Les réseaux sociaux en ligne et la vie privée

B L'application de la loi Informatique et Libertés à la publicité ciblée sur Facebook

Les fournisseurs de contenus qui affichent les publicités d'annonceurs, tels que les réseaux sociaux, affirment que les données utilisées sont non-identifiantes en ce qu'elles ne peuvent pas être rapprochées de l'identité de l'individu. Le G29, dans son avis WP 136 considérait à cet égard que « la possibilité d'identifier une personne n'implique plus nécessairement la faculté de connaître son identité »⁸⁸. La CNIL en a conclu dans son rapport sur la publicité ciblée en ligne qu'il «est possible de considérer que les données qui sont dans les profils comme l'age, le sexe ou la localisation sont des données à caractère personnel dans la mesure où elles sont liées à cet identifiant »⁸⁹. La CNIL suit ainsi la position retenue par le G29, WP 148 sur les aspects de la protection des données liées aux moteurs de recherche. De ce fait, la CNIL revendique l'application des mesures protectrices de la loi Informatique et libertés aux systèmes de publicité ciblée. La loi Informatique et Libertés serait donc applicable à la publicité ciblée sur Facebook et les membres du site pourraient donc bénéficier des droits qui leur sont reconnus dans cette loi qui sont autant de solutions pour encadrer la publicité ciblée sur Facebook (C).

C Les solutions pour encadrer la publicité ciblée sur Facebook

L'article 7 de la loi Informatique et Libertés dispose qu'un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée pour être mis en place. Les exceptions prévues au même article permettant de passer outre le consentement de la personne ne semblent pas applicables aux réseaux sociaux qui proposent de la publicité ciblée.

87 Rapport du 9 février 2009 « La publicité ciblée en ligne » de la CNIL p. ??

88 Avis n°4/2007, 20 juin 2007, relatif au concept de données à caractère personnel WP 136. p15.

89 CNIL, rapport du 9 février 2009 « La publicité ciblée en ligne » de la CNIL p. 26.

Comme nous m'avons vu dans la section préliminaire, ce consentement doit être libre, spécifique et informé. On constate que les conditions concernant le consentement sur Facebook ne sont pas remplies : en effet, le consentement n'est pas libre car la personne ne peut refuser la publicité ciblée.

Le consentement n'est pas spécifique car la personne ayant adhéré à Facebook n'a pas donné son accord à l'utilisation de ces données à des fins de prospection commerciale.

L'information sur l'utilisation des données à caractère personnel par Facebook à des fins de publicité ciblée n'est également pas respectée. Si la possibilité d'utilisation des données à des fins de publicité ciblée est indiquée dans la politique de confidentialité du site, cette information n'est pas facile d'accès dans ma mesure oü la politique de confidentialité est un document très long et difficilement compréhensible par des non-juristes. De plus, peu de membres de réseaux sociaux lisent les conditions générales et la politique de confidentialité du site ou se soucient de ce qu'il advient de leurs données.

Dans son rapport relatif à la publicité ciblée, la CNIL réclame la mise en place d'une meilleure information de l'internaute. Dans un souci de transparence, les sites de réseaux sociaux devraient clairement indiquer que toutes les informations publiées sur le site sont susceptibles d'être utilisées pour proposer de la publicité ciblée. La mise en place d'une politique de confidentialité accessible et pédagogique serait un moyen d'obtenir le réel consentement des membres de Facebook.

Des dispositions spécifiques relatives à la prospection commerciales par voie électronique sont inscrites dans le code des postes et des communications électroniques. L'article L 34-5 du code des postes et des communications électroniques alinéa 1⁹⁰ prévoit que la prospection commerciale par automate d'appel, par télécopieur ou par courrier électronique à destination de consommateurs est subordonnée à l'accord préalable de la personne démarchée (principe de « l'opt-in »). Comme il s'agit d'une disposition pénale et que le droit pénal est d'interprétation stricte⁹¹, on ne peut a priori appliquer par analogie cette obligation aux bannières publicitaires de Facebook. De ce fait, la prospection commerciale sur Facebook serait donc soumise au principe de l'opt-out c'est-à-dire à la possibilité de s'opposer à l'utilisation des données à des fins de prospection commerciale.

90 Modifié par l'article 10 de la loi n° 2004-669 du 9 juillet 2004 transposant la directive 2002/58 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

91 Article 111-4 du code pénal, corollaire du principe de légalité.

Ce principe est similaire à celui du droit d'opposition prévu à l'article 38 alinéa 2 de la loi Informatique et Libertés.

Le droit d'opposition n'est pas respecté par Facebook à l'heure actuelle puisque l'utilisateur n'a pas la possibilité de refuser les encarts publicitaires qui sont intégrés aux pages Facebook. La seule possibilité dont dispose l'utilisateur est de cliquer sur la flèche située sous la publicité afin qu'une autre publicité prenne la place de la précédente. Le non-respect du droit d'opposition de la personne dont les données à caractère personnel font l'objet d'un traitement est un délit sanctionné pénalement⁹², et le non respect du principe de l'opt-in de l'article L34- 5 du code des postes et des communications électroniques est puni par une amende de 750 euros par message envoyé. Il conviendrait donc que Facebook prévoit dans sa politique de confidentialité un moyen permettant à l'internaute de s'opposer à cette prospection commerciale.

Pour lutter contre les pratiques irrespectueuses de la loi Informatique et Libertés, La CNIL sollicite l'adoption de codes de bonnes pratiques par les professionnels et d'une procédure de labellisation⁹³. La Commission européenne travaille ainsi depuis 2007 sur le projet de label « Europrise », délivré aux sites respectant la réglementation européenne de protection des données à caractère personnel. De son coté, la Commission Fédérale du Commerce des Etats-Unis a publié un ensemble de principes, reposant sur l'autoréglementation pour encadrer la pratique des publicités ciblées⁹⁴. On y retrouve un certain nombre de principes déjà proposés par la CNIL, comme la transparence dans la collecte des données et dans l'information de l'utilisateur, la possible opposition des consommateurs à l'utilisation de leurs données dans le cadre de la publicité ciblée ou encore la conservation limitée dans le temps des données.

La publicité ciblée et incontournable sur Facebook pose donc un véritable problème dont la résolution appellerait une réponse uniforme au niveau européen.

92 Article 226-18-1 du code pénal : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, [...] est puni de cinq ans d'emprisonnement et de 300 000 € d'amende ».

93 CNIL, rapport du 9 février 2009 « La publicité ciblée en ligne » p. 32.

94 F. Gilbert, gazette du Palais, 24 avril 2008 n°115, p. 17 « Le FTC américain propose des principes pour encadrer la publicité comportementale sur Internet ».

L'autre difficulté importante liée aux réseaux sociaux concerne la conservation des données à caractère personnel (II).