Le droit européen est le plus avancé en ce qui concerne la protection des données personnelles. Selon l’article 8 de la charte des droits fondamentaux du 7 décembre 2000, « toute personne a le droit à la protection des données à caractère personnel la concernant […] ces données doivent être traitées loyalement à des fins déterminées et sur la base du consentement de la personne concernée ». Cela suppose donc que toutes les informations concernant le recueil et le traitement des données soient notifiées à la personne concernée, et que cette dernière ait fait part de son accord à ce que ses données soient destinées à de telles fins. Malheureusement certaines entreprises ont une utilisation que l’on pourrait qualifier de « déloyale » à propos des données personnelles. Elles sont d’ailleurs souvent épinglées par les autorités administratives compétentes. Ainsi la CNIL (Commission Nationale de l’Informatique et des Libertés), n’a pas hésité, en décembre 2017, à rappeler à l’ordre la société WhatsApp, qui transférait de façon irrégulière certaines données personnelles vers le réseau social Facebook.
L’oeil attentif du G29 et de la CNIL en matière de données personnelles
La loi française, « Informatiques et libertés » de 1978 a longtemps été un exemple pour toute l’Europe. D’ailleurs la CNIL — qui a été créée par cette même loi — mène une action efficace dans la protection des données personnelles depuis 40 ans. En avance sur son temps, elle s’interrogeait très tôt sur les possibles détournements concernant la finalité d’un traitement et la collecte de données personnelles sur internet, notamment en matière de prospection commerciale. Ainsi, dans sa délibération du 8 juillet 1997, elle s’inquiétait déjà sur de possibles fuites de données personnelles, rappelant qu’un réseau internet « accroit les risques de détournement de la finalité du traitement ». La Commission faisait également allusion à tout traitement à destination des États situés en dehors du territoire européen et qui n’assuraient pas forcément « aux données personnelles un niveau de protection adéquat ».
L’Europe, sur le modèle de la loi française de 1978, assure par sa directive de 1995, sa charte et bientôt son règlement général, un haut niveau de protection et n’hésite pas à affirmer une « attitude impérialiste » lorsque ces données sont destinées à être traitées en dehors du territoire européen. C’est la garantie pour ses citoyens d’un niveau de sécurité adéquat tel que posé par l’article 25 de la directive 95/46/CE .
L’Europe a depuis toujours une grande méfiance à l’égard des responsables de traitements. D’ailleurs le droit européen, très protecteur des données personnelles, est parfois en conflit avec d’autres pays, comme les États-Unis, qui ont une vision beaucoup plus libérale. Faute de disposer d’un modèle unique sur ces problématiques pourtant universelles et transfrontières, on constate fréquemment quelques dérives de multinationales américaines qui sont tentées de procéder à une utilisation irrégulière de ces données. Elles s’estiment, à tort, redevables uniquement de la législation américaine et d’aucune autre.
Même si certaines grandes entreprises ont des filiales implantées en Europe, leur stratégie globale reste ancrée essentiellement sur le sol américain. Quand bien même leurs services seraient uniquement localisés aux Etats-Unis, elles seraient tout de même contraintes de respecter la législation européenne en cas de collecte et de traitement des données en provenance d’Europe. Dans le cas d’une entreprise comme WhatsApp, qui n’a aucun établissement en Europe, la Commission et les instances nationales peuvent fonder leur action sur l’article 4 de la directive de 1995 qui dispose que « Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel ». Le 6 octobre 2015, la Cour de justice de l’Union européenne a invalidé une décision par laquelle la Commission européenne avait constaté un niveau de protection suffisant des données transférées à destination des États-Unis. En conséquence, le G29, qui regroupe les « CNIL » européennes, sera chargé, au cas par cas, d’examiner la validité de chaque transfert en tenant compte d’un niveau de protection « inadéquat » sur le territoire des États-Unis.
Les données personnelles ou le nouvel or noir des GAFA
La plupart des GAFA ont un modèle économique basé essentiellement sur la publicité. Ainsi, pour une firme comme Google, 90% de son revenu global provient du sponsoring publicitaire. Il est dans ce cas plus qu’évident que la moindre petite information collectée sur les utilisateurs, prompt à orienter leurs intentions d’achat, vaut son pesant d’or. On comprend la tentation irrésistible de ces groupes « d’espionner » les consommateurs pour les orienter vers des biens de consommation ciblés.
C’est ce qu’avait compris l’entrepreneur américain Bill Gross dans les années 90, quand il a résolu la difficile équation permettant d’assurer un modèle économique viable aux moteurs de recherche. Les internautes surfant sur internet ne recherchent pas seulement ce qui les intéressent, mais surtout ce qu’ils aimeraient acheter. Dès lors les moteurs de recherche et les réseaux sociaux ont la capacité de se transformer en outils de marché extrêmement puissants. Tout se joue dans la compréhension et l’analyse des requêtes des internautes, Bill Gross disait bien avant tout le monde que « les mots clefs sont l’avenir du commerce ». Sa philosophie va inspirer Larry Page et Sergey Brin, avec le lancement de Google Adwords en 2000. Mark Zuckerberg adoptera plus tard le même « business model » avec son réseau social Facebook. Beaucoup d’applications vont émerger dans ce sens.
D’ailleurs, ces différents outils censés nous faciliter la vie ne feraient-ils pas partie d’une stratégie globale ayant pour seul but de nous vendre des espaces publicitaires ? On peut supposer que c’était la volonté inavouée du service de localisation en continu de Google Maps, pour lequel la CNIL a rendu une délibération le 17 mars 2011. L’application récoltait des « données de géolocalisation » requalifiées par la CNIL en « données à caractère personnel » soumises à l’accomplissement de formalités préalables, le défaut de déclaration et de conformité étant sanctionnés par le Code pénal (article 226-16 CP)
Les GAFA investissent aussi dans l’innovation technologique comme les assistants personnalisés. Ces accessoires cachent parfois quelques surprises. Exemple avec la récente polémique autour de l’accessoire Google Home mini qui enregistrait les conversations de façon permanente. Pourtant on pourrait être surpris qu’une telle fonctionnalité soit présente dans les produits Google quand on connait la devise de la société depuis sa création : « Don’t be evil ». Cette devise signifiait pour les dirigeants qu’« il est possible de gagner de l’argent sans vendre son âme au diable », en d’autres termes, en respectant une certaine forme d’éthique vis-à-vis des consommateurs. Ils se sont d’ailleurs permis de refuser de transmettre au gouvernement américain une copie du registre des internautes en 2006. En 2016, la société Apple refusait elle aussi de déverrouiller un Iphone pour faciliter l’accès au FBI dans une enquête pour terrorisme. En avril 2017, Twitter s’est tenue également de ne pas révéler l’identité d’un compte qui critiquait la politique de Donald Trump de façon virulente.
Les GAFA se vantent alors souvent d’un niveau ultra sécurisé des données utilisateurs, surtout lorsqu’elles touchent directement l’intimité des personnes et leur vie privée. D’autres données, peut-être moins sensibles, mais personnelles quand même, semblent pourtant faire figure de monnaie d’échange et transitent entre différents services, et ce de manière pas toujours très régulière.
Quand Facebook méconnait le consentement et le droit d’opposition
Le réseau social Facebook est un des plus importants du monde avec pas moins d’1,37 milliard d’utilisateurs par jour. Le fait qu’une société soit à ce point ancrée dans notre société est souvent un gage de qualité et de confiance dans l’esprit des consommateurs, et pourtant la CNIL ne cesse d’interpeler cette multinationale pour non respect des ses obligations en matière de données personnelles. Parmi les exemples les plus probants, on peut citer la mise en demeure de la CNIL en date du 09 février 2016. La Commission avait constaté une collecte non loyales des données de navigation des internautes ne disposant pas de comptes Facebook. Ils étaient suivis à leur insu, via des cookies déposés sur leurs terminaux. Cette manoeuvre permet de pister les pages web visitées qui contiennent des notifications Facebook comme le bouton « J’aime » ou « se connecter ». Facebook a pu récolter des données sur les opinions politiques, religieuses et les orientations sexuelles des personnes sans leur consentement. Ainsi Facebook violait allègrement le consentement des personnes assuré par l’article 8 de la loi de 1978 et l’article 8 de la directive européenne de 1995, mais également leur droit à l’information concernant l’identité du responsable de traitement et sa finalité (article 32 loi 1978).
Corrélativement, Facebook ne respectait pas non plus leur droit d’opposition à la combinaison de l’ensemble de ces données récoltées à des fins publicitaires, alors que ce droit est assuré par l’article 38 de la loi de 1978. Il faut logiquement justifier d’un « motif légitime » lors de la manifestation de son opposition, excepté en cas de prospection commerciale où aucune justification particulière n’est nécessaire à la lettre de l’alinéa 2 de l’article 38. Le futur Règlement général européen sur la protection des données (RGPD) abandonnera d’ailleurs cette notion de « motif légitime » au profit de « situation particulière » de la personne (article 21 RGPD). La CNIL a été suffisamment clémente sur ce sujet en accordant à Facebook un délai supplémentaire pour se conformer à la loi. Toutefois, la société sera sanctionnée le 16 mai 2017 pour « nombreux manquements à la loi informatique et liberté ». Le rapporteur public désigné par la CNIL a constaté qu’aucune amélioration probante n’avait été apportée par Facebook concernant le ciblage publicitaire. Les internautes ne bénéficiaient d’aucune prise de contrôle sur la combinaison massive de leurs données personnelles. Les traitements étaient donc toujours effectués en l’absence de base légale. Facebook ne délivrait toujours aucune information quant à la collecte de ces données, de ce fait aucun consentement ne pouvait alors être recueilli.
On peut se demander si Facebook n’a pas joué sur les délais pour gagner du temps en sachant qu’il y aurait tout de même sanction. Sur l’ensemble de l’année fiscale 2016, le chiffre d’affaire de Facebook a augmenté de 54%, pour un bénéfice annuel net record de 10 milliards de dollars, l’amende de la CNIL, elle, s’élève à 150 000 euros. En capacité de paiement, c’est comme si une personne au SMIC devait s’acquitter d’une amende de 21 cents. Une telle sanction, pour un groupe aussi énorme que Facebook, représente donc une punition dérisoire. Avec l’application définitive du règlement européen en mai 2018, les sanctions des États seront un peu plus dissuasives, car selon son article 83, elles pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial.
La Commission européenne, elle, a déjà haussé le ton, en mai 2017, lorsqu’elle a considéré que Facebook avait fourni des renseignements inexacts lors du rachat de WhatsApp, en infligeant une amende de 110 millions d’euros. Plus récemment encore, en juin 2017, elle a prononcé une amende record de 2,42 milliards d’euros à l’encontre de Google pour un tout autre sujet concernant un abus de position dominante.
Quand la nouvelle filiale de Facebook procède à des transferts irréguliers
En 2014, Facebook rachetait WhatsApp, le service de messagerie par VoIP, pour 19 milliards de dollars. Le montant de cette transaction, pour une start-up de ce type, est du jamais vu dans la Silicon Valley. À cette époque, WhatsApp est une petite entreprise qui ne génère pas un grand chiffre d’affaire et pourtant Facebook va investir environ 10% de sa capitalisation boursière dans cette société.
En titre de comparaison, Instagram avait été rachetée 0,7 milliard en 2012, Skype, environ 3 milliards en 2006 et Youtube, 1,6 milliard en 2006. Grâce à ce deal, Facebook gagnait 450 millions d’utilisateurs. À cette époque cette application rivalise réellement avec les services SMS traditionnels, puisque 20 milliards de messages sont échangés chaque jour grâce à WhatsApp. Pari audacieux pour Facebook qui misait sur le potentiel de croissance de ce réseau. Mark Zuckerberg a senti la nécessité d’investir des sommes colossales pour maintenir une dynamique de marché à travers des offres diversifiées. Les dirigeants de Facebook anticipaient d’ailleurs un ralentissement du chiffre d’affaire de leur société mère pour le premier trimestre 2015. En terme de croissance de flux, l’application WhatsApp a été un investissement judicieux, puisqu’elle a atteint aujourd’hui des chiffres vertigineux. Il y aurait désormais 1,3 milliard d’utilisateurs actifs chaque mois et 55 milliards de messages échangés tous les jours.
Financièrement comment amortir un tel achat ? L’investissement en 2014 au ratio du nombre d’utilisateurs est de 40 dollars. Ce qui est énorme en comparaison à d’autres rachats comme Viber, où le coût représentait 3 dollars par utilisateurs. WhatsApp ne disposait pas de modèle économique viable en comparaison à d’autres service de messagerie VoIP comme LINE.
Quel était l’intérêt d’investir dans une application dissociée du site Facebook et qui a un modèle de rentabilité quasi nul ? Et si WhatsApp était en fait une passerelle de Facebook ? Lors de son acquisition en 2014, les dirigeants assuraient à la Commission européenne qu’il n’y aurait pas de mise en correspondance automatisée entre les comptes Facebook et WhatsApp. L’application était connue jusqu’à lors pour sa protection de la vie privée. Elle a d’ailleurs bâti son succès sur cette philosophie. Dans un article du Monde de 2014, on pouvait encore lire que WhatsApp ne collectait aucune donnée.
Les conditions générales d’utilisation et la politique de confidentialité de WhatsApp ont pourtant changé en 2016. L’application a commencé à associer le numéro de téléphone des utilisateurs à leurs profils Facebook. Le 20 décembre 2016, la Commission a adressé une communication des griefs à Facebook. Sans retours satisfaisants, elle a infligé une amende dissuasive de 110 millions d’euros à Facebook le 18 mai 2017. Il y a d’ailleurs des suspicions sur le fait que des métadonnées auraient été transférées bien avant 2016, ce qui a choqué la Commission européenne. Facebook a communiqué sur l’affaire en affirmant que les erreurs commises en 2014 « n’était pas intentionnelles ».
Dans une lettre ouverte, le groupe de travail du G29 exhorte Facebook à se responsabiliser en modifiant ses conditions d’utilisation. Celles-ci ne seraient pas suffisamment lisibles pour les utilisateurs. La protection des données est donc remise en cause, l’application n’étant pas conforme à la législation européenne.
Curieusement, seuls les anciens abonnés pouvaient s’opposer aux transfert de données, mais pas les nouveaux inscrits, qui eux devront aller jusqu’à la suppression de l’application pour pouvoir s’opposer efficacement à la transmission de données.
Selon la CNIL, les habitudes d’utilisation feraient également partie des données récoltées. Peut-on en conclure que Facebook a procédé en fait à une stratégie de monétisation massive de son service de messagerie VoIP ? Les données des 10 millions d’utilisateurs français n’auraient vraisemblablement pas été traitées à des fin publicitaires, de plus le service assure collecter finalement peu d’informations. N’est-ce pas là un pied de nez, de la part de Facebook, à l’article 38 de la loi Informatique et libertés ? Si on enlève à ce transfert la finalité commerciale et le démarchage publicitaire, la revendication du droit d’opposition dépend de l’illustration d’un « motif légitime ». Reste à savoir ce qu’on entend réellement par « motif légitime ».
Toujours est-il que la CNIL a décidé, le 27 novembre 2017, de mettre en demeure Facebook de se conformer à la loi « Informatique et Libertés ». La CNIL reproche en particulier à Facebook un défaut de coopération, alors même que la Commission avait soulevé certaines préoccupations, notamment relatives au fait que les nouveaux inscrits n’avaient aucun moyen de s’opposer au transfert de leurs données à des fin de « business intelligence » . Ce terme signifie que le comportement des utilisateurs est analysé dans le but d’améliorer les performances de l’application, ainsi que son optimisation. Il est donc reproché à WhatsApp de forcer la main des utilisateurs en les obligeant à partager leurs données personnelles pour pouvoir utiliser ce service. Les utilisateurs n’ont pas la capacité d’y consentir de manière suffisamment claire. La finalité du recueillement ne repose alors sur aucune base légale.
Le RGPD devrait bientôt régler un certain nombre de problématiques. Il imposera notamment l’obligation formelle d’informer les utilisateurs avec des termes clairs, simples, concis. Le consentement devra être recueilli par une déclaration ou un acte positif (article 4). Maintenant, faudra-t-il plus qu’une simple case à cocher ?
Pour l’heure, Facebook et WhatsApp ont jusqu’à fin février 2018 pour se conformer à la loi française.
SOURCES :
ANONYME, « Transmission de données de WHATSAPP à FACEBOOK : mise en demeure publique pour absence de base légale », cnil.fr, publié le 18 décembre 2017, consulté le 15 janvier 2018,
<https://www.cnil.fr/fr/transmission-de-donnees-de-whatsapp-facebook-mise-en-demeure-publique-pour-absence-de-base-legale>
USUNIER (L.), « La compétence des juridictions françaises pour connaître du différend entre le réseau social Facebook et l’un de ses membres », RTD Civ., 12 février 2016, p.310.
FOREST (D.), « Facebook interroge la souveraineté numérique », Dalloz IP/IT, 2016, p.263.
LANERET (N.), HAMON (S.), « Quel avenir pour les transferts internationaux ? », Dalloz IP/IT, 2018, p.31.
SCHWYTER (A.), « Ce qu’il faut retenir de la déclaration de guerre de la Cnil à WhatsApp », challenges.fr, publié le 18 décembre 2017, consulté le 15 janvier 2018,