Plan du site | Mentions légales | Crédits | Espace rédacteur

Doctorante en droit privé, Université de Paris II. Allocataire-Monitrice, conseil en entreprise. Chargée de travaux dirigés à l’Université de Paris II.

Membre du comité de rédaction de la lettre du CEJEM

Nos mots-clefs

Contenu illicite   Noms de domaine   Signes distinctifs   Lettre du Cejem   Brevet   Marques   Conférences et colloques   Régulation   Professions   Contrats   Droit d’auteur   Vie privée   Au jour le jour   Bases de données   Consommateurs  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

Facebook et vie privée

Mots-clefs :

par Géraldine Criqui, le mardi 5 février 2008

Faut-il encore présenter « Facebook » ? Ce réseau social est le site phénomène de l’année 2007. Ouvert au public le 24 mai dernier, il compte aujourd’hui plus de 60 millions de membres dont près d’un million de français [1].

Pas un média qui n’ait relaté la success-story de ce site crée à l’origine par un étudiant de Harvard, Mark Zuckerberg, pour mettre en relation les étudiants de son campus. Pas un média non plus n’a cependant manqué de faire état des craintes des utilisateurs de ce site, qui, de par son développement, est désormais bien plus qu’un simple trombinoscope étudiant.

Le principe même d’un réseau social est de dévoiler ses données personnelles. La question est de savoir si, une fois inscrit, l’utilisateur reste maître de ces dernières. L’interface Facebook permet-elle un niveau de protection adéquat des données personnelles et le respect de la vie privée ?

La problématique ainsi formulée sous-tend une culture juridique française ou encore européenne. Vient à l’esprit l’article 1er de la loi informatique et libertés [2] :« L’informatique doit être au service de chaque citoyen. [...] Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Cependant le site Facebook est une société américaine et la première question à se poser est donc bien celle-là : la législation européenne plus protectrice des données personnelles que celle en vigueur aux Etats-Unis, et notamment la loi informatique et libertés française, peut-elle s’appliquer au site ?

On peut donner à cette question une réponse positive, le site étant accessible en France. La collecte de données est réalisée sur le territoire français. Dès lors les conditions de l’article 5 de la loi informatique et libertés sont remplies, et la législation française doit donc s’appliquer.

Toutefois, les conditions d’utilisation (terms of use) de Facebook précisent que l’utilisateur consent à voir ses données personnelles traitées et transférées aux Etats-Unis [3] . La logique est alors autre. Le site pour être en règle avec la législation européenne [4] doit présenter un niveau de protection adéquat. Facebook, pour ce faire, a adhéré au « Safe Harbor », un accord entre la commission européenne et les autorités américaines signé en 2000 [5].

La question reste complexe et illustre la nécessité d’un texte international contraignant. Toujours est-il que Facebook doit donc au minimum respecter des principes de protection des données personnelles basés sur ceux de la directive européenne de 1995, principes qui guident également la législation française.

Les données doivent être traitées en toute loyauté et de manière transparente. L’utilisateur doit être informé de la finalité du traitement et de l’usage qui est fait de ses données. Il doit pouvoir y avoir accès pour les rectifier ou demander leur suppression. Facebook respecte-il ces principes ?

Le profil d’un individu sur le réseau consiste au minimum en ses noms et prénoms (qui peuvent être fantaisistes-l’usurpation d’identité est dès lors possible - ou consister en un pseudonyme-au détriment cependant de sa visibilité sur le réseau) et sa date de naissance.

Les paramètres par défaut ne permettent pas à tous les utilisateurs de Facebook de visualiser ce profil. Il est accessible uniquement aux amis de l’utilisateur, que ce dernier les ait invités ou ait répondu à une invitation. Invitation rendue possible, dès lors que l’inscription au réseau vous inclue automatiquement dans son moteur de recherche interne. Il est cependant possible de modifier ce paramètre en cliquant sur l’onglet « privacy ».

Tout l’art de protéger sa vie privée sur Facebook est là, dans la capacité à savoir paramétrer son profil. Tout est paramétrable. Encore faut-il comprendre les fonctionnalités d’un site totalement rédigé en anglais. « L’utilisateur ne maîtrise pas assez ces nouveaux outils et il apprend trop souvent à s’en servir à ses dépens » nous dit la CNIL dans une brève publiée sur son site le 16 janvier 2008 intitulée « Facebook et vie privée, face à face » [6].

Le site doit donc améliorer l’information des utilisateurs pour que le droit d’accès et de rectification soit pleinement effectif. Il doit ensuite, et c’est ce que lui a demandé la CNIL qui a rencontré ses responsables cet automne, préciser sa position sur les deux points sensibles de tout traitement de données : la durée de conservation et l’usage des données.

Beaucoup d’inquiétudes en effet naissent à la lecture de la politique de respect de la vie privée (privacy policy) [7]du site quant à la durée de conservation des données ; le droit à l’oubli étant une notion absente ou presque de cette dernière.

Ainsi il est indiqué à plusieurs reprises que toute modification du profil n’est pas définitive, l’ancienne version étant conservée « for a reasonable period » par le site dans ses archives ou en cache. Une photo par exemple, même supprimée, vient donc gonfler les archives du site ; photo, dont il faut le rappeler, la mise en ligne vous a engagé à en céder la licence perpétuelle à Facebook.

De même il est précisé que la fermeture d’un compte n’entraîne pas, là encore, sa suppression définitive. Les données sont conservées et le compte pourra être réactivé par l’utilisateur. A tout moment ? Non. La « privacy policy » le précise bien : les données du compte inactif sont conservées « for a reasonable period ».

Cela manque toutefois de précisions, et le sentiment d’une conservation longue des données qui permet à l’utilisateur de réactiver son compte à tout moment est bien là.

Ce flou est d’autant plus préoccupant au regard de la masse des données collectées et de l’usage que le site en fait.

Rappelons d’abord que le site conserve les données personnelles que l’utilisateur a souhaité dévoiler mais également les adresses e-mail des personnes qu’il a voulu inviter que celles-ci aient répondu ou non à l’invitation. Autrement dit, le site détient des données personnelles d’individus qui ne sont même pas inscrits sur le site.

Le site précise également, toujours dans sa « privacy policy » qu’il peut utiliser d’autres sources comme des journaux, des blogs ou des logiciels de messagerie instantanée pour récolter d’autres informations sur ses utilisateurs.

Or récemment, Facebook a dévoilé son intention d’utiliser les données collectées à des fins commerciales. Cette patrimonialisation des données personnelles doit être encadrée et reposer sur le consentement des utilisateurs.

Consentement qui devra être clairement demandé. Il convient de préciser cette exigence de clarté dès lors qu’elle n’est pas toujours remplie par le site. En effet, actuellement, Facebook propose une multitude d’applications, qui font l’intérêt du site, ou tout du moins, qui sont plébiscitées par ses utilisateurs. Elles permettent par exemple de comparer ses goûts cinématographiques avec ses amis, ou de jouer au poker en ligne avec eux.

Ces applications sont proposées par des sites tiers et lorsque l’utilisateur les installe, il accepte de permettre l’accès des informations données à Facebook à ces derniers qui ont leur propre politique de traitement de données. Cette acceptation se fait automatiquement dès lors que la case « Allow this application to know who i am and access my information » est déjà cochée. L’utilisateur ne lit pas les conditions et clique simplement sur ajouter cette application. On ne peut que regretter cette passivité.

Ainsi, Facebook est une gigantesque arborescence, dont la plupart des utilisateurs ignore l’étendue. La vigilance des autorités compétentes mais aussi l’information du plus grand nombre s’imposent donc.

Géraldine CRIQUI

Notes

[1] SANZ Didier « Ce qu’il faut retenir de 2007 et attendre de 2008 », Le figaro.fr, le 2 janvier 2008

[2] Loi n°2004-801 du 6 Août 2004, JO n°182 du 7 Août 2004, p.14063

[3] Conditions d’utilisation disponibles à cette adresse : www.facebook.com/terms.php

[4] Dir. 95/46/CE du 24 octobre 1995, JOCE n° L 281 du 23 novembre 1995, p.0031-0050

[5] Safe harbor privacy principles issued by the US dept. of commerce on july 21, 2000 disponibles à cette adresse : www.export.gov/safeharbor/SH...

[6] Brève disponible sur la page d’accueil du site de la CNIL : www.cnil.fr

[7] « Privacy policy » disponible à cette adresse : www.facebook.com/policy.php