Facebook scruté par la CNIL belge

Le numéro un des réseaux sociaux va-t-il pouvoir impunément continuer son commerce de données personnelles ? Pas si sûr car le groupe 29 des CNIL européennes a décidé de se pencher sur son cas. Dans la nouvelle version de ses CGU (conditions générales d’utilisation) mise en place en janvier 2015, Facebook prétend jouer la transparence en détaillant sa politique d’utilisation des données et en affirmant « vous avez le contrôle ». Mais une lecture rapide confirme que le réseau social est toujours plus gourmand. Il s’intéresse, par exemple, fortement aux données issues des connexion via smartphones, et collecte tout ce qu’il peut y compris les informations de géolocalisation. Il récupèrera aussi à l’avenir les données sur les transactions effectuées via le bouton « Acheter » (actuellement en test). Quant au contrôle, il a ses limites. Les utilisateurs disposent, par exemple, d’un réglage de préférences publicitaires, mais ils sont prévenus : « La modification de vos préférences publicitaires influence les publicités que vous voyez, mais cela ne change pas le nombre total de publicités que vous voyez. » Pas question de refuser que leur données soient vendues aux régies.

Plusieurs pays dont les Pays Bas, l’Allemagne, la France et l’Espagne ont donc lancé des enquêtes pour éplucher ces CGU et les pratiques de Facebook. La Belgique a pris la tête du peloton. Sa Commission de protection de la vie privée (CPVP), équivalent de notre CNIL, a commandité une étude inter-universitaire dont le titre à lui seul est explicite « Du service de média social au réseau publicitaire : une analyse critique des conditions générales révisées de Facebook ». Ses conclusions sont sévères : absence probable de consentement « libre », « spécifique » et « informé » pour la plupart des données collectées, « opt-out » (acceptation par défaut si la case n’est pas décochée) pour le profilage comportemental et la publicité, combinaison des données de plus en plus variées – textes, images, audios, vidéos transactions, déplacements etc –, provenant de sources de plus en plus nombreuses – sociétés achetées comme Instagram et Whatsapp, plateformes et sites partenaires, applications mobiles, vendeurs de données etc. Sans parler des données récupérées dans la discrétion la plus totale par le bouton « J’aime », qu’on clique dessus ou pas et qu’on soit inscrit ou pas sur Facebook.

Pour sa défense, Facebook a d’abord joué les offensés : « Nous avons actualisé nos conditions générales récemment pour les rendre plus claires et plus concises… et pour mettre en évidence la façon dont nous étendons le contrôle des gens sur la publicité » a expliqué un de ses représentants avant d’affirmer que ces changements ne pouvaient que se conformer à la loi puisqu’ils avaient été validés par le commissaire irlandais à la protection des données. Autrement dit, nous nous sommes basés en Irlande et nous n’avons aucun compte à rendre à la Belgique. Richard Allan, son vice-président des politiques publiques pour l’Europe, s’est même plaint dans le Financial Times d’avoir joué le jeu et de se voir aujourd’hui harcelé par des enquêtes nationales, contraires selon lui à la philosophie européenne.

Mais la Commission belge n’a pas l’intention de lâcher prise. Pour elle, Facebook est en infraction avec la Directive européenne Vie privée de 1995. Elle vient de publier une recommandation où elle ne mâche pas ses mots. « Les résultats de cette analyse sont déconcertants. Facebook bafoue les législations européennes et belges en matière de vie privée, et ce à différents niveaux ». Ou encore « Facebook traite les données en secret : aucun consentement n’est demandé pour le traçage et l’utilisation de « cookies. Aucun renseignement ciblé n’est fourni. Les informations disponibles sont vagues et autorisent en fait presque tout. » Elle recommande au réseau social de faire toute la transparence sur l’utilisation des cookies et des modules sociaux (le bouton J’aime), de cesser de collecter les données des non-utilisateurs et de demander le consentement des utilisateurs. Elle suggère également aux internautes et aux responsables de sites tiers d’utiliser des modules bloquant le traçage Facebook pour les premiers, ou requérant le consentement de l’utilisateur pour les seconds.