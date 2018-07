publié le 24/04/2018 à 16:54

Facebook l'avait promis. Après la tourmente Cambridge Analytica, le plus grand réseau social au monde s'était engagé à appliquer le Règlement général de protection des données personnelles européen en Europe tout en laissant la porte ouverte à son déploiement au reste du monde. La nouvelle législation européenne, qui entrera en vigueur le 25 mai, instaure un cadre plus contraignant pour les entreprises dans la collecte, la conservation, le traitement et la sécurisation des données collectées auprès des résidents européens. Elle prévoit des sanctions financières pouvant aller jusqu'à 4% du chiffre d'affaires annuel pour les contrevenants.



Censées mieux protéger la vie privée en ligne des internautes, ces nouvelles règles ont rencontré un écho favorable aux États-Unis après le scandale de l'utilisation abusive des données de plus de 80 millions d'utilisateurs de Facebook par une société de marketing britannique travaillant pour la campagne électorale de Donald Trump. Pressé de questions par les parlementaires américains au Congrès, Mark Zuckerberg a même infléchi son discours et vanté les vertus du texte le 11 avril, "un pas très positif pour l'Internet en général", selon lui. Quelques jours plus tôt, il assurait pourtant qu'il n'avait pas vocation à être appliqué au-delà de l'Europe.

Désireux de soigner son image écornée par l'affaire Cambridge Analytica, Facebook a redoublé d'efforts pour rassurer ses utilisateurs européens. La société s'est payée des publicités dans la presse pour faire la promotion du RGPD et annoncé le 18 avril l'arrivée de nouveaux paramètres de confidentialité en Europe pour se conformer au texte. Un mois après l'éclatement de l'affaire Cambridge Analytica, le réseau social y voyait "une opportunité d'investir encore plus dans la vie privée" et faisait part de sa volonté "d'aller au-delà de [ses] obligations pour construire de nouvelles expériences de confidentialité améliorées pour tout le monde entier sur Facebook".

Depuis quelques jours, les utilisateurs européens de Facebook sont invités à accepter les nouvelles conditions d'utilisation. Dans le cadre du RGPD, le réseau social doit obtenir leur consentement pour pouvoir utiliser leurs données personnelles. Mais la façon dont la plateforme les invite à valider ces changements sème le doute sur sa volonté de respecter le nouveau cadre européen. Plusieurs points sont problématiques.

Difficile de refuser l'option de reconnaissance faciale

Facebook profite de la mise en conformité avec le RGPD pour réintroduire une option de reconnaissance faciale controversée. Selon le réseau social, cette fonctionnalité permet au site de comprendre lorsque les utilisateurs apparaissent dans des photos et des vidéos et de les protéger contre l'usurpation d'identité. Sauf que Facebook avait dû supprimer l'option en 2012 dans l'Union européenne, faute d'avoir pu fournir suffisamment de garanties aux autorités locales concernant le consentement des utilisateurs pour la collecte de leurs données personnelles.



Six ans plus tard, le consentement libre et éclairé des utilisateurs semble respecté. L'option, désactivée par défaut, requiert une action volontaire de l'utilisateur et son refus ne l'oblige pas à supprimer son profil, souligne sur son blog Lionel Maurel, juriste et membre de La Quadrature du Net. L'association de défense des droits et libertés des citoyens en ligne a lancé récemment un appel à signature pour déposer des plaintes collectives contre les GAFAM et dénoncer leur modèle économique.



Cela dit, Facebook semble faire tout son possible pour influencer le choix de ses utilisateurs. La présentation des informations par la plateforme les incite fortement à activer l'option. Le bouton "accepter et continuer" est davantage mis en avant que le bouton de gestion des paramètres de données menant au refus. Si l'utilisateur souhaite s'opposer à la fonctionnalité, pas moins de cinq écrans intermédiaires lui seront proposés, avec plusieurs rappels de l'intérêt représentée par l'option. Les utilisateurs l'ayant activée par erreur, peuvent toujours la désactiver à cette adresse.

Il faut 5 clics, et surmonter des formulations parfaitement ambiguës, larmoyantes ou intimidantes, pour s'opposer à l'arrivée de la reconnaissance faciale sur Facebook. #RGPD pic.twitter.com/szvNsAZEw0 — Benjamin Ferran (@benjaminferran) April 13, 2018

La réintroduction de cette fonctionnalité est déjà dans le viseur du G29, le groupement des Cnil européennes, qui a posé un certain nombre de questions à Facebook dans un courrier daté du 11 avril. "La reconnaissance faciale est proposée pour trois usages aux utilisateurs : la suggestion de tags, le passage en revue des photos de la base de données générale et celui des photos de profil pour lutter contre l'usurpation d'identité. Ce sont trois fonctionnalités différentes. On a demandé à Facebook comment il comptait procéder à une collecte de données distinctes pour chacune d'entre elle", explique à RTL Futur Régis Chatellier, chargé d'études prospectives à la Cnil.



La validité du consentement en question

Facebook ne se contente pas de forcer la main de ses utilisateurs pour activer la reconnaissance faciale. L'acceptation globale des nouvelles conditions d'utilisation du service, et notamment la partie consacrée au partage de données entre Facebook et ses filiales Instagram, Oculus et WhatsApp, ne laisse pas d'autre choix à l'internaute que de valider ou de supprimer son profil. Facebook indique que l'utilisateur dispose de "plusieurs options" s'il ne souhaite pas accepter les changements. En réalité, le site lui propose simplement de télécharger ses données hébergées sur les serveurs de la société, conformément au droit à la portabilité prévu dans le RGPD.

« Vous avez plusieurs options » ¿¿¿¿ pic.twitter.com/iVSjFozR5f — Benjamin Hue (@benjaminhue) April 20, 2018

Sur son blog, le juriste de La Quadrature du Net, Lionel Maurel, dénonce un "chantage au service" qui avait déjà été reproché au réseau social par la Cnil fin décembre, lors d'une mise en demeure concernant le partage de données entre Facebook et WhatsApp.



"Le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes si elle ne donne pas son consentement. (...) Le refus de la personne concernée de donner son consentement à la transmission de ses données s’accompagne nécessairement d’une conséquence négative importante puisqu’elle sera contrainte de supprimer son compte et ne pourra utiliser l’application WhatsApp", écrivait l'instance à l'époque.

70% des utilisateurs privés du droit européen

Enfin, lors d'une conférence de presse téléphonique début avril puis lors de son audition au Congrès, Mark Zuckerberg avait laissé entendre qu'il pourrait étendre les principes du RGDP au reste du monde. Le réseau social est pourtant en passe d'opérer un tournant surprenant. Comme l'a révélé Reuters le 19 avril, Facebook prévoit de transférer la responsabilité du traitement des informations de 70% de ses utilisateurs vers les États-Unis, où la réglementation est plus souple.



Jusqu'ici, lorsqu'ils s'inscrivaient sur le réseau social, les utilisateurs résidant en Asie, en Afrique, en Amérique Latine en Océanie acceptaient les conditions de Facebook Ireland Limited, l'antenne irlandaise de l'entreprise créée en 2008 pour profiter de la fiscalité avantageuse de l'Irlande.



Ces quelque 1,5 milliard d'utilisateurs dépendront bientôt du siège social de Facebook à Menlo Park, en Californie, sous l'égide du droit américain. Le traitement des informations incombera à Facebook Inc. et les recours devront être portés devant les autorités américaines. Plus des trois quarts des utilisateurs du réseau social seront privés des principes de protection instaurés par le RGDP européen. Une manœuvre légale sur le plan juridique, le texte ayant vocation à s'appliquer localement seulement, qui n'adresse pas forcément le meilleur signal au monde sur le plan moral après l'affaire Cambridge Analytica.