Facebook et le Règlement Général sur la Protection des Données

Attention, cet article n’est pas une analyse juridique, ce n’est que le fruit d’une analyse personnelle, certes détaillée, mais personnelle. Faites attention.

Le 25 mai, c’est bientôt ! A ce titre, Facebook est en train de finaliser sa bascule pour se mettre en conformité avec la loi, le fameux RGPD ou GDPR en anglais, règlement dont tout le monde ou presque parle en ce moment.

Disposant d’une page Facebook et donc d’un compte Facebook, j’ai dû, comme beaucoup d’autres, lire et accepter les conditions pour pouvoir continuer à utiliser le réseau social. Je vous propose un petit retour sur ces nouvelles conditions d’utilisation et, plus globalement, sur la mise en conformité de Facebook au RGPD.

L’accompagnement de Facebook dans la lecture de la loi

Si vous disposez d’un compte Facebook, vous avez reçu un e-mail de chez eux, e-mail qui exige que vous acceptiez, ou non, les conditions générales d’utilisation du réseau social.

On découvre un lien « vérifier maintenant », qui, à titre d’information, se présente sous la forme suivante :

https://www.facebook.com/n/?gdpr%2Fconsent%2F&consent_mode=0&consent_region=0&entry_product=notification_email&aref=xxxxxxxxxxxxxxxx&medium=email&mid=xxxxxxxxxxxxxxxxxxxx&bcode=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&n_m=adresse_e-mail_du_compte_facebook

J’ai modifié mon URL pour vous représenter le type de donnée dont je vais parler.

En résumé, Facebook forge donc un lien spécifique pour vous, où il sait :

  • Que vous avez cliqué dessus
  • Où vous vous situez
  • Que vous venez d’un e-mail envoyé par Facebook
  • De quelle adresse e-mail vous venez

 

Ce sont des métadonnées liées au lien proposé, nous noterons simplement qu’elles sont assez précises et vous identifient formellement, puisque liées à votre e-mail.

C’est un point de détail, mais en cliquant sur ce lien, vous ne pourrez pas dire que vous ne saviez pas, Facebook disposant, à votre clic, d’un élément de preuve sur son obligation d’information à votre égard.

Ce lien vous renvoie sur une révision des conditions générales d’utilisation, que nous allons découvrir ensemble.

Première étape : la publicité ciblée

La première étape proposée dans cette révision des conditions générales porte sur les publicités ciblées.

Vous pouvez donc accepter ou refuser le pistage publicitaire, mais de façon partielle.

En désactivant ce paramètre, Facebook s’engage à ne plus utiliser de données de ses partenaires pour vous afficher de la publicité… mais Facebook continuera de s’en servir pour « fournir, personnaliser et améliorer » ses produits. Cf. image ci-dessous.

De la même façon, comme vous pouvez le lire, ne pas consentir à la publicité ciblée n’empêche pas Facebook d’utiliser ces données à des fins d’analyses et pour des services commerciaux.

Comprenez par-là que Facebook se réserve le droit d’utiliser vos données, vous n’aurez juste plus de publicité ciblée affichée à l’écran.

Il est impossible, en l’état, d’interdire à Facebook de se servir des données de ses partenaires, la limitation du traitement est donc … limitée. Tout comme le changement de fonctionnement, qui a une portée très limitée. Cela a le mérite d’exister, mais la portée de la modification est bien peu de choses face à la collecte instaurée par Facebook.

Le problème de la publicité ciblée n’est pas tant l’affichage de ladite publicité, Facebook le sait très bien. Le vrai problème de la publicité ciblée est davantage lié aux techniques et mécaniques de collecte et de croisement de données. Et Facebook ne permet pas,  volontairement selon moi, d’intervenir à ce niveau.

Pour une majorité de personnes, le fait de ne plus voir de publicité ciblée devrait suffire, certains penseront peut-être « Chouette, Facebook ne fait plus n’importe quoi avec mes données », à tort.

Facebook n’affiche plus de publicité ciblée, mais continue de faire n’importe quoi avec vos données. Il ne l’affiche simplement plus.

Seconde étape : la reconnaissance faciale

Seconde étape de la mise à jour des conditions générales d’utilisation, la reconnaissance faciale. Proposée par Facebook, elle est, pour le coup, assez claire. Facebook nous explique le principe de la reconnaissance faciale, son fonctionnement (votre photo est analysée et, de cette photo, on calcule une empreinte qui correspond à vous et uniquement à vous. On compare ensuite cette empreinte aux autres calculées et s’il y a correspondance, alors, c’est vous).

Ici, vous pouvez autoriser ou interdire à Facebook de vous reconnaître sur des photos ou des vidéos

Le paramétrage est clair et la formulation de l’interdiction d’usage est formelle. En refusant, Facebook n’est pas autorisé à vous reconnaître sur des photos ou des vidéos. Point.

Troisième étape : les conditions générales

Le problème épineux arrive. Après les deux premières étapes, Facebook vous demande d’accepter les conditions générales d’utilisation.

Dans ces conditions d’utilisation, on retrouve :

  • Les services proposés et offerts par Facebook (fournir une expérience personnalisée, vous mettre en contact avec les personnes et les organisations qui comptent pour vous, …)
  • Un renvoi, partie 2, vers la politique d’utilisation des données
  • Les engagements de Facebook envers la communauté
  • Des dispositions complémentaires aux mentions légales
  • Quelques autres conditions et politiques qui s’appliquent selon le cas, comme les standards de la communauté, les conditions commerciales, les règles des régies publicitaires, …

Ces conditions sont, dans l’ensemble, relativement claires. Regardons plus en détail la politique d’utilisation des données.

La politique d’utilisation des données

Dans cette politique, on retrouve les données que Facebook collecte (« vos activités, les activités des autres personnes, vos réseaux de contact, les informations relatives aux paiements, les informations relatives à vos appareils, les informations des sites web et applications qui ont recours à nos services, les informations des partenaires tiers et les informations en provenance des sociétés de Facebook »).

Je n’irai pas plus loin dans le détail des différentes politiques de Facebook, elles sont trop nombreuses pour être toutes traitées dans un seul article. Nous allons nous arrêter sur quelques points, et en particulier : « les informations des sites web et applications qui ont recours à nos services »

Le problème des produits Facebook

Les différentes politiques couvrent l’ensemble des produits Facebook… mais les produits Facebook, qu’est-ce que c’est ?

La réponse de Facebook est, à nouveau, assez claire sur le sujet :

Les Produits Facebook comprennent Facebook (notamment l’app mobile Facebook et le navigateur intégré), Messenger, Instagram (notamment les apps telles que Direct et Boomerang), tbh, Moments, Bonfire, Facebook Mentions, AR Studio, Audience Network et tout(e) autre fonctionnalité, app, technologie, logiciel, produit ou service proposé(e) par Facebook Inc. ou Facebook Ireland Limited, conformément à notre Politique d’utilisation des données. Les Produits Facebook comprennent également les Outils professionnels Facebook, des outils utilisés par les propriétaires de site web, les éditeurs, les développeurs d’applications ainsi que les partenaires commerciaux (notamment les annonceurs) et leurs clients, pour assurer des services commerciaux et échanger des informations avec Facebook, telles que les Social Plugins (par ex. : le bouton « J’aime » ou « Partager »), nos SDK et nos API.

(https://www.facebook.com/help/1561485474074139?ref=tos)

Spoiler : l’information qui sera traitée ici est la suivante : « des outils utilisés par les propriétaires de site web, les éditeurs, les développeurs d’applications ainsi que les partenaires commerciaux (notamment les annonceurs) et leurs clients, pour assurer des services commerciaux et échanger des informations avec Facebook, telles que les Social Plugins (par ex. : le bouton « J’aime » ou « Partager ») »

Ce qu’il faut comprendre, c’est que si vous acceptez les conditions générales, alors vous autorisez Facebook à effectuer un pistage massif de votre activité sur ses produits… dont le bouton j’aime ou celui de partage… boutons présents sur un nombre incalculable de sites web qui n’appartiennent pas à Facebook.

Ce point à lui seul mériterait un traitement à part, du côté de Facebook.

La problématique est la suivante : comment ne pas être pisté sur des sites web qui intègrent des services Facebook ?

La réponse proposée par Facebook est relativement simple : si vous n’êtes pas d’accord, vous devez arrêter d’utiliser Facebook.

La base légale

L’activité de Facebook repose essentiellement, pour ne dire exclusivement, sur des algorithmes, du calcul, du rapprochement de données et de l’analyse de ces dernières. Le business model de Facebook se base intégralement sur ce principe, c’est ce qui fait la pertinence du site et c’est ce que les sociétés qui travaillent avec Facebook recherchent : des informations fiables, qualifiées, un profil riche en information.

L’approche choisie par Facebook fait tout pour préserver son business model, ce n’est d’ailleurs sans doute pas pour rien que Facebook a décidé de proposer un modèle de conformité RGPD aux personnes identifiées comme étant concernées et uniquement à ces dernières.

Seulement, le business model n’est pas une base légale de traitement, au sens du RGPD.

La première partie de l’article 6 du règlement définit 6 bases légales de traitement, que voici :

  1. a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
  2. b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures pré-contractuelles prises à la demande de celle-ci;
  3. c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;
  4. d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
  5. e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
  6. f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Il apparait évident que la base légale du traitement opéré par Facebook n’est pas le point C, ni le point D, ni le point E.

En ce qui concerne le point A, c’est plus nuancé : via la mise à jour des conditions générales d’utilisation et l’obligation des les accepter, je donne un acte de « consentement » à Facebook quant à ce qu’ils font de mes données.

Le point B pourrait être invoqué, Facebook pourrait très bien dire que l’ensemble de ses mesures de pistage sont nécessaires à l’exécution d’un contrat.

Le point F pourrait également être invoqué par Facebook, qui pourrait faire savoir que le pistage est nécessaire aux intérêts légitimes de l’entreprise.

En ayant ce niveau de lecture, pas de problèmes… mais qu’en est-il si on entre vraiment dans le détail ?

NDLR : c’est à ce moment qu’on va vraiment entrer dans « la loi ».

La base légale du consentement (Art. 6-1.a)

L’article 6-1.a doit être rapproché de l’article 4, point 11, qui donne la définition du consentement :

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

Il doit également être rapproché de l’article 7, qui définit les conditions applicables au consentement, en particulier son point 4 :

Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

Enfin, il doit également être rapproché du considérant 43 :

Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

Les passages soulignés sont de mon fait, pour vous faciliter la lecture.

Facebook vous informe donc d’une actualisation de ses conditions générales d’utilisation, à laquelle vous devez consentir, et je n’ai aucun problème avec ça. C’est même parfaitement logique, comme partout : si vous n’êtes pas d’accord, vous n’utilisez pas, point.

En revanche, dans ces conditions générales d’utilisation, il est fait référence à la politique d’utilisation des données, dans laquelle on parle de l’ensemble des produits de Facebook.

Et il n’est pas possible d’accepter partiellement les conditions générales d’utilisation de Facebook. Par exemple, il n’est pas possible d’accepter la finalité de traitement de données issues exclusivement de Facebook et de refuser les traitements de données en provenance des sites tiers qui embarqueraient le script du bouton « j’aime ».

Partant de ce point, nous pouvons décemment nous interroger quant à la notion de liberté dans le consentement. Je n’ai pas un réel choix, si je veux continuer à utiliser Facebook, je dois accepter, sauf qu’en acceptant, je donne un accès très large à mes données, et que cet accès large présente un potentiel déséquilibre entre les personne concernée, à savoir moi, et le responsable de traitement, à savoir Facebook.

Partant de là, la base légale du consentement est fortement compromise.

La base légale de l’exécution contractuelle (Art 6-1.b)

L’article 6-1.b doit être rapproché du considérant 44, qui dit :

« Le traitement devrait être considéré comme licite lorsqu’il est nécessaire dans le cadre d’un contrat ou de l’intention de conclure un contrat. »

Il est question de nécessité. La nécessité commerciale ne pouvant être invoquée, on parlera de la nécessité technique… qui, elle aussi, est discutable.

Pour proposer de la publicité, Facebook peut faire de la pub dite « contextualisée », c’est-à-dire en référence à la page que vous êtes en train de visiter, au groupe d’intérêt par exemple.

Facebook peut également limiter les données utilisées dans son algorithme. Il sera moins pertinent, encore que cela reste à prouver, mais techniquement, c’est quelque chose d’imaginable, et pas quelque chose de nécessaire à l’exécution du contrat.

Comprenez par-là que, si demain, Facebook limite son algorithme, le réseau social continuera de fonctionner. Ils feront potentiellement moins d’argent, mais la base « on fait des sous » ne rend pas un traitement conforme à la loi pour autant.

La base légale des intérêts légitimes du responsable de traitement (Art. 6-1.f)

L’article 6-1.f est, lui, à rapprocher du considérant 47 :

Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. Étant donné qu’il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s’appliquer aux traitements effectués par des autorités publiques dans l’accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.

Les passages soulignés sont de mon fait, afin de vous faciliter la lecture.

Les affaires liées à Facebook, qu’elles soient anciennes ou récentes, comme celle de Cambridge Analytica, nous démontrent qu’il existe un danger pour les intérêts et les droits fondamentaux de la personne concernée. Partant de ce principe, nous pouvons nous interroger quant à l’intérêt légitime que Facebook pourrait invoquer pour justifier l’exploitation de nos données personnelles.

Je ne fais pas partie de la CNIL, mais il serait intéressant d’avoir son avis sur la question. En qualité d’autorité gardienne de la protection de nos données et d’autorité de contrôle, en France, son retour sur la question serait précieux.

Mesdames et messieurs de la CNIL… ma porte est ouverte.

Mon avis est le suivant : invoquer l’intérêt légitime pour justifier la collecte de nos données personnelles n’est pas une garantie suffisante et ne représente pas une base légale de traitement sérieuse pour Facebook.

Partant de là, je ne vois pas de base légale de traitement vraiment solide.

Hormis la justification financière (« c’est notre business model »), il n’existe pas, selon moi, de base légale assez solide, ni d’acte de consentement assez libre pour justifier l’activité de Facebook et sa conformité au prochain RGPD. Et puisque, comme nous l’avons dit précédemment, la justification « c’est notre business » n’est pas une base légale…

Conclusion

Facebook est en train de se mettre en conformité au RGPD. Mon avis est qu’ils tentent d’établir des bases légales, qui, toujours selon moi, seront méticuleusement inspectées après le 25 mai.

Ces observations iront peut-être dans mon sens, ou peut-être pas, nous allons devoir encore patienter pour savoir si Facebook fait les choses correctement ou non.

Facebook n’est pas une petite entreprise, on peut légitimement supposer qu’ils ont été accompagnés par une armée d’avocats et de conseillers pour établir leurs nouvelles politiques et se mettre en conformité au règlement. Reste à voir si ces avancées seront jugées suffisantes au regard de la protection des données personnelles, surtout quand ce dernier a démontré et démontre encore qu’il n’est en mesure de protéger lesdites données.

4 réflexions au sujet de « Facebook et le Règlement Général sur la Protection des Données »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.