Données personnelles : pourquoi la Cnil sévit contre Facebook…

La Commission nationale de l’informatique et des libertés (Cnil) met en demeure la multinationale américaine Facebook de respecter la loi « informatique et libertés » du 6 janvier 1978 dans les trois mois. Manque de transparence quant à l’usage des informations collectées, parfois sensibles ; transfert de données à caractère personnel vers les États-Unis ; absence de mécanisme permettant aux utilisateurs de s’opposer à l’utilisation de leurs données à des fins publicitaires…

La firme qui gère le réseau social est poursuivie en France pour de nombreux manquements à la loi sur la protection des données personnelles. D’autant que le traçage mené par Facebook ne concerne pas seulement les 30 millions de détenteurs d’un compte, mais aussi ceux qui n’en ont pas. Pour ce faire, le réseau social place des cookies, fichiers stockés sur l’ordinateur ou le mobile durant la navigation sur le Web. Ils permettent de reconnaître l’internaute à chaque visite d’un même site. Un traçage interdit, et dont les internautes qui visitent les pages publiques de Facebook ne sont pas avertis. Afin de saisir les tenants et aboutissants de cet ultimatum, nous avons interrogé Me Antoine Chéron, avocat spécialisé en droit de la propriété intellectuelle et des nouvelles technologies de l’information et de la communication.

Le pistage pratiqué par Facebook et ses abus avait déjà été dénoncé par la Cnil le 4 décembre, lors d’une déclaration commune avec quatre autres autorités de protection des données aux Pays-Bas, en Belgique, en Espagne, et en Allemagne. Qu’implique cette mise en demeure ?

Me Antoine Chéron: La mise en demeure introduit la phase pré-contentieuse. Il s’agit d’alerter Facebook avant d’entrer en voie de condamnation. Si Facebook ne se conforme pas à la loi française du 6 janvier 1978 dans le délai imparti, l’entreprise s’expose à une sanction, notamment sous forme d’amende. À cet égard, un parallèle doit être fait avec la société Google qui avait été condamnée pour le même motif à plus de 100.000 euros d’amende, en mars 2011. Au delà d’une potentielle sanction, une mise en demeure rendue publique, peut porter atteinte à la réputation de Facebook. Elle peut ainsi avoir des répercussions tant financières qu’en termes d’image. Il a été démontré que les condamnations de certaines sociétés ont eu un impact sur les marchés boursiers.

Pourquoi la France est-elle la première à se prononcer de cette manière contre Facebook ?

Me A. C.: Avec son projet de loi République Numérique qui sera prochainement examiné par le Sénat, la France se veut avant-gardiste et leader au niveau européen, en matière de protection des données à caractère personnel. Les pays voisins sont plus en retrait sur la question, c’est pourquoi la France est la première à se prononcer aussi fortement sur le sujet, alors que des investigations sont en cours dans les autres pays. Contrairement aux pays anglo-saxons, très libéraux sur la question des données personnelles, la Cnil fait preuve de davantage de rigueur, et ne transige pas avec le respect du cadre juridique qui s’applique à ces données. La Cnil française est la commission la plus importante du G29 (Groupe européen des autorités de protection), son avis est donc observé de près par ses pairs. Le G29 permet une action concertée de ces différentes autorités européennes, la Cnil est donc loin d’être isolée.

Nombre de personnes ferment les yeux sur l’utilisation de leurs données personnelles, pensant qu’elles n’ont rien à se reprocher… En quoi la collecte d’informations sensibles peut-elle constituer une atteinte aux libertés des individus ?

Me A. C.: En France, la vie privée est un droit fondamental, à ce titre elle bénéficie d’une protection renforcée. Il est donc nécessaire d’encadrer juridiquement le Big data (ensemble de mégadonnées faisant l’objet de croisement notamment à des fins commerciales), ce qui est le cas en France. Collecter des données sensibles telles que des informations sur l’orientation sexuelle est interdit, sauf autorisation préalable de la Cnil ou consentement de la personne concernée. À défaut, il y a violation de la vie privée et une atteinte manifeste aux libertés des personnes. Le croisement des données sensibles par Facebook est d’autant plus dangereux qu’il pourrait dans des contextes très particuliers, permettre de faire des liens trop directs entre appartenance religieuse et terrorisme, par exemple. Dans d’autres pays comme aux États-Unis, Facebook peut collecter des informations sur les infractions pénales des individus. Heureusement en France, certaines barrières ont été mises en place sur la collecte des données à caractère personnel, et la Cnil investigue pour les faire respecter.