudre à adapter leurs conditions générales aux particularités réglementaires des pays dans lesquels ils interviennent.

Laurence Neuer

*Direction générale de la concurrence, de la consommation et de la répression des fraudes

Une direction du ministère de l’Économie, de l’Industrie et du Numérique

Article précédent :

Facebook vous espionne à votre insu

One Reply to “France vs Facebook : la guerre est déclarée !”

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :