Jusqu’où appliquer les avancées conférées par le Règlement général sur la protection des données, dont l’application surviendra à partir du 25 mai 2018 ? Faut-il se limiter au territoire européen, puisqu’il s’agit d’un texte de l’Union, ou bien doit-on en faire profiter d’autres continents, même si ce cadre ne les concerne pas ? Sur le papier, ce texte ne doit en effet s’appliquer que dans les États membres de l’UE.
Au départ, Facebook n’entendait de toute évidence pas appliquer les dispositions du Règlement au-delà du Vieux Continent, que ce soit le consentement, la portabilité des données ou l’inscription autonome des mineurs à partir d’un certain âge. C’est ce que son patron, Mark Zuckerberg, déclarait début avril lors d’une interview : le réseau social n’avait pas prévu d’appliquer de façon mondiale et uniforme le RGPD.
La position initiale de Facebook est juridiquement justifiée : pour quelle raison la firme devrait-elle appliquer du droit européen partout dans le monde ? Pour le formuler autrement, pourquoi Facebook devrait-il faire du droit international avec des principes de droit régional ? Si d’autres régions ou pays veulent bénéficier de règles protectrices, il leur revient de les créer.
Sauf qu’entre temps, le scandale Cambridge Analytica est passé par là. Cette société a été placée dans la lumière médiatique pour ses pratiques en matière de données personnelles : elle a en effet profité des réglages laxistes de Facebook pour aspirer des informations sur des millions de membres du site communautaire sans les avertir, sous un prétexte de recherche sous la forme d’un quiz.
Cette société spécialisée dans l’analyse de données est notamment accusée d’avoir pris ces renseignements pour ensuite les revendre à des fins politiques. Or, il est apparu que Facebook avait été au courant dès 2015 des agissements de Cambridge Analytica, mais qu’il n’a pas beaucoup œuvré pour s’assurer que le surplus de données récupéré par ce quiz avait bien été détruit.
« Je trouve que le RGPD est très positif »
Dès lors, sous la pression de l’opinion publique, qui a été prise à rebrousse-poil avec ces révélations, le réseau social a commencé à changer de discours sur le RGPD. « Je trouve que le RGPD est très positif », a ainsi affirmé Mark Zuckerberg, ajoutant « qu’il faut d’ailleurs noter que les changements dans la confidentialité que nous allons déployer ne concernent pas que l’Europe, mais le monde entier ».
Le 10 avril, alors qu’il prenait la parole sur le RGPD dans le cadre d’une audition plus générale au Sénat des États-Unis, le PDG de Facebook avait simplement déclaré que « tout le monde mérite une bonne protection des données », mais qu’il fallait penser aux « sensibilités » des différents pays. Ainsi, il a dit que le cadre américain « sera relativement différent ».
Le RGPD a une portée locale
Pour le dire autrement, Mark Zuckerberg avait alors reconnu que les mesures de protection de la vie privée organisées par le RGPD ne seraient pas entièrement étendues aux États-Unis ni au Canada. Seuls certains aspects du texte pourraient être déployés partout. Logique : rien n’oblige légalement Facebook à appliquer les règles du droit de l’Union européenne hors de celle-ci.
Comme le rappelle l’article 3 consacré au champ d’application territorial, le Règlement n’a vocation à s’appliquer qu’aux personnes se trouvant sur le territoire de l’Union et cela même si le responsable du traitement est établi à l’étranger, tant qu’il offre des biens ou des services aux personnes concernées. Libre aux entreprises qui le souhaitent de faire plus, mais elles n’ont aucune obligation en la matière.
1,5 milliard d’internautes hors RGPD
Et si Facebook a promis d’appliquer les mesures relatives à la protection des données en Europe « au monde entier », Reuters, la société américaine a estimé que le gros contingent de sa communauté ne bénéficiera pas du RGPD en tant que loi : cela concerne environ 1,5 milliard de membres vivant en Afrique, en Asie, en Australie et en Amérique latine. Pour traduire cet objectif, la société prévoit de transférer aux États-Unis le cadre juridique qui s’applique actuellement à eux — ce qui ne veut pas dire que de nouvelles options de confidentialité ne seront pas déployées comme prévu, simplement que Facebook se donne la liberté de ne pas être contraint de le faire.
« Les membres de Facebook en dehors des États-Unis et du Canada, qu’ils le sachent ou non, sont actuellement régis par les conditions de service convenues avec le siège international de la société en Irlande », écrit ainsi Reuters. Seule une poignée — d’environ 500 millions d’internautes tout de même — en bénéficiera, intégralement dans l’Union et au moins partiellement en Amérique du Nord.
De quoi décevoir les internautes du monde, qui auraient bien aimé bénéficier en profiter pleinement ? Sans doute. En se plaçant sur un plan moral, la politique de Facebook à l’égard du RGPD peut se discuter. Mais ce n’est pas sur ce plan que les règles du jeu sont fixées : c’est au niveau du droit. Certes, la pression de l’opinion a conduit Facebook à laisser le RGPD avoir des effets en Amérique du Nord. Mais si les laissés pour compte veulent que cela change, c’est vers leur législateur qu’il faut se tourner. Et à lui de prendre ses responsabilités.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.