2. Facebook en flagrant délit de non-respect de la
législation européenne
Concernant d'autres types de données, le
réseau social avance que de nombreuses données transmises
à M. Schrems à sa demande "ne sont pas des données
personnelles", mais simplement des informations utilisées par Facebook
"pour la protection contre la fraude" ou "pour des raisons d'analyse
statistique"65. Facebook utilise notamment l'adresse IP66
pour ses services de protection contre le détournement de compte. En la
matière, Facebook affirme qu'"il ne s'agit clairement pas de
données personnelles". Pourtant l'adresse IP est bien
considérée par le G29 et la CNIL comme une donnée
personnelle67. La manière dont Facebook définit ce qui
constitue une donnée personnelle semble donc pour le moins ambiguë,
et peu clair d'un point-de-vue juridique. Notons que la révision en
cours de la directive européenne sur la protection de la vie
privée - qui considère comme personnelle toute donnée qui
permet l'identification d'une personne - pourrait aboutir dans les prochains
mois à une clarification nette du statut juridique de cette
information.
D'autres pratiques du réseau social posent
problème vis-à-vis de la législation européenne,
notamment la création de "profils fantômes"68. Par le
biais des synchronisations des téléphones ou des carnets
d'adresse des utilisateurs, Facebook collecte quantité d'informations
sur des personnes non inscrites sur le réseau, et les utilise notamment
pour personnaliser les courriels les invitant à rejoindre le
réseau. Cela signifie que l'entreprise collecte d'importantes
quantités de données sans en informer les personnes et sans leur
demander leur consentement, puisqu'elles ne sont même pas utilisatrices
du service. Cela est une fois de plus contraire à la directive
95/46/CE.
L'autorité de contrôle Irlandaise pour la
protection des données a donc ouvert une plainte sur ces accusations.
Mais même si Facebook devait être poursuivi et condamné, le
risque financier serait très limité69 : la
législation européenne prévoit en effet une amende de 100
000 euros
65 ibidem, p. 77
66 Internet Protocol, adresse qui permet d'identifier une
machine sur le réseau internet
67 CNIl, "L'adresse IP est une donnée à
caractère personnel pour l'ensemble des CNIL européennes", 2
Août 2007
68 Facebook Ireland Ltd, "Report of Audit", 21 December
2011, "shadow profiles", p. 118
69 PIDD Helen, "Facebook could face
€100,000 fine for holding data that users have deleted",
The Guardian, 20 Octobre 2011
29
maximum pour ce type d'infraction. Or le chiffre
d'affaire de l'entreprise s'élève à 3,71 milliards de
dollars. Les éventuelles répercussions n'atteindraient que
l'image de l'entreprise.
| 
