Dans une décision en date du 16 janvier 2018, un tribunal berlinois a condamné la société Facebook pour utilisation illégale des données personnelles de ses utilisateurs.
En 2015, la société avait été attaquée par la Fédération des associations allemandes de consommateurs (« VZBV ») qui lui reprochait de violer le droit allemand via notamment ses conditions de paramétrage et certaines de ses conditions d’utilisation.
L’activation par défaut de paramètres essentiels du réseau social
La Fédération reprochait à Facebook de présélectionner certains paramètres de confidentialité du réseau social, au premier plan desquels la localisation des utilisateurs échangeant par messages privés sur son application mobile.
La Fédération soulignait également l’activation par défaut des réglages permettant aux moteurs de recherche de référencer le profil de l’utilisateur afin que ce dernier puisse facilement être trouvé sur Internet.
Le tribunal berlinois a estimé que ces réglages par défaut n’étaient pas conformes à la législation, et que le réseau social ne fournissait pas suffisamment d’informations aux utilisateurs à ce sujet lors de leur inscription.
Bien que ces pratiques soient déjà interdites au regard de la régulation actuelle des données personnelles, elles anticipent également la future règlementation européenne, et notamment le Règlement général sur la protection des données (« RGPD »), mais également le règlement ePrivacy. Ce futur règlement, actuellement en cours de discussion devant le Conseil de l’Union européenne, prévoit en effet que les navigateurs Web ou toutes applications de communication devront être paramétrés de telle sorte que, par défaut et dès leur installation, le traçage de l’utilisateur soit interdit. C’est donc bien l’inverse du paramétrage envisagé dans le projet de règlement ePrivacy que Facebook met pour l’instant en œuvre.
Un recueil de consentement trop peu granulaire
Le tribunal berlinois estime que le recueil de consentement effectué par Facebook via des déclarations de consentement pré-formulées dans ses conditions d’utilisation ne répond pas aux critères d’un consentement valide. Facebook doit s’efforcer de recueillir des consentements spécifiques pour les finalités visant notamment à (i) utiliser les noms et photographies de ses utilisateurs dans ses contenus commerciaux ou sponsorisés et (ii) transférer leurs données personnelles aux Etats-Unis.
Cette exigence de granularité met bien en avant le renforcement des conditions de validité du consentement par le RGPD, qui requiert en effet un consentement « libre, spécifique, éclairé et univoque » (article 4(11)). Ce critère de spécificité implique notamment qu’une demande de consentement trop monolithique pour des opérations qui relèvent de finalités différentes (et devraient donc entrainer plusieurs demandes de consentements spécifiques) est illicite. Le consentement doit donc être obtenu pour chacune des finalités définies par Facebook.
Une revendication de « gratuité » légitime
Le tribunal berlinois a considéré que le fait pour Facebook de se revendiquer comme étant un service « gratuit, et qui le restera » n’était pas de caractère à tromper les utilisateurs. La Fédération allemande considérait que Facebook n’était pas un réseau social gratuit dans la mesure où il se « rémunérait » en collectant les données personnelles de ses utilisateurs.
Le tribunal a quant à lui jugé le slogan de Facebook comme étant légitime, des données ne pouvant être considérées comme étant un prix.
Le réseau social doit désormais modifier ses pratiques et ses conditions d’utilisation sous peine de devoir payer une amende pouvant aller jusqu’à 250.000 euros « pour chaque infraction constatée ». Il a déjà fait savoir son intention de faire appel de la décision.
Alors même que Facebook a tenu à rappeler ses principes de confidentialité avant l’échéance du 25 mai 2018, la société doit faire face aux nombreuses procédures engagées et décisions rendues à son encontre dans plusieurs pays européens, dont les dernières en date en France et en Espagne