La polémique Facebook, données partagées ou cédées ?

Site créé par Mark Zuckerberg, étudiant de Harvard, pour permettre un maintien relationnel des étudiants du campus, Facebook est un réseau social désormais bien connu de tous. Dépassant la barre des 175 millions d’utilisateurs début 2009, le site a suscité de nombreux débats quant à sa politique de confidentialité.

La nationalité américaine de la société n’empêche pas l’application de la loi française informatique et libertés du 6 janvier 1978. L’article 5 soumet au champ de la loi « les traitements de données personnelles […] dont le responsable, sans être établi sur le territoire français ou sur celui d’un Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français […] ».

De plus, la société a adhéré à l’accord « Safe Harbor » signé en 2000 par la Commission européenne et les autorités américaines afin de témoigner de sa volonté de présenter un niveau de protection adéquat au sens de la législation européenne, particulièrement de la directive n°95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Suite aux demandes de la CNIL et aux protestations des utilisateurs relatives à la durée de conservation et à l’usage des données, le site a plusieurs fois modifié sa politique de confidentialité, notamment le 17 novembre 2009.

Une avancée majeure a été l’introduction du choix de la langue d’utilisation du site. Utiliser un site dans une langue étrangère ne favorise pas l’accessibilité et la clarté des informations relatives au fonctionnement du site. En permettant à chaque utilisateur (ou presque) de naviguer dans une langue qu’il maîtrise, la société souhaitait réduire les critiques formulées relativement au manque de lisibilité du site (mais indéniablement aussi accroître le public ayant accès au site).

De plus, les données étaient antérieurement conservées « pendant une période raisonnable ». Désormais, les copies des informations supprimées peuvent être conservées pendant une période pouvant aller jusqu’à 90 jours. Cette précision vise à introduire de la prévisibilité et à rassurer quant à l’utilisation potentielle des données supprimées.

Cependant, même si les informations ont été supprimées, elles pourront rester visibles dans la mesure où elles ont été partagées avec d’autres utilisateurs. La protection accordée par le site consiste uniquement à dissocier ces informations du nom de l’utilisateur : l’information sera de ce fait visible mais plus rattachée à l’utilisateur qui l’avait émise sur le site.

Aucun contrôle sur les données mises en ligne n’est prévu, l’utilisateur ne pouvant avoir le dernier mot sur la propriété de ses informations. Ainsi, « le caractère personnel ou privé des [données mises en ligne] se dilue. Leur contrôle est cédé à d’autres² ». Le seul contrôle possible consiste en une utilisation des facultés d’opt in proposées. En effet, le principe régissant le fonctionnement du site est celui dit de l’opt out, selon lequel les données sont par principe rendues publiques. Il faut donc changer les paramètres de confidentialité en cas de souhait contraire. Pour le professeur PY Gautier³, le système de l’opt in, dans lequel les données sont de plein droit confidentielles, est plus protecteur du consommateur et devrait faire l’objet d’une norme internationale afin d’en faire le système de principe des plates-formes Internet.

Pour protéger ses données personnelles, l’utilisateur doit donc aussi bien sélectionner avec soin les amis acceptés que les données partagées en utilisant les paramètres de confidentialité sans modération…