Le procès intenté aux pratiques du réseau social Facebook par un étudiant autrichien qui a déclenché, l'année dernière, une action collective contre le régulateur de la vie privée irlandaise, constitue un moment fort de remise en cause des accords passés entre l'Europe et les Etats-Unis en matière d'échange et de circulation des données personnelles. Mis en place en 2001, le cadre réglementaire dit de « Safe Harbor » ou, « principes de la sphère de sécurité », offre l'opportunité à « une entreprise américaine de certifier qu'elle respecte la législation de l'Espace économique européen (EEE) afin d'obtenir l'autorisation de transférer des données personnelles de l'EEE vers les Etats-Unis », indique l'encyclopédie en ligne Wikipedia qui rappelle, également, qu'une directive européenne, en l'occurrence la « 95/46/CE sur la protection des données personnelles, entrée en vigueur en octobre 1998, interdit le transfert de données personnelles en dehors des Etats non membres de l'EEE qui protégeraient les données personnelles à un niveau inférieur à celui de l'EEE. » Il demeure, en effet, entendu, qu'en dépit de leurs démarches communes pour protéger les données personnelles de leurs concitoyens, Américains et Européens n'y vont pas avec la même vision des choses. Le procès de l'étudiant autrichien, Max Schrems, vient, justement, à point nommé pour pointer ces différences et souligner l'anachronisme du cadre juridique européen, incapable de juguler les pratiques de mastodontes américains de l'internet en matière de collecte des données privées. Le procès, encore en cours, « oppose Max Schrems à l'équivalent irlandais de la CNIL, contre laquelle l'Autrichien a porté plainte, refusant de voir ses données personnelles stockées par Facebook - dont le siège européen se trouve en Irlande - transférées aux Etats-Unis pour alimenter le ciblage publicitaire de l'entreprise », peut-on lire sur le site web http://pro.clubic.com qui précise que Facebook « n'est pas le seul concerné : Microsoft, Apple ou encore Yahoo sont également pointés du doigt ». Au départ, Screms avait esté devant un tribunal de commerce autrichien en s'appuyant sur une loi nationale qui offre la possibilité à un groupe de plaignants de se pourvoir par l'entremise d'une seule personne ; en l'occurrence cet étudiant qui dit vouloir demander un dédommagement de l'ordre de 500 euros « pour chaque utilisateur de Facebook qui prendra part à cette class action ». Dans un texte cité par pro.clubic.com, l'étudiant autrichien reproche au réseau social le viol de nombreuses dispositions de la loi européennes et explique avoir attaqué les violations « de bases, ou évidentes par rapport à la loi : la politique de confidentialité, la participation au programme PRISM, le Graph Search, les applications Facebook, le suivi sur d'autres pages Web (notamment via le bouton J'aime), les systèmes Big Data qui espionnent les utilisateurs ou encore le non-respect des demandes d'accès ». Les craintes de l'étudiant autrichien s'expliquent en grande partie par les révélations de l'ancien agent de la NSA, Edward Snowden, sur les pratiques d'espionnage des données en cours au niveau des organismes du renseignement américains qui mettent « les Européens en danger à partir du moment où leurs données personnelles transitent aux Etats-Unis », d'après les explications fournies par ce site qui ajoute que ce constat « remet en question l'application du Safe Harbor, un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines et la Commission européenne en 2001 », car, ajoute-t-il, les entreprises parties à ce cadre réglementaire peuvent certes « recevoir des données en provenance de l'UE, mais la surveillance généralisée de la NSA remettrait en question l'application de ces règles. » Le procès a eu de larges échos auprès des organes de presse européens qui ont suivi avec beaucoup d'intérêt cet épisode « juridico-politique » qui laisse, par exemple, le journal Numérama croire que c‘est plutôt le procès des accords Safe Harbor « cet artifice juridique négocié il y a 15 ans entre les Etats-Unis et l'Union européenne qui autorise l'exportation des données des Européens vers les Etats-Unis, si les entreprises américaines importatrices s'engagent auprès de l'administration à respecter un certain nombre de principes de protection », rapporte le site du quotidien gratuit français 20minutes.fr. L'avocat de la Commission européenne venu plaider au procès intenté par l'étudiant autrichien n'a pu faire autrement que de reconnaître que « la législation ne peut pas garantir une protection adéquate des données des citoyens européens », avant d'ajouter qu'il conseillait aux citoyens européens souhaitant protéger leurs données de quitter Facebook », souligne le site belge http://geeko.lesoir.be Mais on constate à cette occasion que le front européen s'élargit dans cette quête de moralisation des pratiques de collecte des données personnelles imposées par les multinationales du net américaines. En Belgique, un récent rapport de l'université de Louvain a enfoncé le clou en dénonçant des pratiques de collecte des données en violation de la loi. En effet suite à une injonction réglementaire de l'autorité de régulation des libertés informatiques belge qui lui demandait de se conformer au nouveau cadre réglementaire européen en matière de respect des données personnelles, Facebook a introduit des modifications dans « ses conditions d'utilisation, en matière de vie privée et de traitement des données générées par les utilisateurs », souligne le site 01net.com, en évoquant, à l'occasion les conclusions de l'étude commandée par le régulateur belge à cette université, qui, écrit-il, « liste tous les points problématiques des nouvelles conditions d'utilisation de Facebook et constate que celles-ci ne respectent pas la législation européenne ». C'est peu dire que le géant des réseaux sociaux ne s'est pas totalement mis en conformité avec les règlements européens et que les changements qu'il a « effectués en début d'année ne sont pas si importants que cela », comme l'indique 01net.com qui cite un passage du rapport de l'université belge selon lequel les modifications de Facebook « sont simplement de vieilles pratiques rendues plus explicite ». Pour caractériser les agissements jugés illégaux du réseau social, les universitaires belges ont décliné une série de critiques au premier rang desquelles le fait « qu'il ne facilite pas la vie des utilisateurs pour accéder aux réglages qui permettent une forme d'opt-out pour certaines fonctions ». Dans la directive européenne sur les données personnelles, l'op-out est un principe fondamental par lequel l'utilisateur doit avoir expressément manifesté son consentement pour activer un service ou fournir une donnée. Sur ce point précis, Facebook ne semble pas faire le travail d'information et de pédagogie nécessaire pour susciter l'action volontaire et consentante de l'utilisateur, se contentant le plus souvent de jouer de son ignorance ou de son inaction. A ce sujet, 01net.com note que « les utilisateurs de Facebook ne reçoivent pas d'informations satisfaisantes ou suffisamment claires », s'appuyant en cela sur le rapport des universitaires belges qui estiment « que la collecte ou l'utilisation des informations des appareils envisagées en 2015 » par le nouveau règlement de Facebook « ne respecte pas les exigences de l'article 5 (3) de la directive européenne sur l'e-Privacy » relève ce site qui rappelle l'exigence légale qui stipule, selon cette même source, qu'avant « le stockage et l'accès aux données d'un appareil, cette dernière requiert, en effet, une acceptation librement consentie après information de l'utilisateur. » Le rapport de l'université de Louvain pointe, par ailleurs, un autre problème lié au fait que le traçage comportemental et les « publicités sociales » sont toujours mis en fonction par défaut, et le plus souvent sans le consentement de l'utilisateur, ajoutant un autre grief à la difficulté implicitement maintenue par Facebook qui empêche les utilisateurs d'accéder aux fonctions de désactivation ou de personnalisation ; le site 01net.com souligne, dans ce cadre, que « Facebook échoue à offrir les mécanismes de contrôle adéquats à ses utilisateurs », citant pour cela les cas « du partage de localisation ou de l'apparence des utilisateurs dans les histoires sponsorisées », relevés par l'étude de l'université belge. Autre sujet d'inquiétude largement soulevés par les défenseurs de la vie privée et de la protection des données personnelles et bien souligné par l'étude universitaire belge qui ne comprend pas « précisément ce qu'entend la société américaine quand elle parle de l'utilisation publicitaire des images » et s'interroge : « Les images de profil sont-elles les seules concernées ou toutes les photos mises sur Facebook pourront-elles être utilisées dans des publicités sociales ? ». Sur un autre plan, le site 01net.com se fait l'écho des nombreuses questions soulevées par l'université de Louvain pour connaître « les sociétés tierces et partenaires qui pourront accéder aux données des utilisateurs dont Facebook ne donne pas le détail », ou encore « les implications précises de la récolte extensives de données via les sites Web tiers, les applications mobiles ou les sociétés acquises par le géant plus récemment comme WhatsApp et Instagram ». Une bonne lecture des nouvelles conditions d'utilisation de Facebook fait également sursauter les auteurs de cette étude qui y découvrent « une clause d'indemnité » par laquelle Facebook entend imposer une indemnisation « pour toutes dépenses, y compris légales, en cas de violation des conditions d'utilisation », note ce site qui mentionne l'avis des universitaires belges selon lequel ce type de disposition « a été contesté dans certains pays ». Après avoir égrené les différents points de contestation des pratiques de Facebook soulevés par l'étude belge, le site rappelle, de son côté, que, face à ses engagements pris pour un surcroit de transparence et d'information des utilisateurs, le site de réseautage social a effectivement laissé une totale liberté à ses utilisateurs entre « accepter ses conditions ou quitter Facebook ».
