L'association « Europe versus Facebook » vient de publier un contre-rapport destiné à pointer le non-respect par Facebook des règles européennes relatives à la protection des données personnelles. L'organisation espère démontrer les torts du réseau social, et entend déposer sous peu de nouveaux recours devant les autorités irlandaises, pays où se trouve le siège social européen de la société de Mark Zuckerberg.

Max Schrems - Crédits:  Dominik Steinmair / europe-v-facebook.org.

En août 2011, vingt-deux plaintes étaient déposées en Irlande à l’encontre de Facebook, afin que le réseau social respecte la législation européenne en matière de protection des données personnelles. Menée par l’étudiant autrichien Max Schrems, l’association « Europe versus Facebook » avait ainsi réussi à obtenir de l’équivalent irlandais de la CNIL que Facebook prenne en compte un certain nombre de recommandations d’ici au 31 mars 2012.

Abandon de la reconnaissance faciale

Après avoir observé l’application de ses préconisations par le réseau social, l’Irish Data Protection Commissioner (IDPC) affirmait en septembre dernier que « la grande majorité » de celles-ci avait été « pleinement mise en œuvre ». L’institution ajoutait que la société de Mark Zuckerberg avait décidé d’aller « au-delà » de ses recommandations initiales, en abandonnant sa fonctionnalité de reconnaissance faciale en Europe. Le principe de cette fonctionnalité est simple : à chaque fois qu'un de vos amis ajoute une photo dans laquelle vous semblez apparaitre, Facebook lui propose automatiquement d'y ajouter une identification.

L’association Europe Versus Facebook avait certes reconnu que cet abandon constituait un « grand pas en avant », mais restait dubitative face aux progrès du réseau social, tels que mis en avant par l’IDPC. « Nous sommes encore une fois navrés que la loi ait capitulé devant un géant des nouvelles technologies en Irlande », déplorait ainsi Max Schrems, soulignant que le rapport de l’IDPC n’ait par ailleurs aucune force juridique contraignante.

Europe vs Facebook présente son contre-rapport

Aujourd’hui, les personnes ayant déposé plainte contre Facebook en Irlande attendent toujours que l’Irish Data Protection Commissioner statue sur leurs requêtes. Mais pour faire avancer un peu les choses, Europe vs Facebook vient de publier un « contre-rapport » (PDF), afin de prendre le contre-pied des conclusions du rapport publié il y a trois mois par l’IDPC.

Au long des 73 pages de ce document, l’association s’efforce à pointer tout ce qu’elle considère comme étant contraire aux règles européennes en matière de protection des données personnelles. « Un audit non-contraignant ne nécessite peut-être pas une telle précision, mais nous attendons des autorités qu’elles étudient chaque détail avant de se prononcer sur nos plaintes », a ainsi expliqué Max Schrems dans un communiqué. « Dans certains cas, nous nous sommes demandé si [l’IDPC] avait vraiment vérifié les affirmations de Facebook, ou si elle avait aveuglément fait confiance à Facebook ». Europe vs Facebook, n’hésite pas à remettre en question l’interprétation de la législation européenne par l’équivalent irlandais de la CNIL. Max Schrems a d'ailleurs sa petite idée sur la question: « Nous devons comprendre la position de l’autorité irlandaise : Ils ont dû faire face à l’armada d'avocats dont dispose Facebook ».

L’association explique en outre que le rapport de l’IDPC a conduit à des améliorations, mais que celles-ci ne vont pas aussi loin qu’elles le devraient. Europe vs Facebook regrette par exemple que « les plus de 40 000 utilisateurs qui ont exercé leur droit d’obtenir de Facebook une copie de toutes les données qu’il détient sur eux n’ont toujours pas eu leurs informations. Le délai légal de 40 jours pour transmettre ces données a donc été dépassé treize fois ».

Étape vers de nouvelles actions

Et maintenant, que va faire l’association ? Elle va demander dans un premier temps à l’IDPC de lever le voile sur les « preuves et dossiers » transmis par Facebook durant ses investigations. Ensuite, « nous demanderons une décision formelle, juridiquement contraignante pour chacune des 22 plaintes », explique Europe vs Facebook, qui se voit déjà aller jusque devant la Cour de Justice de l’Union européenne. « Si nous obtenons ces éléments devant les tribunaux, il est fort probable que ceci prenne le chemin de la CJUE. Si tel était le cas, ce serait une décision historique pour tout le secteur des nouvelles technologies, de la même manière que les affaires d’anti-trust contre Microsoft » a ajouté Max Schrems.

« La façon dont Facebook Irlande traite les données personnelles a fait l'objet l’année dernière d'un examen minutieux de la part de l’IDPC », a pour sa part répondu la société de Mark Zuckerberg, comme le rapporte la BBC. Le réseau social l’assure : les conclusions de l’équivalent irlandais de la CNIL « démontrent que Facebook Irlande se conforme aux règles européennes en matière de protection des données et avec la législation irlandaise ».