Quand Facebook a établi son siège international à Dublin, fin 2008 , son service juridique ne devait pas mesurer l'ampleur des ennuis à venir -- sinon, ils auraient annulé le déménagement sur-le-champ. Après la salve de (22 !) plaintes déposées par le désormais célèbre étudiant en droit Max Schrems , c'est au tour de l'association française Internet sans frontières de réclamer une enquête sur les pratiques douteuses du réseau social en matière de vie privée.
Voilà deux ans, en effet, que tous les utilisateurs non-américains de Facebook sont sous contrat avec la société Facebook Ireland Limited, elle-même dépendant des lois irlandaises et des directives européennes. Lesquelles sont, bien sûr, beaucoup plus restrictives que leurs homologues californiennes en matière de protection de la vie privée. Facebook ne s'étant pas adapté à ce nouveau cadre juridique, son fonctionnement viole désormais de nombreux points de droit européen et de la loi Informatique et Libertés.
«L'enquête qu'a menée notre organisation démontre que Facebook, par divers instruments, et sans en avertir ses utilisateurs, a constitué un fichier biométrique et suit à la trace des personnes physiques identifiées» , explique Internet sans frontières. L'association a porté plainte ( PDF ) auprès de la Commission Nationale Informatique et Libertés (CNIL).
L'association a listé quatre points problématiques :
- «Facebook collecte de manière parfaitement déloyale et frauduleuse des données personnelles de ses utilisateurs, sans que ces derniers n'en soient informés ni que leur consentement n'ait été requis.» Ces données sont recueillies par l'intermédiaires de fichiers «cookie» automatiquement installés sur l'ordinateur des utilisateurs, même lorsque ceux-ci ont déjà supprimé lesdits cookies ou qu'ils en ont interdit le stockage. L'association a observé que les cookies Facebook peuvent contourner les choix de l'internaute car «ils ne sont pas entièrement configurés comme des cookies traditionnels.»
- «Il apparaît que les scripts diffusés par Facebook permettent aux sites internet de proposer des boutons «like» et de collecter ainsi des données sur l'historique de la navigation des internautes.» En clair, chaque site Internet ayant intégré le bouton «like» crée une connexion et un échange de données automatique avec Facebook. Il n'y a même pas besoin de cliquer sur «like» : la seule présence du bouton sur une page permet au réseau social de savoir que tel ou tel internaute l'a visitée.
- «Facebook met en œuvre un système de reconnaissance faciale, à l'insu des personnes concernées, et ce, alors qu'il s'agit d'une technologie biométrique soumise à autorisation préalable de l'autorité de régulation compétente.» L'option de reconnaissance faciale, qui permet à Facebook de «taguer» automatiquement les utilisateurs sur les photos qui les représentent, est effective par défaut chez les 800 millions de membres et difficilement désactivable.
- «Facebook collecte des données personnelles relatives à des personnes physiques qui ne sont même pas titulaires de compte Facebook» . C'est ce qu'a montré Max Schrems : à chaque fois que l'on cherche une personne sur Facebook ou que l'on synchronise son carnet d'adresse avec le réseau social, ce dernier stocke tous les noms fournis ainsi que leurs éventuels amis, même si les individus concernés ne sont pas inscrits sur le réseau.
Internet sans frontières attire également l'attention de la CNIL sur «le non respect du droit de suppression des données et la conservation pendant une durée excessive des données personnelles» . Comme montré par Max Schrems -- toujours lui --, aucune information ne disparaît des serveurs de Facebook, même lorsqu'on croit la «supprimer» ou qu'on clôture son compte.