Alors que l’application du Règlement général sur la protection des données surviendra le 25 mai en Europe, des appels se font entendre pour demander à Facebook d’étendre la portée de ce texte au reste du monde. Mais légalement, rien ne l’y oblige.

Jusqu’où appliquer les avancées conférées par le Règlement général sur la protection des données, dont l’application surviendra à partir du 25 mai 2018 ? Faut-il se limiter au territoire européen, puisqu’il s’agit d’un texte de l’Union, ou bien doit-on en faire profiter d’autres continents, même si ce cadre ne les concerne pas ? Sur le papier, ce texte ne doit en effet s’appliquer que dans les États membres de l’UE.

Au départ, Facebook n’entendait de toute évidence pas appliquer les dispositions du Règlement au-delà du Vieux Continent, que ce soit le consentement, la portabilité des données ou l’inscription autonome des mineurs à partir d’un certain âge. C’est ce que son patron, Mark Zuckerberg, déclarait début avril lors d’une interview : le réseau social n’avait pas prévu d’appliquer de façon mondiale et uniforme le RGPD.

CC Flickr Anthony Quintano

CC Flickr Anthony Quintano

La position initiale de Facebook est juridiquement justifiée : pour quelle raison la firme devrait-elle appliquer du droit européen partout dans le monde ? Pour le formuler autrement, pourquoi Facebook devrait-il faire du droit international avec des principes de droit régional ? Si d’autres régions ou pays veulent bénéficier de règles protectrices, il leur revient de les créer.

Sauf qu’entre temps, le scandale Cambridge Analytica est passé par là. Cette société a été placée dans la lumière médiatique pour ses pratiques en matière de données personnelles : elle a en effet profité des réglages laxistes de Facebook pour aspirer des informations sur des millions de membres du site communautaire sans les avertir, sous un prétexte de recherche sous la forme d’un quiz.

Cette société spécialisée dans l’analyse de données est notamment accusée d’avoir pris ces renseignements pour ensuite les revendre à des fins politiques. Or, il est apparu que Facebook avait été au courant dès 2015 des agissements de Cambridge Analytica, mais qu’il n’a pas beaucoup œuvré pour s’assurer que le surplus de données récupéré par ce quiz avait bien été détruit.

L'affaire Cambridge Analytica avait éclaté en mars 2018. // Source : Book Catalog / Flickr

L'affaire Cambridge Analytica avait éclaté en mars 2018.

Source : Book Catalog / Flickr

« Je trouve que le RGPD est très positif »

Dès lors, sous la pression de l’opinion publique, qui a été prise à rebrousse-poil avec ces révélations, le réseau social a commencé à changer de discours sur le RGPD. « Je trouve que le RGPD est très positif », a ainsi affirmé Mark Zuckerberg, ajoutant « qu’il faut d’ailleurs noter que les changements dans la confidentialité que nous allons déployer ne concernent pas que l’Europe, mais le monde entier ».

Le 10 avril, alors qu’il prenait la parole sur le RGPD dans le cadre d’une audition plus générale au Sénat des États-Unis, le PDG de Facebook avait simplement déclaré que « tout le monde mérite une bonne protection des données », mais qu’il fallait penser aux « sensibilités » des différents pays. Ainsi, il a dit que le cadre américain « sera relativement différent ».

ZuckerbergCongrès

Mark Zuckerberg devant le congrès américain.

Source : Capture d'écran YouTube

Le RGPD a une portée locale

Pour le dire autrement, Mark Zuckerberg avait alors reconnu que les mesures de protection de la vie privée organisées par le RGPD ne seraient pas entièrement étendues aux États-Unis ni au Canada. Seuls certains aspects du texte pourraient être déployés partout. Logique : rien n’oblige légalement Facebook à appliquer les règles du droit de l’Union européenne hors de celle-ci.

Comme le rappelle l’article 3 consacré au champ d’application territorial, le Règlement n’a vocation à s’appliquer qu’aux personnes se trouvant sur le territoire de l’Union et cela même si le responsable du traitement est établi à l’étranger, tant qu’il offre des biens ou des services aux personnes concernées. Libre aux entreprises qui le souhaitent de faire plus, mais elles n’ont aucune obligation en la matière.

rgpd-fb

Facebook ajuste ses réglages pour les conformer au RGPD.

1,5 milliard d’internautes hors RGPD

Et si Facebook a promis d’appliquer les mesures relatives à la protection des données en Europe « au monde entier », Reuters, la société américaine a estimé que le gros contingent de sa communauté ne bénéficiera pas du RGPD en tant que loi : cela concerne environ 1,5 milliard de membres vivant en Afrique, en Asie, en Australie et en Amérique latine. Pour traduire cet objectif, la société prévoit de transférer aux États-Unis le cadre juridique qui s’applique actuellement à eux — ce qui ne veut pas dire que de nouvelles options de confidentialité ne seront pas déployées comme prévu, simplement que Facebook se donne la liberté de ne pas être contraint de le faire.

« Les membres de Facebook en dehors des États-Unis et du Canada, qu’ils le sachent ou non, sont actuellement régis par les conditions de service convenues avec le siège international de la société en Irlande », écrit ainsi Reuters. Seule une poignée — d’environ 500 millions d’internautes tout de même — en bénéficiera, intégralement dans l’Union et au moins partiellement en Amérique du Nord.

De quoi décevoir les internautes du monde, qui auraient bien aimé bénéficier en profiter pleinement ? Sans doute. En se plaçant sur un plan moral, la politique de Facebook à l’égard du RGPD peut se discuter. Mais ce n’est pas sur ce plan que les règles du jeu sont fixées : c’est au niveau du droit. Certes, la pression de l’opinion a conduit Facebook à laisser le RGPD avoir des effets en Amérique du Nord. Mais si les laissés pour compte veulent que cela change, c’est vers leur législateur qu’il faut se tourner. Et à lui de prendre ses responsabilités.

une comparateur meilleur vpn numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !