Facebook doit montrer patte blanche à la CNIL
Traînée de poudre sur le Net: Facebook aurait automatiquement divulgué sur la "Timeline" de ses abonnés de vieux messages privés échangés entre ses utilisateurs, sans aucune autorisation des personnes concernées ! Partie de Suède, l'information a fait la une de nombreux journaux en ligne.
Chacun est alors allé vérifier sur sa propre page
l'étendue des dégâts. Et il était effectivement possible de constater que, pour
une année donnée, on pouvait consulter sous une forme agrégée un certain nombre
de messages envoyés par d'autres utilisateurs. Entre les "Joyeux
anniversaire" et autres "Bonnes fêtes", on pouvait y lire des
messages apparemment privés, qu'avec
le recul d'une ou plusieurs années on pouvait considérer comme des messages
n'ayant peut-être pas vocation à se trouver publiquement sur une page Facebook.
Mais s'agissait-il réellement de messages privés ?
La question reste entière. A la suite des interrogations suscitées et de
nombreux messages de mécontentement sur le réseau social, la direction de
Facebook a fait savoir que le site n'aurait été victime d'aucun "bug"
et qu'en réalité les messages agrégés se seraient toujours trouvés sur le
"Mur" de ses membres… qui les auraient peut-être oubliés !
Nonobstant ces explications jugées peu
convaincantes par certains, la Commission Nationale de l'Informatique et des
Libertés (CNIL), chargée de l'application de la Loi Informatique & Libertés
du 6 janvier 1978, a reçu des responsables
de la filiale française de Facebook le 25 septembre 2012 afin "de clarifier les conditions de
diffusion de messages antérieurs à 2009 sur les comptes Facebook des
utilisateurs français et la portée de cette mise en ligne".
Il est
résulté de cette entrevue que les utilisateurs de Facebook auraient pu
être victimes d'une certaine "confusion"
du fait de la mise en place de la nouvelle fonctionnalité du site, la fameuse
"Timeline", venue remplacer l'ancien "Mur" sur lequel il
était possible de publier divers messages, selon les paramètres de
configuration retenus par le membre considéré. La CNIL en a déduit que ses
efforts de pédagogie porteraient ses fruits et que les internautes seraient "de
plus en plus conscients de la nécessité de protéger leur vie privée en ligne."
Dont acte.
L'affaire
n'en est pas restée là. Les équipes de Facebook enquêteraient en interne sur ce
prétendu dysfonctionnement (qui n'en est peut-être pas un), tandis que le
Gouvernement et certains députés ont réclamé des explications plus claires et
plus précises de la part du réseau social.
Concrètement,
on reproche à Facebook d'avoir (peut-être) manqué à l'une des obligations
essentielles de la Loi Informatique & Libertés, à savoir le respect de la
confidentialité des données à caractère personnel qui font l'objet d'un
traitement automatisé. Selon l'article 30 de la loi de 1978, les responsables de traitement,
qui sont tenus à une stricte obligation de déclaration auprès de la CNIL,
doivent notamment préciser "les
dispositions prises pour assurer la sécurité des traitements et des données",
ceci afin d'éviter des fuites de données ou l'accès aux données par des tiers
non autorisés.
A cet
égard, l'article 34 de la loi dispose que "le
responsable du traitement est tenu de prendre toutes précautions utiles, au
regard de la nature des données et des risques présentés par le traitement,
pour préserver la sécurité des données et, notamment, empêcher qu’elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès."
A
l'évidence, des messages de correspondance privée échangés sur Facebook sont
des données à caractère personnel protégées par les dispositions de la Loi
Informatique & Libertés, de telle sorte que Facebook, en tant que
responsable du traitement, doit assurer leur confidentialité. La sanction du
défaut de confidentialité est lourde, puisqu'elle est portée à cinq ans
d'emprisonnement et 300.000 euros d'amende en vertu de l'article 226-17 du Code pénal.
La lumière
devrait être prochainement faite sur ces allégations de dysfonctionnement.
Mais même
sans envisager de "bug", on peut légitimement s'interroger sur la
durée de conservation des messages échangés sur Facebook : le site a largement
communiqué sur sa nouvelle fonctionnalité, la "Timeline", qui débute
théoriquement à la naissance des membres et qui peut contenir une multitude
d'informations personnelles, comme le parcours scolaire, les diplômes obtenus,
le parcours professionnel… jusqu'aux correspondances privées. L'ensemble de ces
informations est stocké sur les serveurs de Facebook, selon des critères de
sécurité qui ne sont pas rendus public.
L'article 6 de la Loi Informatique & Libertés prévoyant pour le responsable du
traitement l'obligation d'effacer les données au-delà de la "durée nécessaire aux finalités pour
lesquelles elles sont collectées et traitées", il est possible de se
demander si la loi ne devrait pas faire obligation à Facebook de supprimer les
données après l'expiration d'un certain délai.
Car à quoi cela sert-il de
conserver des messages tels que "Rendez-vous à la piscine" ou
"Vous faites quoi samedi soir ?" au terme d'un, deux ou trois ans
après leur diffusion, si ce n'est pour dresser le profil des personnes
concernées (elles aiment la natation et voient des amis le samedi soir). L'enjeu
n'est pas anodin. La CNIL a parfaitement raison d'insister sur l'impérieuse
obligation de veiller à ne pas trop s'épancher sur les réseaux sociaux.