Au siège de Facebook, à Menlo Park, en Californie. ELIJAH NOUVELAGE / REUTERS

Nouvelle épreuve pour Facebook sur le front des données personnelles : une association vient de mettre en demeure le réseau social pour plusieurs manquements en la matière, et menace de le traîner en justice.

L’Internet Society France a lancé, jeudi 8 novembre, une action de groupe, afin de faire cesser ce qu’elle décrit comme des infractions au droit sur les données personnelles des utilisateurs de Facebook. L’association veut également obtenir des dommages et intérêts et appelle tous les utilisateurs du réseau social intéressés à se joindre à cette plainte collective. Elle entend réclamer, faute de réponse satisfaisante de Facebook, 1 000 euros par utilisateur.

Jusqu’à récemment, il n’était pas possible de réclamer des dommages et intérêts par le biais d’une action collective portant sur les données personnelles. Cette possibilité a été introduite dans la loi en juin, mais est passée relativement inaperçue. C’est pourtant une arme qui a de quoi peser face aux mastodontes du numérique : Internet Society France espère réunir 100 000 usagers, ce qui porterait les dommages et intérêts réclamés à 100 millions d’euros.

Ce que l’association reproche à Facebook

L’association, dans sa mise en demeure, liste sept manquements de la part du réseau social, tous ou presque fondés sur le droit européen des données personnelles (le règlement général sur la protection des données, RGPD), en vigueur depuis le mois de mai. Le réseau social a quatre mois pour répondre, faute de quoi l’association portera l’affaire devant le tribunal de grande instance de Paris. Selon l’Internet Society France :

Facebook n’a pas suffisamment protégé les données de ses utilisateurs contre les piratages, en référence à la récente attaque informatique dont a été victime le réseau social et qui a compromis les données de millions d’utilisateurs.

L’organisation reproche aussi au réseau social de n’avoir pas suffisamment bien informé ses utilisateurs de ce piratage.

Facebook ne respecte pas le droit en matière de cookies, ces fichiers qui permettent de récolter des informations sur les internautes, en particulier ceux qui, explique-t-elle, visent les « individus non membres » du réseau social.

Les conditions générales d’utilisation, le texte qui explique ce que Facebook fait des données des utilisateurs, ne sont pas satisfaisantes et comportent des clauses contraires au code de la consommation.

Le réseau social collecte des informations que le droit en matière de données personnelles protège tout particulièrement, en l’espèce « l’orientation sexuelle, les opinions politiques et les croyances religieuses ».

Le groupe américain (et sa filiale de messagerie instantanée WhatsApp) ne récolte pas convenablement le consentement des utilisateurs à ce que leurs données soient mélangées.

Facebook n’offre pas la possibilité à ses utilisateurs de choisir les données qu’ils veulent bien que le réseau social collecte et exploite.

« Le RGPD donne des droits à l’utilisateur, l’idée c’est de dire aux gens : vos données valent quelque chose, il faut comprendre ce qui en est fait », explique Nicolas Chagny, le président de l’association, qui veut mettre Facebook face à ses « responsabilités sociétales ». Contacté, le réseau social n’a pas souhaité faire de commentaire.

« Une opportunité historique »

L’avocat de l’Internet Society France, Olivier Iteanu, voit dans ce nouveau cadre juridique sur les données personnelles une « opportunité historique ». C’est la première fois qu’une action collective visant des dommages et intérêts est entreprise en France, croit-il savoir. Il pense aussi avoir de solides arguments à faire valoir : selon lui, les problèmes qui avaient poussé la Commission nationale de l’informatique et des libertés (CNIL) à sanctionner Facebook, en 2017, n’ont toujours pas été résolus.

L’action de l’Internet Society France diffère d’autres actions collectives lancées devant la CNIL, une autorité administrative, et non, comme en l’espèce, devant la justice. L’association a ainsi voulu éviter les délais et le mode de traitement des plaintes par la CNIL, qu’elle juge respectivement trop importants et opaque.

C’est un nouveau front qui s’ouvre en tout cas pour Facebook sur le sujet du respect des données personnelles, alors que le réseau a été mis en difficulté à plusieurs reprises ces derniers mois. Dès l’entrée en vigueur du nouveau cadre européen sur les données personnelles, plusieurs plaintes ont été déposées, notamment devant la CNIL française.

Lire aussi RGPD : de premières plaintes ont été déposées

Fin septembre, l’entreprise a dévoilé qu’une faille de sécurité avait été exploitée par des acteurs extérieurs malveillants, ce qui leur a permis de mettre la main sur des données personnelles (données de recherches, géolocalisation…) de dizaines de millions de comptes. L’autorité irlandaise de protection des données a ouvert une enquête au nom de l’Union européenne, l’une des premières visant une grande entreprise du numérique depuis l’entrée en vigueur du RGPD.