Si vous êtes utilisateur de Facebook, vous avez récemment dû accepter de nouvelles conditions d'utilisation de la plateforme. Pour le juriste Lionel Maurel, dont nous reproduisons ici un article de blog, le réseau social effectue un véritable « chantage au service » et, même si il affirme le contraire à grand renfort de communication, ne respecte pas les dispositions du nouveau règlement général sur la protection des données (RGPD) européen, qui entrera en vigueur le 25 mai.

Facebook s’y était engagé, cela s’est produit : des millions d’utilisateurs en Europe ont reçu un mail de la plateforme les invitant à accepter les nouveaux paramètres de confidentialité mis en place pour se mettre en conformité avec le règlement général sur la protection des données (RGPD) qui entrera en vigueur le mois prochain.

Chantage au service

Le message était intitulé « Veuillez accepter nos conditions d’utilisation avant le 25 mai pour continuer à utiliser Facebook ». En elle-même, cette formulation est problématique, car elle revient une nouvelle fois à exercer sur les utilisateurs une forme de « chantage au service ».

Alors que le scandale Cambridge Analytica est encore dans tous les esprits, Facebook a déployé beaucoup d’efforts pour tenter de rassurer ses utilisateurs européens, allant jusqu’à acheter des publicités en pleine page dans la presse pour vanter les mérites du RGPD et afficher sa volonté de s’y conformer.

J’ai une question débile :D

Les chances sont non nulles que Facebook & Google changent leurs CGU et réclament le consentement d’ici à l’application du RGPD.

Facebook en a même fait sa pub dans 20minutes ce matin : pic.twitter.com/dOOBZcxwPA — aeris (@aeris22) 16 avril 2018

A vrai dire, ce texte n’était pas particulièrement rassurant, notamment à cause de cette phrase : « Conformément aux nouvelles règles, vous devrez revoir vos choix concernant l’utilisation de vos données personnelles sur Facebook« . Cela revient encore une fois à renvoyer les individus à la responsabilité de la protection de leurs propres données, alors que c’est l’entreprise elle-même qui devrait revoir ses principes de fonctionnement pour se mettre en conformité avec le RGPD.

Indépendamment de leurs contenus, la manière dont Facebook a demandé à ses utilisateurs d’accepter ce changement de ses conditions d’utilisation fait très sérieusement douter de sa volonté de respecter les principes du RGPD. À commencer par l’obligation de recueillir un « consentement libre et éclairé » qui n’est ici manifestement pas satisfaite.

Dans la « fabrique du consentement » de Facebook

On doit l’expression « fabrique du consentement » à Edward Herman et Noam Chomsky, qui l’ont forgée pour décrire la manière dont les médias exercent une influence déterminante sur les élections aux Etats-Unis. Mais il semble pertinent de reprendre cette formule pour désigner ce qui sera un des enjeux les plus importants de l’application du RGPD : le texte requiert en effet – dans la plupart des cas – que les personnes expriment leur consentement à un traitement de données à caractère personnel.

Un véritable cas d’école de « consentement assisté »

Il sera donc crucial pour les plateformes d’arriver à « faire consentir » leurs utilisateurs. Et la manière dont Facebook a présenté cette modification de ses conditions générales d'utilisation (CGU) constitue un véritable cas d’école de « consentement assisté ».

Quatre points principaux étaient en jeu dans cette révision des conditions d’utilisation :

La manière dont sont partagées certaines informations « sensibles » pouvant figurer dans les profils, comme la situation amoureuse, la religion ou l’orientation politique ;

L’activation des fonctionnalités de reconnaissance faciale dans les photos ou les vidéos publiées sur la plateforme ;

Le fait que Facebook puisse utiliser des données fournies par des « partenaires » pour proposer des publicités ciblées, notamment des traces laissées lors de l’utilisation de sites tiers ne faisant pas partie des différents sites que possèdent Facebook ;

Divers changements touchant des fonctionnalités comme le Marketplace et la manière dont les données sont partagées entre les différents services détenus par Facebook (WhatsApp, Instagram, Oculus).

Comme le relève le site Techcrunch, il y avait déjà une certaine ambiguïté dans le design même des pages par lesquelles Facebook a demandé à ses utilisateurs de consentir à ces changements : « A toutes les étapes, vous pouvez appuyer sur le joli bouton bleu "J’accepte et je continue" sans avoir nécessairement scrollé pour lire les informations. Si vous appuyez sur le vilain bouton gris "Modifier les paramètres", vous devez passer par des écrans intermédiaires où Facebook vous présente des arguments pour essayer de vous dissuader de retirer des informations avant de vous laisser faire votre choix. Il semble que tout ait été pensé pour que les utilisateurs passent leur chemin sans opposer de résistance, tout en introduisant des "frictions" lorsqu’ils souhaitent effectuer des changements.»

Communication @facebook liée à la #RGPD avec acceptation de nouvelles #CGU. Le message stipule - Si vous ne souhaitez pas accepter ces conditions, vous avez plusieurs options, et l’écran suivant : une seule option, supprimer le compte. Plusieurs ? cc @CNIL @LINCnil #EtonnantNon pic.twitter.com/4iGmTcjoPW — Pierre Metivier (@PierreMetivier) 20 avril 2018

Mais il y a surtout des différences significatives dans la manière dont ces quatre choix ont été présentés aux utilisateurs.

Pour le partage des informations sensibles et la reconnaissance faciale, il semble que Facebook ait bien fait l’effort de se conformer aux prescriptions du RGPD. Concernant ces deux points, les fonctionnalités sont en effet désactivées par défaut et il faut que l’utilisateur aille activement cocher des cases pour exprimer son consentement à ce que ces informations soient partagées ou la reconnaissance faciale activée. On est donc bien dans un consentement « libre » dans la mesure où le refus n’est pas bloquant et ne cause pas de préjudice à l’utilisateur, en l’obligeant notamment à supprimer son profil.

L’activation de la reconnaissance faciale requiert une action volontaire de l’utilisateur.

On notera quand même la manière dont Facebook s’efforce d’influer sur la décision de ses utilisateurs, en mettant en avant les nombreux « bienfaits » qui résulteraient de l’activation de cette fonctionnalité, comme la protection contre l’usurpation d’identité ou même l’assistance aux personnes malvoyantes (mais sans dire, bien sûr, que cela permettra aussi à l’entreprise de constituer une des plus gigantesques bases de données biométriques au monde…)

Les petites ampoules doivent être là pour « éclairer » le consentement, bien entendu…

Pour l’utilisation des données partenaires à des fins de ciblage publicitaire, les choses sont déjà subtilement différentes, puisque l’option est activée par défaut et qu’il faut que l’utilisateur aille plonger dans ses paramétrages de confidentialité pour y mettre fin. On peut se demander dans quelle mesure cette modalité d’approbation est bien conforme aux principes de « privacy by default » et de « privacy by design » figurant dans le RGPD, qui impliquent que les personnes obtiennent d’emblée le plus haut niveau de protection possible pour leurs données.

L’écran de désactivation des publicités basées sur les « données de partenaires de Facebook ».

Mais c’est surtout pour la dernière partie de l’acceptation des modifications des CGU que la manière de procéder de Facebook est problématique. Notamment pour ce qui a trait au partage de données entre Facebook, Instagram, WhatsApp et Oculus, l’utilisateur n’a en réalité que le choix de les valider ou de supprimer son profil, comme on le voit sur l’écran ci-dessous.

Facebook nous dit que nous avons « plusieurs options » si nous ne souhaitons pas accepter ces changements, mais en réalité, il n’y a aucune alternative à la suppression du compte en cas de refus. La plateforme propose juste de télécharger ses données avant de la quitter, ce qui permet à l’utilisateur d’exercer le droit à la portabilité prévu dans le RGPD.

Violation du consentement libre

Il est surprenant que Facebook ait choisi de procéder ainsi, car en acculant ses utilisateurs à accepter ou à quitter la plateforme, il viole l’obligation de recueillir un « consentement libre ». C’est déjà cette forme de « chantage au service » qui lui avait été reproché en décembre dernier par la CNIL à l’occasion d’une mise en demeure liée au partage de données entre WhatsApp et Facebook : « Le consentement des utilisateurs n’est pas valablement recueilli car il n’est pas libre – le seul moyen de s’opposer à la transmission des données […] est de désinstaller l’application. »

« Si la personne concernée n’a pas un véritable choix, alors son consentement n’est pas valide »

Cette interprétation résulte de lignes directrices que le G29 (le groupement des autorités de protection des données en Europe) a émises à la fin de l’année dernière à propos de la notion de consentement.

Elles expliquent notamment que « le RGPD prévoit que si la personne concernée n’a pas un véritable choix, se sent contrainte de consentir ou subira des conséquences négatives si elle ne consent pas, alors son consentement n’est pas valide. » Il est également précisé que « le RGPD garantit que le traitement de données personnelles pour lequel le consentement est demandé ne peut pas devenir, directement ou indirectement, la contrepartie d’un contrat ».

Cela signifie qu’une plateforme ne peut placer ses utilisateurs devant une option de type « take it or leave it » (à prendre ou à laisser). Si les individus donnent leur consentement dans une situation où ils y sont contraints pour pouvoir continuer à bénéficier d’un service, alors ce consentement n’est tout simplement pas valide.

Dans un billet précédent, j’expliquais que cette interprétation du G29 est extrêmement importante, car elle va empêcher que les plateformes n’instrumentalisent le consentement des individus pour les faire participer à la fragilisation de leurs propres droits : « Ce caractère "libre, spécifique, éclairé et univoque" du consentement constitue autant de critères "objectifs" qui vont permettre de déterminer des conditions dans lesquelles un individu ne pourra pas consentir valablement à un traitement de données. Il s’agit donc moins en réalité de donner à l’individu un pouvoir de consentir que de définir, au contraire, ce à quoi il ne peut pas consentir. »

Le résultat est donc que peu importe que des millions d’individus aient sans doute accepté les modifications de CGU proposées hier par Facebook, cela ne peut pas constituer une base légale pour traiter leurs données personnelles, car les personnes ne pouvaient valablement exprimer leur consentement vu les conditions dans lesquelles elles étaient placées pour exercer leur choix. Mais de nombreux internautes n’ont pas l’air de comprendre cet apport majeur du RGPD, comme le montre par exemple le commentaire ci-dessous.

Pas vraiment. Il me semble assez logique de soit accepter les conditions soit arrêter de l’utiliser, non ? https://t.co/tf8b0vUIMf — Jorg Geerlings (@jgeerlings) 22 avril 2018

La métaphore trompeuse du restaurant

Lorsque j’ai essayé d’expliquer ce problème sur Twitter, je me suis rapidement heurté à un certain nombre d’objections de la part de personnes qui trouvaient normal que Facebook procède de cette manière pour faire valider ses nouvelles CGU. Et plusieurs d’entre elles ont utilisé la métaphore d’un restaurant et de ses clients pour justifier leur point de vue.

Non, ils demandent d'accepter leurs nouvelles CGU ou de quitter le service. Ce qui n'est pas conforme à la définition du "consentement libre" dans le RGPD. Voir récente mise en demeure de WhatsApp https://t.co/HAdNCzSpgz — S.I.Lex (@Calimaq) 21 avril 2018

Cela peut paraître relever du bon sens, mais en réalité, cette comparaison est profondément trompeuse. En effet, la relation entre un restaurant et ses clients est d’emblée marchande, alors que le RGPD – du moins dans la manière dont le G29 l’interprète – vise à éviter justement que les données personnelles soient « marchandisées ». Plus exactement, le texte vise à empêcher que les données des utilisateurs servent de monnaie d’échange en échange de l’accès à un service. C’est aussi ce que le Parlement européen a affirmé en novembre dernier à l’occasion de l’examen du règlement ePrivacy : « Les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises.»

Si cette interprétation exigeante de la notion de « consentement libre et éclairé » s’impose, alors il en sera fini de ce modèle de fausse gratuité fondée sur la publicité ciblée où les internautes devaient « payer » les services avec leurs données et leurs libertés.

Facebook s'est à nouveau moqué de ses utilisateurs

Malgré les déclarations de Mark Zuckerberg, Facebook s’est donc à nouveau moqué de ses utilisateurs en procédant de la manière dont il l’a fait pour leur faire accepter ces modifications de CGU. Et il est assez piquant de constater qu’alors il présentait ces changements comme une mise en conformité avec le RGPD, il en a en réalité violé l’esprit.

Mais tout l’enjeu à présent va être de pouvoir faire valoir ces droits que le RGPD garantit, car ils resteront sinon lettre morte et aucun bénéfice réel n’en découlera. C’est la raison pour laquelle il est crucial de soutenir les actions de groupe que La Quadrature du Net est en train de lancer contre les GAFAM, car elles s’appuient précisément sur la notion de « consentement libre » du RGPD (et la première visera Facebook dès le 25 mai prochain).

Action de groupe contre les GAFAM par la Quadrature du Net

Le but poursuivi n’est pas seulement d’obtenir des modifications à la marge des CGU de Facebook, mais de détruire le modèle économique hyper-toxique sur lequel Facebook a construit son empire : « Le modèle économique de Facebook est en train d’être drastiquement remis en cause. Il n’est plus permis de rémunérer un service en contrepartie de libertés fondamentales. Facebook ne va pas forcément disparaître, mais ne pourra plus continuer à se rémunérer de la même façon. »

Pour cela, il importe d’être les plus nombreux possibles à l’occasion de ces actions de groupe pour peser en faveur d’une interprétation la plus stricte possible du RGPD, en mettant la pression sur la CNIL pour qu’elle reste fidèle à la vision qu’elle a mise en oeuvre en décembre dernier face à WhatsApp. Donc prenez le temps de cliquer sur ce lien : se joindre à la procédure est gratuit , sans risque légal et cela ne requiert que… votre libre consentement dont vous pouvez faire une arme plutôt qu’un instrument de soumission !

PS : à la suite de ce billet, j’ai supprimé mon profil Facebook, ainsi que la page associée à ce blog.

[Les termes sont mis en gras par l'auteur du texte, NDLR]

SUR LE MÊME SUJET :

> « On a construit une infrastructure de surveillance pour que les gens cliquent sur des pubs »

> Facebook vs Congrès : alors, c'est qui le plus fort ?

> Vers une action de groupe en France contre les GAFAM

> L'affaire Cambridge Analytica, symptôme du « capitalisme de surveillance »

> Facebook admet qu'il peut être néfaste, mais suggère que c'est de notre faute

Image à la une : © Shutterstock