L'Autorité de protection de la vie privée irlandaise a ouvert une enquête sur Facebook, après le dépôt de vingt-deux plaintes différentes par un étudiant autrichien. Max Schrems, étudiant en droit habitant Vienne, accuse Facebook d'avoir conservé de très nombreuses informations qu'il avait publiées puis effacées sur le réseau social. Il soupçonne également Facebook de créer des "profils fantômes", qui rassemblent des informations sur des personnes qui n'ont pas créé de comptes, sans l'avoir déclaré.
Après avoir assisté à une conférence organisée par Facebook, M. Schrems, qui avait un compte sur le réseau social depuis trois ans, avait décidé de demander à Facebook une copie de l'ensemble des données que le réseau social détenait à son propos, conformément à la législation européenne.
Max Schrems a alors reçu un CD contenant un document de plus de 1 200 pages, avec des informations sur près de 60 sujets : l'ensemble des "likes" et des "pokes" envoyés par M. Schrems, mais aussi l'intégralité de ses discussions instantanées, ses statuts, ses demandes d'amis, ou encore l'ensemble des événements Facebook auxquels il avait participé. A la lecture du document, M. Schrems a constaté que les informations qu'il avait effacées restaient stockées sur les serveurs de Facebook – notamment des messages privés dont le contenu pourrait lui porter préjudice. Il a alors créé avec des amis le site Europe vs Facebook, qui détaille les procédures entreprises et incite les internautes à demander à recevoir eux aussi l'ensemble de leurs données, en leur fournissant la marche à suivre.
Le fait que Facebook conserve ces données sur le long terme pose plusieurs problèmes, estime M. Schrems. Tout d'abord, il juge que les utilisateurs de Facebook n'ont pas donné leur consentement explicite à cette utilisation de leurs données, contrairement à ce que prévoit la directive européenne sur la protection de la vie privée ; et surtout, "ces données ne sont pas hébergées sur le territoire européen mais aux Etats-Unis, et Facebook Irlande [siège européen du réseau social] ne garantit pas une sécurité suffisante à ces données (...). Il n'existe aucune garantie que les forces de l'ordre américaines ou les autorités européennes ne puissent pas accéder à ces informations sensibles sur les citoyens européens", note l'une des plaintes déposées par M. Schrems.
DES "MESURES TECHNIQUES" POUR FACEBOOK
Dans un communiqué, Facebook s'est défendu de toute mauvaise utilisation des données de ses utilisateurs, arguant que les données étaient conservées pour des raisons essentiellement techniques. En ce qui concerne les messages effacés, Facebook explique que "nous permettons aux utilisateurs de supprimer les messages dans leurs dossiers de messages reçus ou envoyés. Mais il n'est pas possible de supprimer un message envoyé de la boîte de réception d'un autre utilisateur, et inversement. Tous les services de messageries jamais inventés fonctionnent comme cela."
L'argument est fallacieux, juge Max Schrems. "Cela peut sembler logique à première vue, explique-t-il au Monde.fr, mais si l'on se réfère à la politique de confidentialité de Facebook, les messages ne sont pas supprimés même si les deux correspondants les ont effacés. Ce n'est pas le cas dans les autres services de messagerie."
Concernant d'autres types de données, le réseau social avance que de nombreuses données transmises à M. Schrems à sa demande "ne sont pas des données personnelles", mais simplement des informations utilisées par Facebook "pour la protection contre la fraude" ou "pour des raisons d'analyse statistique". Facebook utilise notamment l'adresse Internet Protocol (IP, qui permet d'identifier une machine sur le réseau) pour ses services de protection contre le détournement de compte – lorsqu'un utilisateur se connecte depuis une adresse IP située dans un pays inhabituel, par exemple, le réseau social rajoute des questions à la procédure de connexion, afin de limiter les détournements de comptes par des pirates.
"Il ne s'agit clairement pas de données personnelles", affirme Facebook. Pourtant, l'adresse IP, notamment, est considérée par le G29, qui regroupe les autorités de protection de la vie privée européenne, comme une donnée personnelle, bien que divers procès aient abouti, en Europe, à des jurisprudences contradictoires. La révision, en cours, de la directive européenne sur la protection de la vie privée – qui considère comme personnelle toute donnée qui permet l'identification d'une personne – pourrait aboutir dans les prochains mois à une clarification nette du statut de cette information.
Mais pour Max Schrems, la manière dont Facebook définit ce qui constitue une donnée personnelle est ambiguë. "Facebook ne m'a pas transmis l'ensemble de mes informations personnelles. Par exemple, les données d'utilisation du bouton Like sur d'autres sites, ou encore les données de leur fonction de reconnaissance faciale, ne font pas partie du document. Et je soupçonne que mon visage est bien une donnée personnelle", ironise-t-il.
"PROFILS FANTÔMES"
Au-delà des questions de conservation des données de ses utilisateurs, M. Schrems reproche également à Facebook la création de ce qu'il appelle des "profils fantômes" ("shadow profiles"). Par le biais des synchronisations des téléphones ou des carnets d'adresse, Facebook collecte quantité d'informations sur des personnes qui ne sont pas inscrites sur le réseau – et les utilise notamment pour personnaliser les courriels invitant les internautes à rejoindre Facebook.
"En rassemblant ces informations, Facebook crée des profils détaillés de ses utilisateurs comme des non-utilisateurs du service (...). Et il le fait sans prévenir les personnes concernées ; l'utilisateur comme le non-utilisateur voit seulement les effets de cette collecte : les suggestions d'ajout d'amis se basent parfois sur ces informations, tout comme les non-utilisateurs reçoivent des invitations comportant les portraits de personnes qu'ils connaissent dans la vraie vie. Cela signifie que Facebook collecte d'importantes quantités de données sans en informer les personnes et sans leur demander leur consentement", détaille l'une des plaintes.
RISQUES LIMITÉS POUR FACEBOOK
L'instance irlandaise a ouvert une enquête préliminaire sur ces accusations. Mais même si Facebook devait être poursuivi et condamné, le risque financier serait très limité pour l'entreprise : la législation européenne prévoit en effet une amende de 100 000 euros maximum pour ce type d'infraction.
Mais une condamnation pourrait coûter cher, en termes d'image, au plus grand réseau social au monde, qui fait l'objet de plusieurs autres procédures sur d'autres sujets, notamment en Allemagne. L'autorité de protection de la vie privée du Land de Hambourg, qui s'était déjà inquiétée des implications du bouton "Like", a mis en demeure Facebook de modifier, d'ici au 7 novembre, sa fonction de reconnaissance faciale.
Damien Leloup
Source
Aucun commentaire:
Enregistrer un commentaire