Les options de confidentialité ne suffisent pas à protéger les droits personnels des internautes.
De plus, les personnes physiques et sociétés sont systématiquement googlelisées par leur entourage à savoir la famille, les collègues, les amis, les partenaires commerciaux, les clients et tant d’autres.
Enfin, Facebook est particulièrement bien référencée sur Google.
Ainsi, tout ce qui est diffusé sur Facebook se retrouve automatiquement en première position des résultats d’une recherche effectuée sur Google.
De quoi peut-il s'agir concrètement ?
Facebook nous en donne un aperçu dans son propre « règlement de respect de la vie privée » :
- votre nom,
- votre adresse électronique,
- votre sexe,
- votre date de naissance,
- vos amis,
- vos établissements scolaires/universitaires,
- vos employeurs,
- vos photos, vos vidéos,
- vos commentaires laissés ou reçus,
- la ville où vous résidez actuellement,
- votre ville d’origine
- votre famille,
- vos relations,
- vos réseaux,
- vos opinions politiques et religieuses ;
- vos transactions ou paiements effectués sur Facebook dont votre numéro de compte à l’origine du paiement ;
- votre mot de passe pour inviter vos contacts ;
- la trace des actions que vous entreprenez sur Facebook, telles que l’ajout de connexions (y compris l’adhésion à un groupe ou l’ajout d’un ami), la création d’un album photos, l’envoi d’un cadeau ou d’un poke à un autre utilisateur, l’indication que vous « aimez » un message, votre présence à un évènement ou l’utilisation d’une application,
- les informations sur le type de votre navigateur,
- vos lieux et modes de connexion,
- votre adresse IP,
- les pages que vous consultez,
- vos cookies qui sont selon Facebook des "petits morceaux de données stockés pendant un certain temps sur votre ordinateur, téléphone mobile ou autre appareil et qui aident à vous identifier"
- votre comportement avec les applications et les sites web de la plate-forme de Facebook (tels que des jeux ou d’autres utilitaires, les widgets, les boutons « Partager » et les publicités)
- vos informations personnelles et réactions provenant des programmes créés par Facebook en partenariat avec des annonceurs et d’autres sites web qui partageront toutes ces informations,
- enfin les informations vous concernant et provenant d’autres utilisateurs (exemple : un ami vous identifie sur une photo, dans une vidéo ou dans un lieu, fournit des détails sur votre amitié ou dévoile une relation avec vous etc ...).
Comble de l'ironie, Facebook déclare, dans son « règlement de respect de la vie privée », que toutes ces informations sont conservées « pour faciliter l’utilisation de Facebook, optimiser nos publicités et améliorer votre protection et celle de Facebook »
A travers un décryptage juridique du « règlement de respect de la vie privée » de Facebook, nous envisagerons les causes permettant d'engager la responsabilité de Facebook en France du fait de la diffusion des contenus litigieux sur son site internet en plusieurs points:
- la possible assignation de la société Facebook en France (1)
- les prétendus droits absolus, perpétuels et universels dont jouirait Facebook sur les données personnelles des internautes (2)
- le « programme TRUSTe » servant à Facebook de prétendue certification officielle (3)
- l'adhésion de Facebook à la recommandation « Safe Harbor framework » proposée par le Département américain du Commerce et par l’Union européenne pour la collecte, l’utilisation et l’enregistrement des données provenant de l’Union européenne (4)
- le manquement de Facebook au devoir d'information des profanes sur les risques inhérents aux contenus diffusés (5)
- les fautes susceptibles d'être reprochées à Facebook (6)
1) Sur une possible assignation de la société Facebook en France
Tout d'abord, il convient de rappeler qu'il a déjà été jugé à plusieurs reprises, notamment dans l'affaire Olivier Martinez, qu'une société étrangère puisse valablement être assignée en France pour des contenus mis en ligne à l'étranger à partir du moment où un préjudice est subi en France.
Bien que la société mère Facebook soit située au 1601 S. California Avenue, Palo Alto, CA 94304, États-Unis, il existe une société « Facebook France » dont le siège social se trouve au: 28, rue de l’Amiral Hamelin - 75116 Paris.
Sur cette société française, en mutation constante, je vous invite à lire les articles intitulés :
- Les recours contre la publication de contenus litigieux sur le site de facebook : http://www.legavox.fr/blog/maitre-anthony-bem/recours-contre-publication-contenus-litigieux-2242.htm
- Facebook condamné à communiquer l’identité de l’auteur à l’origine de contenus litigieux : http://www.legavox.fr/blog/maitre-anthony-bem/facebook-condamne-communiquer-identite-auteur-2111.htm
Ainsi, indistinctement, la société américaine, comme la société Facebook France, pourrait parfaitement répondre de la mise en jeu de sa responsabilité devant les juges français (telle qu’envisagée ci-après).
2) Sur les prétendus droits absolus, perpétuels et universels dont jouirait Facebook sur les données personnelles des internautes
Facebook prétend jouir de droits perpétuels et illimités dans l'espace sur les données personnelles mises en ligne sur son site par les internautes.
Sur ce point, la dernière version du « Règlement de respect de la vie privée », du 5 octobre 2010, prévoit expressément :
« Même après avoir supprimé des informations de votre profil ou avoir résilié votre compte, des copies de vos informations peuvent rester visibles à certains endroits, dans la mesure où elles ont été partagées avec d’autres utilisateurs, diffusées conformément à vos paramètres de confidentialité ou encore copiées ou enregistrées par d’autres utilisateurs.
Vous comprenez que les informations peuvent être partagées à nouveau ou copiées par d’autres utilisateurs…
Ces informations peuvent également être associées à vous mais également à votre nom et à votre photo de profil, même en dehors de Facebook, par exemple, sur des moteurs de recherche ou lorsque vous visitez d’autres sites internet ».
« Quand vous désactivez un compte, il ne pourra plus être consulté par aucun utilisateur, mais il ne sera pas supprimé. Nous conservons les informations de votre profil (connexions, photos, etc.) au cas où vous décideriez de réactiver votre compte ultérieurement… »
Ainsi, les contenus partagés sont conservés et maintenus présents sur Facebook malgré le désabonnement de leur expéditeur.
Par voie de conséquence, selon Facebook, l'abonnement et la diffusion d’informations et de contenus sur Facebook accorderaient à cette société une « licence illimitée dans le temps et dans l'espace » sur ces informations et contenus.
Or, cette société tente de se déresponsabiliser dans son « Règlement de respect de la vie privée » en affirmant « Nous ne pouvons pas vous assurer non plus que les informations que vous partagez sur Facebook ne deviendront pas publiques ».
D’ailleurs, son fondateur parle de la fin de la vie privée.
Juridiquement, ces clauses doivent être considérées, au regard du droit français, comme illicites et, en tant que telles, doivent être annulées eu égard à leur généralité, leur opacité et leur caractère absolu.
3) Sur le « programme TRUSTe » servant à Facebook de prétendue certification officielle
Facebook, via un "programme" de certification privée, « s’achète une conscience » et tente de se créer une sorte de certification de bonne foi.
Facebook affirme que « ce document [le Règlement de respect de la vie privée] a été examiné par TRUSTe et respecte les conditions du programme TRUSTe », programme qui encadre les informations qui sont récoltées par l'intermédiaire du site Web.
Or, ni ce programme, ni cette certification d'une société privée ne sauraient dégager Facebook d'une éventuelle responsabilité sur les usages et la diffusion des données personnelles.
D’ailleurs, consciente des problèmes dont elle peut être à l’origine, Facebook indique que : « En cas de questions ou de plaintes concernant notre règlement ou nos pratiques de protection de la vie privée, veuillez nous contacter par courrier postal au 1601 S. California Avenue, Palo Alto, CA 94304, États-Unis ou via cette page d’aide ».
4) Sur l'adhésion de Facebook à la recommandation « Safe Harbor framework » proposée par le Département américain du Commerce et par l’Union européenne pour la collecte, l’utilisation et l’enregistrement des données provenant de l’Union européenne
Facebook indique qu’elle « adhère également au programme « Safe Harbor framework » proposé par le Département américain du Commerce et par l’Union européenne pour la collecte, l’utilisation et l’enregistrement des données provenant de l’Union européenne ».
Facebook semble ne pas respecter l'obligation découlant de la recommandation de ce programme, à savoir : « Les individus doivent avoir accès aux renseignements personnels les concernant et être en mesure de corriger, modifier, ou supprimer ces informations, sauf lorsque le coût de ces mesures serait disproportionné par rapport aux atteintes à la vie privée de l'individu, … »
En effet, tel qu’indiqué précédemment, tous les contenus partagés sur Facebook sont maintenus même si leur auteur se désabonne de ce réseau et ce, en violation du devoir de suppression précité.
5) Sur le manquement de Facebook au devoir d'information des profanes sur les risques inhérents aux contenus diffusés
Ce manquement est caractérisé dans les propres termes de la charte de confidentialité de Facebook : « Si vous ne souhaitez pas que nous enregistrions les métadonnées associées aux contenus que vous partagez sur Facebook (telles que les photos), supprimez les métadonnées avant de télécharger le contenu ».
Or le commun des mortels ignore ce que sont "les métadonnées associées aux contenus".
Il s'agit de tous les éléments d'un fichier qui permettent d'identifier et de décrire son contenu (titre, sujet, description, source, langue, relation, ses éléments de propriété intellectuelle (créateur, éditeur, contributeur, droits ...), de le matérialiser (date, type, format, identifiant) et de le partager.
Le risque de partage de ces informations est pourtant identifié, notamment sur le site internet "metadatarisk.org" :
«Les risques associés aux métadonnées dans les documents électroniques sont souvent négligés. Il y a beaucoup de différents types de métadonnées, y compris les métadonnées sur les sites Web, les métadonnées sur les fichiers vidéo, et les métadonnées sur les documents électroniques. ... Mais les métadonnées peuvent également partager des informations confidentielles et potentiellement embarrassantes pour un public non averti » (http://www.metadatarisk.org/content_security_risks/cont_security_overview.htm)
Juridiquement, en France les professionnels sont tenus à une obligation d'information, de conseil et de mise en garde dont le contenu varie selon leur domaine de compétence.
En tant que professionnel de la communication en ligne, Facebook pourrait donc être judiciairement tenue à une obligation d'information, de conseil et de mise en garde et être condamnée à indemniser les victimes d'usages malveillants de ces informations ou de la diffusion des contenus illicites sur son site.
6) Sur les fautes susceptibles d'être reprochées à Facebook
En qualité d'éditeur de site internet, Facebook pourrait parfaitement être tenue à une obligation de filtrer, de manière a priori, le contenu diffusé sur son site.
Ceci est techniquement possible et Facebook le fait déjà :
- Pour les mineurs, elle indique dans son Règlement de respect de la vie privée que « Nous nous réservons le droit d’ajouter une protection supplémentaire pour les mineurs (en garantissant une utilisation appropriée à leur âge, par exemple) et de limiter la possibilité pour des adultes de les contacter ou de partager des contenus avec eux, même si cela peut restreindre l’utilisation de Facebook par les mineurs »;
- De plus, son Règlement prévoit que « nous utilisons également de nombreux systèmes technologiques pour détecter et répondre aux activités et affichages de contenu anormaux dans le but d’empêcher tout abus… ».
En outre, il pourrait être établi des standards nationaux, et voir internationaux, sur les contenus et propos illicites.
La diffusion de contenus et propos illicites en violation de ces standards engagerait la responsabilité du site Internet en infraction.
A cet égard, il convient de souligner que le 13 octobre 2010, la Secrétaire d'État chargée de la prospective et du développement de l'économie numérique a convoqué les grandes entreprises du Net, acteurs des réseaux sociaux, blogs, moteurs de recherche et associations de protection de l'enfance, afin de signer une charte pour faciliter la gestion par les internautes de leurs données personnelles, dans le cadre d'un futur « droit à l'oubli » numérique.
Invités, Facebook et Google ont refusé de signer cette charte.
La charte tend à « améliorer la transparence de l'exploitation des données publiées intentionnellement » par les internautes et à « faciliter la possibilité pour une personne de gérer les données qu'elle a publiées et qui concernent sa vie privée ».
L’outil internet peut, en effet, se révéler dangereux pour son utilisateur.
Les informations que ce dernier consent à communiquer sur la toile peuvent se retourner contre lui.
Cette charte sur le droit à l’oubli, signée par les entreprises du Net (Microsoft France, les Pages jaunes, Copains d'avant, trombi.com, Skyrock.com, l'Unaf, Action innocence et e-enfance etc …), annonce le début d’une reconnaissance de ce droit en devenir.
Ces sociétés se sont engagées à mettre en place un service de suppression des comptes et des données.
Demain, les sites Internet comme les réseaux sociaux pourraient voir leur responsabilité automatiquement engagée du fait de l’absence de filtre a priori du contenu comme c’est déjà le cas pour tous les sites Internet qui sont qualifiés d’éditeur par la jurisprudence française car ils jouent le jeu du contrôle a priori du contenu mis en ligne.
A l’heure où la réputation de chacun sur Internet est devenue primordiale, une Charte ou Déclaration des droits de l’e-réputation semble plus que nécessaire.
Je suis à votre disposition pour toute information ou action.
PS : Pour une recherche facile et rapide des articles rédigés sur ces thèmes, vous pouvez taper vos "mots clés" dans la barre de recherche du blog en haut à droite, au dessus de la photographie.
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
Tel : 01 40 26 25 01
Email : abem@cabinetbem.com