En parallèle d'une publication très grand public sur la confidentialité des publications faites par ses membres, Facebook a annoncé jeudi une importante mise à jour de sa politique de vie privée, désormais affichée avec beaucoup plus de clarté, en tout cas sur le plan de la mise en page. Car sur le fond, il n'est pas certain que le texte proposé soit plus explicite qu'auparavant sur les données collectées par Facebook et sur leur utilisation.
La nouvelle politique est soumise pour avis aux internautes avant d'entrer en vigueur… dès le 20 novembre prochain. Un délai très court qui ne permettra sans doute pas à la CNIL et à ses homologues d'en dire un mot. Or si l'on se réfère aux recommandations faites à Google en septembre dernier — et que le géant américain prend bien soin de ne pas suivre, plusieurs points devraient poser problème au régulateur, particulièrement exigeant.
Ainsi par exemple, il était demandé à Google d'avoir un "langage clair, précis, qui n'offre aucune ambiguïté", en détaillant de façon exhaustives toutes les collectes et utilisations de données personnelles, et en évitant toutes les formules ambigus qui ne font que donner des exemples non limitatifs. Or la nouvelle "politique d'utilisation des données" de Facebook use et abuse de ces formulations floues, dès le premier chapitre :
Nous recueillons le contenu ainsi que d’autres types d’informations que vous fournissez lorsque vous avez recours à nos services, notamment lorsque vous créez un compte, créez ou partagez du contenu ou encore lorsque vous communiquez avec d’autres utilisateurs. Ceci peut comprendre des informations concernant le contenu que vous partagez, telles que le lieu d’une photo ou encore la date à laquelle un fichier a été créé. Nous recueillons également des informations concernant la manière dont vous utilisez nos services, telles que les types de contenu que vous consultez ou avec lesquels vous interagissez, ou encore la fréquence et la durée de vos activités.
Juridiquement, Facebook veut fort logiquement éviter d'avoir un énoncé exhaustif, non seulement parce qu'il serait trop lourd à lire ou livrerait trop d'informations aux concurrents sur ses méthodes, mais aussi parce qu'il ne veut pas engager sa responsabilité en cas d'oubli. Lorsqu'il le faut, Facebook sait toutefois être très explicite, en particulier lorsqu'il s'agit des données remontées par les appareils :
Voici quelques exemples d’informations sur les appareils que nous recueillons :
- Des données telles que le système d’exploitation, la version du matériel, les paramètres de l’appareil, les noms et les types de fichier et de logiciel, le niveau de la batterie et l’intensité du signal, ainsi que les numéros d’identification de l’appareil
- Les données d’emplacement de l’appareil, notamment les données d’emplacement géographique précises recueillies à travers les signaux GPS, Bluetooth ou Wi-Fi
- Des informations de connexion telles que le nom de votre opérateur mobile ou de votre fournisseur d’accès à Internet, le type de navigateur que vous utilisez, votre langue et le fuseau horaire dans lequel vous vous situez, votre numéro de téléphone mobile et votre adresse IP.
En revanche, dans ses recommandations à Google, le G29 (qui regroupe les CNIL européennes) demandait aussi à ce que les internautes soient informés de l'identité des partenaires avec lesquelles des informations sont partagées, et qu'il y ait un "consentement éclairé" lorsqu'il y a croisement de données entre prestataires. Or la politique de vie privée proposée par Facebook est loin d'être exemplaire en la matière, puisqu'elle dit simplement que :
Nous partageons des informations avec les fournisseurs, prestataires de service et autres partenaires qui collaborent avec nous partout dans le monde, par exemple en offrant des services d’infrastructure technique, en analysant l’utilisation de nos services, en évaluant l’efficacité de nos publicités et de nos services, en fournissant un service d’assistance à la clientèle, en facilitant les divers processus de paiement ou encore en menant diverses enquêtes et études. Ces partenaires doivent adhérer aux obligations de confidentialité les plus strictes en accord avec la présente Politique d'utilisation des données et les accords que nous avons signés avec eux.
Mais aucune liste de ces prestataires n'est publiée, ni l'accord-type qui est à signer.
Les données personnelles, propriété ou droit de la personnalité ?
De façon en apparence plus anecdotique mais fondamentale sur le plan de la doctrine juridique, l'ancienne politique de vie privée affirmait l'existence d'un droit de propriété des utilisateurs sur leurs données personnelles, en stipulant que "vous restez toujours propriétaire des informations vous concernant que nous recevons, même si vous nous donnez l’autorisation de les utiliser". Cette formulation a disparu de la nouvelle politique.
Dans un rapport du Conseil National du Numérique (CNNum) de juin 2014 qu'avait parfaitement commenté Lionel Maurel, le CNNum avait écarté l'idée de reconnaître un droit de propriété des internautes sur leurs propres données personnelles, qui aurait eu l'avantage de leur reconnaître le droit de vendre ces données, ou de créer une taxation sur le capital de données personnelles détenues par les exploitants. Le Conseil avait rejeté la proposition pour trois raisons :
- "Parce qu’elle renvoie à l’individu la responsabilité de gérer et protéger ses données, renforce l’individualisme et nie le rapport de force entre consommateurs et entreprises" ;
- "Parce qu’elle ne pourrait que générer des revenus anecdotiques pour les usagers et susciter à l’inverse un marché de la gestion protectrice des données numériques" ;
- "Parce qu’elle déboucherait à un renforcement des inégalités entre citoyens en capacité de gérer, protéger et monétiser leurs données et ceux qui, par manque de littératie, de temps, d’argent ou autre, abandonneraient ces fonctions au marché."
Il existe deux écoles s'agissant de la vision dite "patrimoniale" (droit de propriété) des données personnelles. Si certains estiment qu'elle permettrait de sortir d'une collecte gratuite et illimitée des droits, et de créer un mécanisme dissuasif de (maigre) rémunération des internautes dont les données sont ainsi exploitées, d'autres y sont fortement opposés et y voient un piège.
"Il y a tout lieu de penser que le recours à la propriété privée en matière de données personnelles aboutirait à un résultat exactement inverse de celui avancé par les promoteurs de cette approche « patrimoniale ». Le propre de la propriété est d’être cessible et transférable : c’est même sa fonction première en tant qu’institution sociale", résumait Lionel Maurel. "En réalité, la conception patrimoniale des données personnelles repose sur un individualisme méthodologique, typiquement libéral, postulant que la meilleure façon de gérer un écosystème consiste à laisser les acteurs individuels prendre des décisions à leur niveau".
Dans sa nouvelle politique, Facebook ne qualifie plus la nature juridique des données personnelles. Elles restent un attribut des droits de la personnalité, sur lesquelles les individus peuvent exercer leurs droits d'accès et de rectification, et qui ne peuvent être collectées qu'en suivant les restrictions imposées par la loi et le régulateur.
Est-ce une option heureuse ? Le débat reste ouvert.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !