B) la charte de confidentialité de Facebook
est-elle conforme à la législation européenne ?
1. Europe vs Facebook : comment un étudiant a mis
à jour les violations de la vie privée perpétrées
par le plus puissant des réseaux sociaux
En Octobre 2011, l'Autorité de protection de la
vie privée Irlandaise avait ouvert une enquête sur Facebook,
après le dépôt de vingt-deux plaintes différentes
par un étudiant en droit Autrichien. Max Schrems accusait le
réseau social d'avoir conservé des informations qu'il
avait
27
d'abord publiées puis effacées. Il
soupçonnait également Facebook de créer des "profils
fantômes" rassemblant des informations sur des personnes n'ayant pas
créé de comptes. Le jeune homme avait alors décidé
de demander à Facebook une copie de l'ensemble des données que le
réseau social détenait à son sujet, conformément
à la législation européenne. Il a alors reçu un
document de plus de mille deux-cent pages, avec des informations sur
près de soixante sujets : l'intégralité de ses discussions
instantanées, ses statuts, ses demandes d'amis, ou encore l'ensemble des
événements auxquels il avait participé. À la
lecture du document, il avait pu constater que les informations qu'il avait
pourtant effacées restaient stockées sur les serveurs - notamment
des messages privés dont le contenu pourrait lui porter
préjudice. Il a alors créé avec des amis le site Europe vs
Facebook, détaillant les procédures entreprises en justice
à l'encontre du réseau, et incitant les internautes à
demander à recevoir eux aussi l'ensemble de leurs données, en
leur fournissant la marche à suivre.
Le fait que Facebook conserve ces données sur
le long terme pose plusieurs problèmes. Tout d'abord, il apparaît
manifeste que les utilisateurs n'ont pas donné leur consentement
explicite à cette conservation, contrairement à ce que
prévoit la directive européenne sur la protection de la vie
privée63 ; et surtout, ainsi que le note l'une des plaintes
déposées, "ces données ne sont pas hébergées
sur le territoire européen mais aux Etats-Unis, et Facebook Irlande
(siège européen du réseau social) ne garantit pas une
sécurité suffisante à ces données (...). Il
n'existe aucune garantie que les forces de l'ordre américaines ou les
autorités européennes ne puissent pas accéder à ces
informations sensibles sur les citoyens européens".
Dans un communiqué64, Facebook s'est
défendu de toute mauvaise utilisation des données de ses
utilisateurs, arguant qu'elles n'étaient conservées que pour des
raisons techniques. En ce qui concerne les messages effacés, Facebook
explique : "nous permettons aux utilisateurs de supprimer les messages dans
leurs dossiers de messages reçus ou envoyés. Mais il n'est pas
possible de supprimer un message envoyé de la boîte de
réception d'un autre utilisateur, et inversement. Tous les services de
messageries jamais inventés fonctionnent comme cela".
L'argument est fallacieux, comme l'explique Max
Schrems : "Cela peut sembler logique à première vue mais si l'on
se réfère à la politique de confidentialité de
Facebook, les messages ne sont pas supprimés même si les deux
correspondants les ont effacés. Ce n'est pas le cas dans les autres
services de messagerie". Ainsi les pratiques perpétrées par le
réseau social Facebook se sont avérée non respectueuses de
la législations européenne, qu'il tente à de nombreuses
reprises de
63 Directive 95/46/CE 30 "pour être licite, un
traitement de données à caractère personnel doit en outre
être fondé sur le consentement de la personne
concernée"
64 Facebook Ireland Ltd, "Report of Audit", 21 December
2011
28
contourner. La directive 95/46/CE s'est dans cette
affaire révélée non efficace, puisque les mesures mises en
place pour protéger les utilisateurs ne sont pas
respectées.
| 
