Les autorités européennes s’attaquent aux « gros poissons » : après la CNIL et son audit sur Google, c’est l’autorité Irlandaise qui a procédé à un audit approfondi des pratiques de Facebook.

Après avoir émis un premier rapport et des recommandations en décembre 2011, l’autorité a ensuite vérifié leur mise en œuvre par Facebook et a publié une mise à jour de son rapport le 21 Septembre 2012.

Il est important de relever que Le rapport a été préparé en tenant compte des préoccupations des autres autorités européennes et notamment du groupe de travail de l’article 29 et du sous-groupe technologie. De ce fait les recommandations consistent souvent d’avantage à suivre les « meilleures pratiques » dans un domaine donné, plutôt qu’une stricte application du droit Irlandais.

Facebook a collaboré de façon transparente et volontaire avec l’autorité Irlandaise.

L’autorité considère que la protection des données personnelles, n’impose pas que le service offert par Facebook soit sans contrepartie (cette contrepartie étant le droit d’utiliser les données personnelles notamment pour la publicité). Cependant il faut que les utilisateurs aient pleinement conscience de quelles données seront utilisées à des fins publicitaires afin qu’ils puissent y consentir en toute connaissance de cause. De même il y a un une limite aux données qui peuvent être utilisées (notamment les données sensibles).

L’autorité Irlandaise a pu constater que bon nombre de ses recommandations ont déjà été mises en pratique et notamment :

• Une meilleure transparence à l’égard des utilisateurs quant à l’utilisation de leurs données (notamment au moment de l’inscription)

• Une amélioration significative du contrôle de l’utilisateur sur le paramétrage

• La mise en œuvre de durées de conservation claires et l’augmentation des possibilités de supprimer des données

• L’amélioration de l’exercice par l’utilisateur de son droit d’accès et de la capacité de Facebook d’assurer la conformité avec les règles irlandaises et européennes de protection des données personnelles

Un certain nombre de domaines restent en revanche encore à parfaire comme :
• L’éducation des utilisateurs (notamment par des exemples concrets). Y compris éduquer les utilisateurs déjà inscrits sur les nouvelles fonctionnalités et par un «rafraichissement » régulier.

• La suppression des impressions de plug in sociaux pour les internautes européens

• La possibilité de supprimer définitivement un compte

• La minimisation de la possibilité de faire de la publicité ciblée sur la base de mots clés qui pourraient être considérés comme sensibles

De plus, Facebook doit veiller à adapter ses pratiques lors de l’introduction d’innovations, afin de rester toujours en conformité. Par ailleurs, l’autorité irlandaise souhaite être consultée sur les innovations et nouvelles fonctionnalités.

Quelques points méritent que l’on s’y attarde :

• Facebook ne peut se contenter des seules règles de confidentialités pour justifier avoir le consentement d’un internaute pour l’ensemble des traitements qui y sont décrits

• Les utilisateurs doivent pouvoir contrôler en temps utile (ou « inline ») l’usage qui est fait de leurs données : la question doit leur être posée au moment opportun, notamment pour toute nouvelle utilisation de leurs données

• L’autorité considère que les internautes ne peuvent pas s’attendre à ce que les mots clés soient extraits du contenu des messages ou des chats. Facebook a précisé ne pas faire de publicité ciblée sur cette base. Il apparait cependant que Facebook a pu analyser le contenu des messages dans une optique de prévention des crimes et plus particulièrement la pédophilie. L’enquête sera donc poursuivie sur ce point.

• Pour faciliter l’exercice du droit d’accès, le plus simple est de permettre l’accès en permanence, par l’internaute, aux informations de son compte et de son activité lorsqu’il est connecté (certaines autres informations pouvant être téléchargées ou accédées par le biais de fonctions d’archives expansibles)

• Parmi les questions non résolues figure celle de la durée de rétention des différentes données ainsi que la durée de conservation raisonnable d’un compte inactif et la façon dont il faudrait informer la personne de la suppression définitive de son compte.

• Facebook rencontre des difficultés techniques pour supprimer définitivement des données sur demande (à la différence de la désactivation), mais l’autorité irlandaise demande à ce que la suppression soit effectuée dans un délai de 40 jours à compter de la demande.

• Un des points particulièrement sensible est celui des applications de tiers sur le site (ou pour téléphone mobile. Les utilisateurs doivent en comprendre le principe le mieux possible et disposer d’outils de contrôle avant d’accepter de donner accès à leurs informations. Il faut qu’il y ait un lien visible et fonctionnel vers les règles de confidentialité de l’éditeur de l’application et qu’elles puissent être consultées préalablement. Il faut aussi permettre le contrôle des informations collectées par les applications des « amis » de l’internaute. Il est crucial que Facebook exerce un contrôle sur les applications de tiers et qu’il supprime l’accès aux applications ne se conformant pas aux règles. Des recommandations supplémentaires seront faites après que le groupe de l’article 29 ait publiés ses recommandations sur les applications pour téléphone mobile.

• L’autorité a aussi procédé à une vérification des accès accordés ou refusés par Facebook aux autorités de police ou judicaires et a pu constater que les accès n’ont été donnés qu’après une appréciation de la demande par une équipe dédiée. L’autorité a néanmoins fait des recommandations pour renforcer le processus de validation et l’information des internautes.

• La reconnaissance faciale et les suggestions d’identification. Facebook a mis en œuvre des moyens d’information renforcés et il est possible à l’internaute de ne pas être identifié (par reconnaissance faciale) sur les photos de ses amis, s’il a désactivé la fonction « suggestion d’identification » (ou "tag suggestion"). Dans ce domaine l’autorité Irlandaise a demandé à Facebook de suivre les meilleures pratiques européennes mêmes si elles sont plus restrictives que la loi irlandaise (qui n’exige pas de consentement pour les données biométriques).

• Facebook a mis en place des outils permettant de contrôler ou refuser les suggestions ou « tags » saisis par des « amis ». De plus, les personnes déposant un message sur la page d’un ami doivent être averties de l’étendue de l’audience qui pourra le lire et s’il le souhaite doit pouvoir le supprimer.

• En réponse à la demande d’autoriser les pseudonymes, Facebook a pu valablement argumenter que l’indication de la véritable identité permettait de lutter contre des prédateurs et pédophiles.

Il est à noter que Facebook a envoyé autour du 21 novembre à tous les utilisateurs un message les avertissant de changement dans les règles de confidentialité et dans les fonctionnalités, qui fait suite au travail effectué par l’autorité irlandaise.

Stéphanie Faber est embre de voxFemina – Paroles d’Experts au Féminin