Vie privée : Facebook dépasse les bornes... et viole la loi ? (MAJ)

Mise à jour : précisions juridiques sur le consentement préalable et son caractère obligatoire.

Il faudra certainement que les autorités haussent le ton devant le nombre de problèmes causés par les réseaux sociaux dans la violation de la vie privée. Et il faudra qu'elles aient les épaules solides, face aux Facebook et autres Google qui estiment que l'abandon de leur vie privée par les internautes est un moteur de croissance pour ces entreprises, et pour la société tout entière. Dernier exemple en date : Facebook Connect.

Le protocole d'identification de Facebook permet à des applications de sites tiers d'utiliser la base de données des identifiants de Facebook, pour faciliter l'inscription. Dès lors que vous êtes inscrits sur Facebook, vous pouvez vous connecter sans inscription préalable sur tous les sites qui utilisent le protocole. Lesquels, parce qu'ils souhaitent aussi connaître des informations sur l'utilisateur et les exploiter, demandent à avoir accès aux informations publiques de chaque profil : nom, photos, groupes, amis, activité professionnelle...

Plus le système est ouvert, plus les éditeurs de sites tiers sont incités à utiliser Facebook Connect pour avoir immédiatement accès à une quantité importante d'informations sur l'utilisateur, qu'ils viennent à leur tour enrichir. C'est gagnant-gagnant, y compris pour l'utilisateur qui y voit un moyen simple de s'identifier sur plusieurs sites avec les mêmes identifiants, sans avoir à s'inscrire à chaque fois et remplir les mêmes informations.

Sauf que dans sa grande bonté, Facebook a été trop loin. Alors que les utilisateurs doivent en principe dire s'ils sont d'accord pour que le site tiers accède aux informations personnelles, "pour certains sites Internet tiers, l'authentification de Facebook sera en mode opt-out, c'est-à-dire pré-approuvée par le réseau et non par le membre", rapporte Clubic. "S'il souhaite protéger ses informations personnelles ce dernier devra donc prendre connaissance de cette liste de sites web et manuellement restreindre l'authentification pour chacun d'entre eux".

En Europe, le Parlement Européen a imposé le principe de l'opt-in pour protéger la vie privée des internautes, à l'occasion de la lutte contre le spam. Un commerçant ne peut pas, par exemple, précocher une case l'autorisant à transmettre l'adresse e-mail à des partenaires. Pour transmettre des données personnelles à des fins de prospection, les éditeurs doivent avoir reçu au préalable le "consentement" de l'internaute, qui en France est défini par l'article 34-5 du code des postes et communications comme "toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnelle la concernant soient utilisées à fin de prospection directe". Or la CNIL s'est montrée très stricte, puisqu'elle exige que la liste des partenaires soit explicitement communiquée aux internautes avant qu'ils donnent leur consentement.

Cette disposition ne vaut toutefois que pour la "prospection directe" par courrier, et peut donc ne pas s'appliquer à Facebook. Cependant, un principe général de consentement éclairé est transversal à la loi informatique et libertés. Il impose de connaître de manière précise la ou les personnes à qui sont ou seront transférées les données qui font l'objet d'un traitement. Or lorsque les conditions d'utilisation de Facebook indiquent aux utilisateurs Français que "nous devons occasionnellement fournir des informations générales à propos de vous à des sites web et à des applications pré-approuvées qui utilisent notre plate-forme avant même que ne vous vous y connectiez formellement", le consentement n'est pas éclairé puisque la formulation reste beaucoup trop floue. Il faudrait connaître au préalable la liste des "applications pré-approuvées", et non a posteriori. Ou alors le consentement n'est pas valide.

Il n'y a donc pas besoin de renforcer la loi, mais simplement de la faire appliquer. Et éviter de plier en acceptant de changer la loi, comme l'espère Facebook, qui a rejoint en France l'ASIC pour plaider sa cause sur ce point.