Réseaux sociaux, régulation, mondialisation : équation insoluble ?

Info ou intox ? Facebook aurait divulgué des messages privés remontant à plusieurs années. Les réactions ont fusé : démenti du réseau social, « convocation » devant la CNIL pour expliquer ce « bug », invitations diverses à délaisser ce mode de communication...

Au-delà, cet épisode illustre l'impact redoutable de la mondialisation sur les normes nationales et communautaires dont l'application est encore largement repoussée par nombre d’acteurs du Web 2.0.
On le sait. Les réseaux sociaux invitent de façon ludique à révéler « d'ami à ami » le plus grand nombre d'informations sur les goûts, pratiques diverses, voire même opinions politiques et religieuses, qui sont autant de « données sensibles » au sens de la loi Informatique et libertés. Ceci est particulièrement vérifié pour les réseaux amicaux dont Facebook est devenu emblématique.
Il s’est agit alors pour la CNIL de protéger l'internaute « contre lui-même » pour l’empêcher d’épuiser son « capital de vie privée ». La réponse repose donc essentiellement sur le self-control d’internautes considérés comme autonomes, conscients, informés et perçus par le prisme du citoyen-consommateur. Pour le reste, la Commission avait admis ignorer tout ou presque de ces réseaux à l'échelle planétaire. C'est notamment le cas des techniques employées pour diffuser des publicités à partir du profil de leurs membres. Les informations sont si peu claires qu'elle a dû interroger Facebook sur la durée de conservation des données personnelles, les adresses IP traitées et les adresses électroniques des personnes invitées par un membre du réseau social afin d'évaluer les risques qu'il comporte. L'autorité de régulation n'a pu que rappeler des principes aussi essentiels que l'information des personnes concernées sur la finalité des fichiers, les destinataires des données et l'existence d'un droit d'accès et de rectification. Évaluations et demandes d'informations aussi méritoires que dérisoires.

Le groupe de l'article 29 (« G29 » qui réunit toutes lesautorités de contrôle des données personnelles européennes) a précisé, dans unavis du 12 juin 2009 (« Opinion on online social networking », article 29 data protection working party) les règles auxquelles il souhaitait voir se conformer les réseaux sociaux. Il conclut à l'application de la directive (95/46/CE du 24 octobre 1995) sur la protection des données personnelles à leur endroit quand bien même leur siège social est situé hors de l'Union européenne. Cette position de principe s'inspirait de précédentes recommandations relatives aux moteurs de recherche qui, pour la plupart, contestent l’application de la directive à leur égard alors même qu'ils disposent de serveurs et d'établissements en Europe. Selon le « G29 », les sociétés ayant développé le réseau social mais aussi, dans certains cas, des fournisseurs d'applications spécifiques doivent être considérés comme responsables du traitement de données personnelles. Le document précise la portée du dernier alinéa de l'article 3 de la directive qui écarte son application en cas de traitement « effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques ». Le G29 considère que cette exception ne peut bénéficier à des utilisateurs agissant pour le compte d'organisations, à but lucratif ou non, qui acquièrent la qualité de responsable de traitement et sont tenus aux obligations subséquentes. 

Cette position est loin d'être entendue car la mondialisation des flux de données a partie liée avec l'essor de multinationales sans frontières ayant entrepris d'imposer leurs propres règles par le biais de l'autorégulation. L'imperium juridique heurte ici de front la quasi-souveraineté de véritables serpents de mer numérique. Échappant à toute emprise légale, ils accueillent encore avec la distance qui s'impose les vaines objurgations des régulateurs européens.

Ouvrage paru : Droit des données personnelles, Gualino, 2011