La protection des données par les réseaux sociaux, comme Facebook, constitue un enjeu important.
Avec plus de 60 millions de membres dont un million de Français, Facebook est présenté par le Figaro comme le de réseau social de l’année 2007.Constitué en 2004 pour les étudiants de l’université de Harvard, ce web est ouvert à tous depuis le 24 mai 2007. Il tient son nom de l’album photo (facebook en anglais) comportant les photos des étudiants et distribué aux étudiants en fin d’année.
Grâce aux données personnelles communiquées par l’utilisateur (état civil, études, centres d’intérêt) dans la page de profil, le permettra à l’utilisateur d’entrer en contact gratuitement avec d’autres utilisateurs (amis et réseaux de personnes constitués autour de la région, de l’école ou université, de l’entreprise ou de centres d’intérêt définis par l’utilisateur) et de partager avec eux divers documents multimédias (films, photos, textes…).
De nombreuses fonctionnalités optionnelles sont proposées par Facebook à l’utilisateur dans sa page de profil et enrichissent les utilisations possibles du site.
L’application « FacebookBeacon » mise en place en novembre 2007, qui a récemment défrayé la chronique, permet aux amis ou aux réseaux de l’utilisateur d’avoir connaissance des actes (achat, jeu…) accomplis par l’utilisateur auprès des sites tiers partenaires de Facebook. La publicité de produits ou services se réalise ici par le biais des réseaux et non directement par l’annonceur.
De façon générale, les données personnelles constituent une manne en ce qu’elles vont permettre une publicité ciblée compte tenu du profil de l’utilisateur. Ladite publicité assure par ailleurs le financement du site.
Les conditions générales (« terms of use ») de Facebook prévoient que l’utilisateur concède une licence à Facebook sur tout le contenu apporté par lui (« user content » : profil incluant nom et photo, messages, texte, information, photos, films…) dans les termes suivants : «an irrevocable, perpetual, non exclusive, transferable, fullypaid, worldwidelicense (with the right to sublicense) to use, copy, publicly display, reformat, translate, excerpt and distributesuch User Content for anypurpose, commercial, advertising or otherwise, on or in connectionwith the or the promotion thereof… »
A ce « User Content », s’ajoutent les données collectées directement par Facebook à partir d’autres sources comme indiqué dans le document émanant de Facebook intitulé “Privacy Policy”: »Facebookmayalsocollect information about youfromother sources, such as newspapers, blogs, instant messaging services, and otherusers of the facebook service throughoperation of the service (e.g ; photo tags)… ».
Ce document précise également que l’utilisateur consent à ce que ses données personnelles soient transférées et traitées aux Etats-Unis. Facebook en tant que société américaine a adhéré au dispositif dit de « SafeHarbor » ou « Sphère de sécurité » comportant une série de principes de protection des données personnelles et de protection de la vie privée publiées par le ministère du commerce des Etats-Unis.
Ces principes ont été négociés entre les Etats-Unis et la Commission Européenne et ont pour but d’assurer un niveau de protection adéquat . Ils sont basés sur ceux de la directive européenne 95/46 du 24 octobre 1995, qui ont été transposés dans les législations des Etats-membres dont la France.
La question se pose de savoir si l’utilisation par Facebook des données personnelles de l’utilisateur français s’effectue suivant les principes de protection des données personnelles et de respect de la vie privée définis dans le « Safe Harbour ».
La CNIL a rencontré à l’automne 2007 Facebook puis lui a envoyé un courrier lui demandant des précisions, rappelées dans la brève de la CNIL publiée sur son le 16 janvier 2008, sur :
- « les durées de conservation des données personnelles des membres de Facebook, les adresses IP traitées et les adresses de courriers électroniques des personnes invitées par un membre ;
- la manière dont Facebook analyse les profils de ses membres afin de leur délivrer des publicités ciblées ;
- l’information des personnes concernées sur la finalité des fichiers, les destinataires des données et l’existence d’un droit d’accès et de rectification. »
Les interrogations de la CNIL s’expliquent par les éléments suivants.
Certes, l’utilisateur de Facebook peut paramétrer la diffusion de son profil, des données permettant de le contacter et des applications dans l’onglet « Privacy settings » pour autant qu’il comprenne la langue anglaise dans laquelle est rédigé le site.
Mais comme le souligne la CNIL, « la configuration par défaut favorise souvent une diffusion très large des données, si bien que des informations devant rester dans la sphère privée se retrouvent souvent exposées à tous sur internet ».
Par ailleurs, la modification des données du profil ou la fermeture du compte n’impliquent pas la suppression définitive des données. La « Privacy Policy » de Facebook prévoit qu’elles sont conservées dans les archives du « for a reasonableperiod ».
La CNIL en appelle à la prise de conscience des internautes et à leur vigilance sur la nature des données mises en ligne et le choix des personnes qui pourront y accéder. C’est en effet la réputation numérique des internautes qui se construit ainsi, parfois à son insu.
Il est à noter que cette prise de conscience fait son chemin puisque l’application « FacebookBeacon » a fait l’objet d’une avalanche de protestations et d’une pétition de plus de 50 000 signataires. Elle a produit ses effets puisqu’après avoir fait modifier l’application Beacon, le président de Facebook, Mark Zuckerberg, a présenté sur son début décembre 2007 ses excuses : « Nous avons mis trop longtemps à changer le système pour permettre aux internautes de donner leur autorisation explicite. Je ne suis pas fier de la façon dont nous avons géré cette affaire, et je sais que nous pouvons faire mieux. »
Le responsable de la sécurité chez Facebook, Chris Kelly, dans un interview à IDG News Service, indique : » I think the average Facebook user understands very well that we take privacy extraordinarily seriously.”
Par ailleurs, Facebook et les autres réseaux sociaux sont dans la ligne de mire des autorités européennes de protection des données réunies au sein du Groupe dit de l’article 29 » ou « G29 »(en référence à l’article 29 de la directive européenne du 24 octobre 1995 sur la protection des données qui l’a institué). Ce groupe de travail a mis à son programme de travail 2008-2009 le sujet des réseaux sociaux en ligne.
De plus, les procureurs de la ville de New York soutiennent une proposition relative à l »interdiction de l’accès des délinquants sexuels aux réseaux sociaux comme Facebook ou MySpace.
Selon une proposition de loi en cours d »examen aux USA, les individus listés comme délinquants sexuels se verraient d »emblée interdire l’accès aux sites type MySpace ou Facebook lors de leur inscription.
Ces sites disposeraient d’une liste de noms, d’adresses et d’identifiants à rejeter. Les sites pourront obtenir des informations confidentielles de la part du ministère de la Justice relative aux délinquants sexuels. En retour, MySpace et Facebook pourront avertir les autorités de tout utilisateur suspect.
C’est dire que la protection des données par les réseaux sociaux comme Facebook constitue un enjeu important.