Facebook doit montrer patte blanche à la CNIL

Traînée de poudre sur le Net: Facebook aurait automatiquement divulgué sur la "Timeline" de ses abonnés de vieux messages privés échangés entre ses utilisateurs, sans aucune autorisation des personnes concernées ! Partie de Suède, l'information a fait la une de nombreux journaux en ligne.

Chacun est alors allé vérifier sur sa propre page l'étendue des dégâts. Et il était effectivement possible de constater que, pour une année donnée, on pouvait consulter sous une forme agrégée un certain nombre de messages envoyés par d'autres utilisateurs. Entre les "Joyeux anniversaire" et autres "Bonnes fêtes", on pouvait y lire des messages apparemment privés, qu'avec le recul d'une ou plusieurs années on pouvait considérer comme des messages n'ayant peut-être pas vocation à se trouver publiquement sur une page Facebook.
Mais s'agissait-il réellement de messages privés ? La question reste entière. A la suite des interrogations suscitées et de nombreux messages de mécontentement sur le réseau social, la direction de Facebook a fait savoir que le site n'aurait été victime d'aucun "bug" et qu'en réalité les messages agrégés se seraient toujours trouvés sur le "Mur" de ses membres… qui les auraient peut-être oubliés !
Nonobstant ces explications jugées peu convaincantes par certains, la Commission Nationale de l'Informatique et des Libertés (CNIL), chargée de l'application de la Loi Informatique & Libertés du 6 janvier 1978, a reçu des responsables de la filiale française de Facebook le 25 septembre 2012 afin "de clarifier les conditions de diffusion de messages antérieurs à 2009 sur les comptes Facebook des utilisateurs français et la portée de cette mise en ligne".

Il est résulté de cette entrevue que les utilisateurs de Facebook auraient pu être victimes d'une certaine "confusion" du fait de la mise en place de la nouvelle fonctionnalité du site, la fameuse "Timeline", venue remplacer l'ancien "Mur" sur lequel il était possible de publier divers messages, selon les paramètres de configuration retenus par le membre considéré. La CNIL en a déduit que ses efforts de pédagogie porteraient ses fruits et que les internautes seraient "de plus en plus conscients de la nécessité de protéger leur vie privée en ligne."  Dont acte.
L'affaire n'en est pas restée là. Les équipes de Facebook enquêteraient en interne sur ce prétendu dysfonctionnement (qui n'en est peut-être pas un), tandis que le Gouvernement et certains députés ont réclamé des explications plus claires et plus précises de la part du réseau social.
Concrètement, on reproche à Facebook d'avoir (peut-être) manqué à l'une des obligations essentielles de la Loi Informatique & Libertés, à savoir le respect de la confidentialité des données à caractère personnel qui font l'objet d'un traitement automatisé. Selon l'article 30 de la loi de 1978, les responsables de traitement, qui sont tenus à une stricte obligation de déclaration auprès de la CNIL, doivent notamment préciser "les dispositions prises pour assurer la sécurité des traitements et des données", ceci afin d'éviter des fuites de données ou l'accès aux données par des tiers non autorisés.
A cet égard, l'article 34 de la loi dispose que "le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès."
A l'évidence, des messages de correspondance privée échangés sur Facebook sont des données à caractère personnel protégées par les dispositions de la Loi Informatique & Libertés, de telle sorte que Facebook, en tant que responsable du traitement, doit assurer leur confidentialité. La sanction du défaut de confidentialité est lourde, puisqu'elle est portée à cinq ans d'emprisonnement et 300.000 euros d'amende en vertu de l'article 226-17 du Code pénal.

La lumière devrait être prochainement faite sur ces allégations de dysfonctionnement.
Mais même sans envisager de "bug", on peut légitimement s'interroger sur la durée de conservation des messages échangés sur Facebook : le site a largement communiqué sur sa nouvelle fonctionnalité, la "Timeline", qui débute théoriquement à la naissance des membres et qui peut contenir une multitude d'informations personnelles, comme le parcours scolaire, les diplômes obtenus, le parcours professionnel… jusqu'aux correspondances privées. L'ensemble de ces informations est stocké sur les serveurs de Facebook, selon des critères de sécurité qui ne sont pas rendus public.
L'article 6 de la Loi Informatique & Libertés prévoyant pour le responsable du traitement l'obligation d'effacer les données au-delà de la "durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées", il est possible de se demander si la loi ne devrait pas faire obligation à Facebook de supprimer les données après l'expiration d'un certain délai.
Car à quoi cela sert-il de conserver des messages tels que "Rendez-vous à la piscine" ou "Vous faites quoi samedi soir ?" au terme d'un, deux ou trois ans après leur diffusion, si ce n'est pour dresser le profil des personnes concernées (elles aiment la natation et voient des amis le samedi soir). L'enjeu n'est pas anodin. La CNIL a parfaitement raison d'insister sur l'impérieuse obligation de veiller à ne pas trop s'épancher sur les réseaux sociaux.