II. La législation Européenne : un moyen efficace pour protéger les données et la vie privée des utilisateurs sur les réseaux sociaux ?

Non classé

A) Les autorités chargées de la protection des données personnelles

1. Spécificité européenne par rapport aux Etats-Unis

La majorité des grands réseaux sociaux ont leur siège aux États-Unis. Dans le cas d’un utilisateur Français par exemple, la collecte des données est alors effectuée en France, mais ces données sont immédiatement transférées aux États-Unis pour le traitement tel que défini dans la loi 95/46/CE. Or, les Etats-Unis ne disposent pour l’instant pas d’une législation protégeant les données personnelles des utilisateurs. En effet, contrairement aux Européens, les américains n’envisagent pas la vie privée comme un droit aussi fondamental que la liberté d’expression. Ainsi, aux Etats-Unis, les données numériques appartiennent à ceux qui les traitent. Dès lors qu’elles ont été publiées, l’intéressé n’a plus la main sur ses propres données. Comment, en l’absence de droit international en la matière, l’Union européenne peut-elle alors faire respecter le droit de ses citoyens, lorsque leurs données sont traitées par des entreprises Américaines ?

Le transfert de données personnelles vers des pays tiers est déjà comme nous l’avons vu soumis à “l’exigence de caractère adéquat”. Avec son projet de réforme, l’Europe déclare “Il importe que, lorsque ces données sont transférées de l’Union vers des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l’Union par le présent règlement ne soit pas amoindri.”(56). Si le traitement des données dans le pays tiers venait à ne pas respecter la législation Européenne, la Commission se réserve le droit “d’interdire temporairement ou définitivement un traitement”, et “de suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale”(57).

Afin que les droits des utilisateurs soient pleinement garantis, il importe donc qu’une certaine coopération internationale soit mise en place. Début Février 2012, l’administration Obama dévoilait un “schéma directeur pour un projet de loi sur les droits des données personnelles afin de protéger les consommateurs en ligne”(58), s’inspirant de la législation européenne. Ce “bill of right des données personnelles” permettrait aux internautes d’exercer un contrôle et un droit de regard sur les données personnelles collectées par les entreprises. Ils auraient également un droit à la transparence, à la sécurisation, l’accès, la rectification, et la suppression de ces données. Point important, qui est l’un des principaux défis que rencontre la législation européenne, cette loi introduirait une réciprocité dans le traitement des données : le point “responsabilité” prévoie que les internautes aient le droit de disposer des données personnelles les concernant traitées par les entreprises, afin de s’assurer qu’elles respectent la loi(59). Dans le cas européen, des mesures sont mises en place pour que les internautes puissent s’assurer que les entreprises respectent leurs droits, mais il est difficile, du fait de l’éloignement de ces entreprises, de s’assurer qu’elles respectent effectivement les règles. Certes, Facebook s’engage, contraint par l’article 8 de la Charte des Droits Fondamentaux(60) , à communiquer aux utilisateurs leurs données, mais dans les faits, cette obligation n’est pas respectée, comme le souligne la Commission dans l’Approche Globale : “l’exemple des sites de socialisation est particulièrement éclairant à cet égard, car pour y exercer un contrôle effectif sur les données les concernant, les intéressés se heurtent à des défis de taille. La Commission a ainsi reçu plusieurs plaintes de personnes qui n’avaient pu récupérer des données à caractère personnel auprès de prestataires de services en ligne, telles que leurs photos, et qui ont donc été empêchées d’exercer leur droit d’accès, de rectification et de suppression”.

2. La CNIL : exemple d’une autorité indépendante européenne

La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité administrative indépendante (AAI) française chargée de veiller sur la protection des données personnelles, et à ce que l’information au service du citoyen ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

La notion d’AAI, ainsi que nous l’explique David Forest, ne répond à aucune définition juridique précise : “Il s’agit d’une administration dont les membres sont soustraits à toute hiérarchie, et qui, dans l’exercice de leurs attributions, ne reçoivent d’instruction d’aucune autorité”(61). Malgré cette qualité d’indépendance, la CNIL est placée par la Constitution sous l’autorité du gouvernement, et son budget relève de celui de l’Etat. Ainsi, elle peut faire l’objet d’un contrôle par la Cour des comptes, et certains de ses actes peuvent faire l’objet d’un contrôle par le Conseil d’Etat. Il est à noter qu’en la matière, la CJUE a jugé que la soumission des autorités de contrôle et de surveillance en matière de données personnelles à l’Etat est contraire à l’exigence d’indépendance qui leur est faite(62). Par conséquent, le statut même de la CNIL constitue une transposition erronée de la directive 95/46/CE.

Elle dispose de plusieurs pouvoirs : à l’égard du gouvernement, elle peut proposer des mesures législatives ou réglementaires, et est consultée lorsqu’un projet de loi relatif à la protection des données est transmis au parlement. Vis-à-vis des personnes, la CNIL a un devoir d’information sur les droits dont elles disposent, et est en mesure de recevoir leurs plaintes à l’encontre d’abus, de pratiques irrégulières ou d’atteintes aux droits. À l’attention des organismes, sociétés ou institutions, elle participe à des actions de formation et de sensibilisation, et conseille les responsables de données personnelles sur les obligations qui leur incombent. Elle dispose en outre d’un pouvoir de contrôle et de sanction, afin de veiller au respect de la loi Informatique et Libertés de 1978. Elle peut ainsi accéder aux locaux de l’entreprise (le responsable des lieux ou son représentant a néanmoins le droit de s’opposer à cette visite), aux programmes informatiques qu’elle utilise, ou à ses données. Elle peut également exiger la communication de documents jugés utiles. En matière de sanctions, la CNIL dispose d’un large choix de mesures allant du simple avertissement aux sanctions administratives et financières.

3. Le Groupe de travail Article 29 sur la protection des données, ou G29

Les représentants de chaque autorité de contrôle européenne sur la protection des données sont rassemblées au sein du groupe dit “Article 29”. Ce groupe de travail a été établi en vertu de l’article 29 de la directive 95/46/CE, et en a tiré sa dénomination. Il s’agit d’un organe consultatif européen indépendant sur la protection des données et de la vie privée.

Ses principales missions sont les suivantes. Tout d’abord, il conseille la Commission européenne et lui donne un avis d’expert sur toute mesure communautaire pouvant affecter les droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel et de la protection de la vie privée. Deuxièmement, il doit promouvoir une application uniforme des directives européennes en encourageant la coopération entre les autorités de contrôle de la protection des données. Cette promotion se fait dans tous les Etats membres, ainsi qu’en Norvège, Liechtenstein, et en Islande Enfin, il a un rôle de sensibilisation, en émettant des recommandations destinées au grand public.

On ne peut cependant s’empêcher de s’interroger sur l’efficacité de ces autorités, notamment à cause du caractère international des réseaux sociaux alors que les directives européennes ne concernent que le marché intérieur. Le groupe 29 travaille d’ailleurs à fournir un avis sur le droit applicable en la matière.

Même si c’est souvent le traitement des données personnelles pour des problèmes liés à la sécurité qui sont mis en avant par le G29, ses recommandations concernent aussi de plus en plus les réseaux sociaux.

En effet ils sont sources de nouveaux enjeux pour ces autorités. Récemment, le site Facebook souhaitait instaurer un système de reconnaissance faciale des visages. Comme on peut l’imaginer, cette option a été accueillie avec prudence par les autorités de contrôle Européennes. Ce qui est contesté, c’est avant tout l’activation par défaut dans les paramètres de confidentialité de cette fonctionnalité, sans l’accord de l’utilisateur. Cela l’oblige à se rendre dans les réglages pour “décocher” cette option. Les autorités de contrôle souhaitent que Facebook inverse ce réglage, en désactivant par défaut cette fonctionnalité. “Le marquage des personnes sur les photographies ne devrait survenir qu’avec le consentement éclairé des personnes” a expliqué Gerard Lommel, membre du groupe de travail G29 et président de la Commission nationale pour la protection des données au Luxembourg.

B) la charte de confidentialité de Facebook est-elle conforme à la législation européenne ?

1. Europe vs Facebook : comment un étudiant a mis à jour les violations de la vie privée perpétrées par le plus puissant des réseaux sociaux

En Octobre 2011, l’Autorité de protection de la vie privée Irlandaise avait ouvert une enquête sur Facebook, après le dépôt de vingt-deux plaintes différentes par un étudiant en droit Autrichien. Max Schrems accusait le réseau social d’avoir conservé des informations qu’il avait d’abord publiées puis effacées. Il soupçonnait également Facebook de créer des “profils fantômes” rassemblant des informations sur des personnes n’ayant pas créé de comptes. Le jeune homme avait alors décidé de demander à Facebook une copie de l’ensemble des données que le réseau social détenait à son sujet, conformément à la législation européenne. Il a alors reçu un document de plus de mille deux-cent pages, avec des informations sur près de soixante sujets : l’intégralité de ses discussions instantanées, ses statuts, ses demandes d’amis, ou encore l’ensemble des événements auxquels il avait participé. À la lecture du document, il avait pu constater que les informations qu’il avait pourtant effacées restaient stockées sur les serveurs – notamment des messages privés dont le contenu pourrait lui porter préjudice. Il a alors créé avec des amis le site Europe vs Facebook, détaillant les procédures entreprises en justice à l’encontre du réseau, et incitant les internautes à demander à recevoir eux aussi l’ensemble de leurs données, en leur fournissant la marche à suivre.

Le fait que Facebook conserve ces données sur le long terme pose plusieurs problèmes. Tout d’abord, il apparaît manifeste que les utilisateurs n’ont pas donné leur consentement explicite à cette conservation, contrairement à ce que prévoit la directive européenne sur la protection de la vie privée(63) ; et surtout, ainsi que le note l’une des plaintes déposées, “ces données ne sont pas hébergées sur le territoire européen mais aux Etats-Unis, et Facebook Irlande (siège européen du réseau social) ne garantit pas une sécurité suffisante à ces données (…). Il n’existe aucune garantie que les forces de l’ordre américaines ou les autorités européennes ne puissent pas accéder à ces informations sensibles sur les citoyens européens”.

Dans un communiqué(64), Facebook s’est défendu de toute mauvaise utilisation des données de ses utilisateurs, arguant qu’elles n’étaient conservées que pour des raisons techniques. En ce qui concerne les messages effacés, Facebook explique : “nous permettons aux utilisateurs de supprimer les messages dans leurs dossiers de messages reçus ou envoyés. Mais il n’est pas possible de supprimer un message envoyé de la boîte de réception d’un autre utilisateur, et inversement. Tous les services de messageries jamais inventés fonctionnent comme cela”.

L’argument est fallacieux, comme l’explique Max Schrems : “Cela peut sembler logique à première vue mais si l’on se réfère à la politique de confidentialité de Facebook, les messages ne sont pas supprimés même si les deux correspondants les ont effacés. Ce n’est pas le cas dans les autres services de messagerie”. Ainsi les pratiques perpétrées par le réseau social Facebook se sont avérée non respectueuses de la législations européenne, qu’il tente à de nombreuses reprises de contourner. La directive 95/46/CE s’est dans cette affaire révélée non efficace, puisque les mesures mises en place pour protéger les utilisateurs ne sont pas respectées.

2. Facebook en flagrant délit de non-respect de la législation européenne

Concernant d’autres types de données, le réseau social avance que de nombreuses données transmises à M. Schrems à sa demande “ne sont pas des données personnelles”, mais simplement des informations utilisées par Facebook “pour la protection contre la fraude” ou “pour des raisons d’analyse statistique”(65). Facebook utilise notamment l’adresse IP(66) pour ses services de protection contre le détournement de compte. En la matière, Facebook affirme qu’”il ne s’agit clairement pas de données personnelles”. Pourtant l’adresse IP est bien considérée par le G29 et la CNIL comme une donnée personnelle(67). La manière dont Facebook définit ce qui constitue une donnée personnelle semble donc pour le moins ambiguë, et peu clair d’un point-de-vue juridique. Notons que la révision en cours de la directive européenne sur la protection de la vie privée – qui considère comme personnelle toute donnée qui permet l’identification d’une personne – pourrait aboutir dans les prochains mois à une clarification nette du statut juridique de cette information.

D’autres pratiques du réseau social posent problème vis-à-vis de la législation européenne, notamment la création de “profils fantômes”(68). Par le biais des synchronisations des téléphones ou des carnets d’adresse des utilisateurs, Facebook collecte quantité d’informations sur des personnes non inscrites sur le réseau, et les utilise notamment pour personnaliser les courriels les invitant à rejoindre le réseau. Cela signifie que l’entreprise collecte d’importantes quantités de données sans en informer les personnes et sans leur demander leur consentement, puisqu’elles ne sont même pas utilisatrices du service. Cela est une fois de plus contraire à la directive 95/46/CE.

L’autorité de contrôle Irlandaise pour la protection des données a donc ouvert une plainte sur ces accusations. Mais même si Facebook devait être poursuivi et condamné, le risque financier serait très limité(69) : la législation européenne prévoit en effet une amende de 100 000 euros maximum pour ce type d’infraction. Or le chiffre d’affaire de l’entreprise s’élève à 3,71 milliards de dollars. Les éventuelles répercussions n’atteindraient que l’image de l’entreprise.

3. Une réinterprétation de la charte en fonction de la législation européenne guère plus satisfaisante

Le 11 mai 2012, Facebook annonçait vouloir modifier sa charte de confidentialité, suite à plusieurs audits effectués avec le groupe Europe vs Facebook. Les modifications s’effectueraient à une échelle internationale, mais viserait à respecter d’avantage la législation européenne.

Cependant, comme le groupe le souligne sur son site Internet, “il semble que Facebook ne fasse pas un pas en avant, mais deux pas en arrière”(70). Les vingt-deux plaintes déposées fin 2011 par le groupe d’étudiants auprès de l’autorité de protection des données personnelles Irlandaises, ont conduit à l’émergence d’un rapport publié en Décembre 2011. Dans ce rapport, l’autorité exigeait que Facebook modifie sa police de confidentialité au plus tard le 7 mars 2012. L’entreprise avait tout bonnement ignoré cette date limite, mais semble aujourd’hui décidée à effectuer les modifications nécessaires.

Cependant, la nouvelle charte(71) ne démontre pas de réelles améliorations du point de vue de la protection des droits des utilisateurs. Tout d’abord, Facebook semble se contenter d’inscrire ses pratiques illégales dans la charte, plutôt que d’y remédier. Cela est fait en vertu d’une supposée transparence, mais en réalité, l’entreprise est bien loin d’aller vers plus de respect de la législation européenne. Ensuite, contrairement à annoncé précédemment par Anne-Sophie Bordy(72), directrice des affaires publiques France et Europe de Facebook, la nouvelle charte ne semble pas plus claire pour l’utilisateur moyen, qui aura toujours autant de mal à déceler ce qui est exactement fait avec ses données. En outre, cette charte n’est pour le moment disponible qu’en langue anglaise, les textes disponibles dans les autres langues n’en étant que des “explications”. Les utilisateurs ne parlant pas l’Anglais n’ont donc pour le moment pas accès à la politique de confidentialité les concernant.

Mais ce qui est le plus frappant dans cette nouvelle politique se trouve dans le paragraphe “contrôleur”. Facebook s’y proclame contrôleur des données personnelles : “The company Facebook Ireland Ltd. has been established and registered in Ireland as a private limited company, Company Number: 462932, and is the data controler responsible for your personal information”(73).

À plusieurs reprises durant la charte, Facebook se proclame donc contrôleur premier des informations postées par l’utilisateur. Les utilisateurs semblent abandonner leur droit de contrôle sur leurs données, dès lors qu’elles sont publiées sur le réseau. Or, cela est absolument contraire à la législation européenne de protection des données, centrée autour des autorités de protection des données : “Chaque État membre prévoit qu’une ou plusieurs autorités publiques de contrôle sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive”(74). Le contrôle des données appartient aux seuls individus concernés, et aux autorités de contrôle indépendantes, mais ne saurait en aucun cas être détenu par l’entreprise effectuant le traitement de ces données.

Le groupe Europe vs Facebook s’est à nouveau mobilisé contre cette nouvelle charte. En effet, Facebook prévoit que si 7 000 utilisateurs commentent ces changements, en s’y opposant, elle révisera la nouvelle réglementation. Le groupe a ainsi publié sur le site www.our-policy.org les points sujets à discussion, et contraires à la législation européenne, et entend les faire modifier. Le fondateur Max Schrems déclare alors : “Nous voulons battre Facebook non seulement par la législation européenne, mais aussi sur son propre terrain. Si nous arrivons à recueillir sept-mille commentaires sous sept jours, ils auront un sérieux problème”(75).

Toutes ces modifications démontrent que si la législation Européenne est un moyen de contraindre les réseaux sociaux à oeuvrer vers d’avantage de respect des droits des utilisateurs, elle ne semble pas suffire en elle-même. La société civile peut en revanche jouer un rôle considérable pour amener les entreprises à respecter cette législation. Le nouveau règlement annoncé par la Commission, couplée à des actions concrètes pour le faire respecter, pourrait dès lors permettre un plus grand respect des droits des utilisateurs.

56 projet de réglement du 25 janvier 2012, p.78
57 ibidem, Section 2 “fonctions et pouvoirs”, Article 53 “pouvoirs”, §g, p.87
58 Site officiel de la Maison Blanche, “We Can’t Wait: Obama Administration Unveils Blueprint for a “Privacy Bill of Rights” to Protect Consumers Online. Internet Advertising Networks Announces Commitment to “Do-Not-Track” Technology to Allow Consumers to Control Online Tracking”
59 “Accountability: Consumers have a right to have personal data handled by companies with appropriate measures in place to assure they adhere to the Consumer Privacy Bill of Rights”
60 “toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification”
61 13 loi de 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, Loi 78-17, 16 janvier 1978, article 21
62 CJUE (grande chambre), 9 mars 2010, Commission européenne c/ République fédérale d’Allemagne (aff. C-518-07). L’article 28, § 1, al. 2 de la directive 95/46CE du 24 octobre 1995 dispose que : « Les autorités publiques exercent en toute indépendance les missions dont elles sont investies ».
63 Directive 95/46/CE §30 “pour être licite, un traitement de données à caractère personnel doit en outre être fondé sur le consentement de la personne concernée”
64 Facebook Ireland Ltd, “Report of Audit”, 21 December 2011
65 ibidem, p. 77
66 Internet Protocol, adresse qui permet d’identifier une machine sur le réseau internet
67 CNIl, “L’adresse IP est une donnée à caractère personnel pour l’ensemble des CNIL européennes”, 2 Août 2007
68 Facebook Ireland Ltd, “Report of Audit”, 21 December 2011, “shadow profiles”, p. 118
69 PIDD Helen, “Facebook could face €100,000 fine for holding data that users have deleted”, The Guardian, 20 Octobre 2011
70 Europe vs. Facebook : “ it seems like Facebook is not going one step forward, but two steps back”
71 https://www.facebook.com/note.php?note_id=10151730720905301
72 SOYEZ Fabien, “Facebook en redemande”, Owni.fr, 10 janvier 2012
73 https://fbcdn_dragon-a.akamaihd.net/cfs-ak-snc6/84985/2/338503082862262_814169785.pdf p14, Article VI “Some other things you need to know”, §”Controler – Information for users outside of the United States and Canada”
74 Directive 95/46/CE, Chapitre VI “autorité de contrôle et groupe de protection des personnes à l’égard du traitement des données à caractère personnel”, Article 28 “autorité de contrôle”, §1
75 Europe vs Facebook, “Success for Austrian student group ? Facebook changes worldwide privacy policy”, § “Alternative Suggestions” : “We want to beat Facebook not only with the European law but also on its own platform. If we make the 7,000 comments within 7 days they have a serious problem. We are calling for all Facebook users to get informed on our-policy.org tonight and join us in the fight for more privacy!”, 11 mai 2012, 2 pages, p. 1

Page suivante : Conclusion

Retour au menu : LA PROTECTION DES DONNÉES PERSONNELLES ET DE LA VIE PRIVÉE SUR LES MÉDIAS SOCIAUX DANS L’UNION EUROPÉENNE : Comment l’Union européenne peut-elle réguler les pratiques ?