Le champion des réseaux sociaux va rencontrer l’autorité belge de la protection des données dans une cour d’appel de Bruxelles pour une audience de deux jours qui va débuter mercredi. La société y va pour contester l'ordonnance du tribunal de 2018 et la menace d'une amende quotidienne de 250 000 euros si elle ne se conformait pas.
Armé de nouveaux pouvoirs depuis l'introduction de règles plus strictes en matière de protection des données dans l'Union européenne, le groupe de surveillance de la vie privée belge affirme que Facebook « continue de violer les droits fondamentaux de millions de résidents belges». En février 2018, le tribunal de première instance de Bruxelles avait déclaré que Facebook ne fournissait pas aux utilisateurs suffisamment d'informations sur la raison et la manière dont le réseau social collecte des données relatives à leur utilisation Web, encore moins sur l'utilisation de ces informations.
« Facebook utilise ensuite ces informations pour profiler votre comportement de navigation et utilise ce profil pour vous montrer des publicités ciblées, telles que des publicités sur les produits et services de sociétés commerciales, des messages de partis politiques, etc », a déclaré le régulateur belge. .
Le modèle de Facebook attaqué par le régulateur antitrust allemand
Facebook est de plus en plus critiqué en Europe alors que les autorités en charge de la protection de la vie privée cherchent à augmenter le montant des amendes imposées par le nouveau Règlement général sur la protection des données de l'UE.
Les organismes de réglementation antitrust examinent également le réseau social comme l’office fédéral des cartels en Allemagne ; le mois dernier, il a ordonné à Facebook de revoir la manière dont il surveille la navigation sur Internet et les applications pour smartphones de ses utilisateurs.
L'année dernière, l'autorité belge de la protection des données a obtenu la victoire au tribunal lorsqu’elle a attaqué Facebook par rapport à son utilisation de cookies, de plug-ins sociaux (les boutons "J'aime" ou "Partager”) et d’autres technologies sur lesquelles Facebook s’est appuyée pour collecter des données sur le comportement des internautes lors de leurs visites sur d’autres sites.
Les sanctions encourues
Les sanctions administratives sont réparties en deux groupes en fonction de la durée, la nature et la gravité de la violation.
Selon la gravité du dysfonctionnement constaté et lié au RGPD, notamment lorsqu’il s’agit d’un des manquements aux obligations suivantes, une amende d’un montant de 2% du chiffre d’affaires mondial pour les entreprises ou 10 millions d’euros d’amende peut être appliqué :
- les obligations incombant au responsable du traitement et au sous-traitant
- les obligations incombant à l’organisme de certification
- les obligations incombant à l’organisme chargé du suivi des codes de conduite.
Exemples : l’absence de tenue d’un registre des traitements ou l’absence d’analyse d’impact préalable aux traitements des données personnelles.
Dans le cas d’infractions plus graves liées à la mauvaise application ou au non-respect du RGPD, une amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende. Les infractions en question doivent concerner les dispositions suivantes :
- L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles
- Les autres droits des personnes concernées
- Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale
- Toutes les obligations découlant du droit des Etats membres
- Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle.
Exemples : le défaut de consentement dans le cadre du RGPD de la personne concernée par le traitement des données personnelles d’une entreprise, refus de coopérer avec la CNIL après injonctions de celle-ci (exemple : avertissement et mise en demeure de mise en conformité d’un traitement de données au RGPD) ou manque de sécurité et de prudence lors d’un transfert transfrontalier des données personnelles.
Vient alors Clear History
L’affaire Cambridge Analytica a conduit Mark Zuckerberg, le PDG de Facebook, devant plusieurs institutions législatives pour témoigner des pratiques de confidentialité de son entreprise. Parmi ces institutions, il y a le Congrès américain qui a soumis Zuckerberg à une série d’interrogation afin de comprendre la politique d’utilisation des données des utilisateurs. Dans un document de 500 pages publié en juin 2018, Facebook, comme son PDG dans ses différents témoignages, a promis de mener une enquête pour éclaircir son éventuelle implication dans l’affaire Cambridge Analytica tout en continuant à améliorer ses pratiques de confidentialité.
Facebook avait donc brandi de nouveaux outils destinés à appuyer ses pratiques de confidentialité, notamment une fonctionnalité baptisée « Clear History » qui « permettra aux utilisateurs de voir les sites Web et les applications qui envoient des informations à Facebook lorsqu'ils les utilisent. La fonctionnalité permettra également aux utilisateurs de supprimer ces données de leurs comptes et de désactiver pareils échanges avec leurs comptes à l’avenir », avait déclaré la société. Comme son nom l'indique, cette fonctionnalité permet aux utilisateurs d'effacer leur historique de navigation sur le réseau social. La fonctionnalité Clear History avait été annoncée à la conférence annuelle F8 de Facebook pour les développeurs en mai 2018 et devrait être disponible cette année.
« Dans votre navigateur Web, vous disposez d'un moyen simple d'effacer vos cookies et votre historique. L'idée est que beaucoup de sites ont besoin de cookies pour fonctionner, mais vous devriez toujours pouvoir effacer votre historique quand vous le voulez. Nous construisons une version de [cette fonctionnalité] pour Facebook aussi. Ce sera un contrôle simple pour effacer votre historique de navigation sur Facebook - ce sur quoi vous avez cliqué, les sites Web que vous avez visités, et ainsi de suite », a écrit Mark Zuckerberg dans un post sur Facebook. « Cette fonctionnalité vous permet de voir les sites Web et les applications qui nous envoient des informations lorsque vous les utilisez, de supprimer ces informations de votre compte et de désactiver notre capacité à les stocker dans votre compte », explique Erin Egan, Chief Privacy Officer de Facebook, dans un autre post. Il profite également pour préciser que les applications et sites Web qui utilisent des fonctionnalités telles que le bouton « J'aime » ou Facebook Analytics envoient au réseau social des informations pour améliorer son contenu et ses annonces.
En résumé, cette fonctionnalité vise à permettre aux utilisateurs d'isoler Facebook du reste de leur activité de navigation Web. Sa finalité s'apparente donc à celle de l'extension Facebook Container lancée fin mars par Mozilla pour Firefox. Mais contrairement à Clear History qui est utilisé à postériori, c'est-à-dire après que les données sont collectées, la solution de Mozilla veut tout simplement empêcher Facebook de collecter des données sur les utilisateurs alors qu'ils ne sont pas sur son site.
Dans un communiqué, Facebook a dit avoir compris « que les gens veulent plus d'informations et de contrôle sur les données que Facebook reçoit d'autres sites Web et applications qui utilisent nos services ».
« C’est pourquoi nous développons Clear History, qui vous permet de visualiser les sites Web et les applications qui nous envoient des informations lorsque vous les utilisez, déconnectez ces informations de votre compte et désactivez notre capacité à les stocker associées à votre compte. Nous avons également apporté un certain nombre de modifications pour aider les gens à comprendre le fonctionnement de nos outils et à expliquer leurs choix, notamment via nos “mises à jour de confidentialité” ».
L'année dernière, Facebook avait déclaré qu'il avait « travaillé dur pour aider les gens à comprendre comment nous utilisons les cookies pour protéger Facebook et leur montrer un contenu pertinent », et que les cookies et les technologies de suivi qu'il utilise « sont la norme de l'industrie ».
Sources : Le Soir, sanctions en cas du non respect du RGPD
Voir aussi :
Des groupes néonazis autorisés à rester sur le réseau social Facebook au motif de ce « qu'ils ne violent pas les standards de la communauté »
Un Lituanien plaide coupable d'avoir volé plus de 100 millions USD à Google et Facebook et encourt une peine maximale de 30 ans de prison
Facebook a stocké des centaines de millions de mots de passe d'utilisateurs en clair dans des serveurs internes accessibles à ses employés
Facebook est confronté à de nouvelles questions sur le moment où il a eu connaissance de la collecte de données de Cambridge Analytica