Facebook s’y était engagé cette semaine et cela s’est produit hier : des millions d’utilisateurs en Europe ont reçu un mail de la plateforme les invitant à accepter les nouveaux paramètres de confidentialité mis en place pour de se mettre en conformité avec le Règlement Général de Protection des Données (RGPD) qui entrera en vigueur le mois prochain. Le message était intitulé « Veuillez accepter nos conditions d’utilisation avant le 25 mai pour continuer à utiliser Facebook » et en elle-même, cette formulation est problématique, car elle revient une nouvelle fois à exercer sur les utilisateurs une forme de « chantage au service ».
Alors que le scandale Cambridge Analytica est encore dans tous les esprits, Facebook a déployé beaucoup d’efforts pour tenter de rassurer ses utilisateurs européens, allant jusqu’à acheter des publicités en pleine page dans la presse pour vanter les mérites du RGPD et afficher sa volonté de s’y conformer.
A vrai dire, ce texte n’était pas particulièrement rassurant, notamment à cause de cette phrase : « Conformément aux nouvelles règles, vous devrez revoir vos choix concernant l’utilisation de vos données personnelles sur Facebook« . Car cela revient encore une fois à renvoyer les individus à la responsabilité de la protection de leurs propres données, alors que c’est l’entreprise elle-même qui devrait revoir ses principes de fonctionnement pour se mettre en conformité avec le RGPD.
Indépendamment de leurs contenus, la manière dont Facebook a demandé à ses utilisateurs d’accepter ce changement de ses conditions d’utilisation fait très sérieusement douter de sa volonté de respecter les principes du RGPD, à commencer par l’obligation de recueillir un « consentement libre et éclairé » qui n’est ici manifestement pas satisfaite.
Dans la « fabrique du consentement » de Facebook
On doit l’expression « fabrique du consentement » à Edward Herman et Noam Chomsky, qui l’ont forgée pour décrire la manière dont les médias exercent une influence déterminante sur les élections aux Etats-Unis. Mais il a matière à reprendre cette formule pour désigner ce qui sera un des enjeux les plus importants de l’application du RGPD : le texte requiert en effet – dans la plupart des cas – que les personnes expriment leur consentement à un traitement de données à caractère personnel. Il sera donc crucial pour les plateformes d’arriver à « faire consentir » leurs utilisateurs et la manière dont Facebook a présenté cette modification de ses CGU constitue un véritable cas d’école de « consentement assisté ».
Quatre points principaux étaient en jeu dans cette révision des conditions d’utilisation :
- La manière dont sont partagées certaines informations « sensibles » pouvant figurer dans les profils, comme la situation amoureuse, la religion ou l’orientation politique ;
- L’activation des fonctionnalités de reconnaissance faciale dans les photos ou les vidéos publiées sur la plateforme ;
- Le fait que Facebook puisse utiliser des données fournies par « partenaires » pour proposer des publicités ciblées, notamment des traces laissées lors de l’utilisation de sites tiers ne faisant pas partie des différents sites que possèdent Facebook ;
- Divers changements touchant des fonctionnalités comme le Marketplace et la manière dont les données sont partagées entre les différents services détenus par Facebook (WhatsApp, Instagram, Oculus).
Comme le relève le site Techcrunch, il y avait déjà une certaine ambiguïté dans le design même des pages par lesquelles Facebook a demandé à ses utilisateurs de consentir à ces changements :
A toutes les étapes, vous pouvez appuyer sur le joli bouton bleu « J’accepte et je continue » sans avoir nécessairement scrollé pour lire les informations. Si vous appuyez sur le vilain bouton gris « Modifier les paramètres », vous devez en passer par des écrans intermédiaires où Facebook vous présente des arguments pour essayer de vous dissuader de retirer des informations avant de vous laisser faire votre choix. Il semble que tout ait été pensé pour que les utilisateurs passent leur chemin sans opposer de résistance, tout en introduisant des « frictions » lorsqu’ils souhaitent effectuer des changements.
Mais il y a surtout des différences significatives dans la manière dont ces quatre choix ont été présentés aux utilisateurs.
Pour le partage des informations sensibles et la reconnaissance faciale, il semble que Facebook ait bien fait l’effort de se conformer aux prescriptions du RGPD. Concernant ces deux points, les fonctionnalités sont en effet désactivées par défaut et il faut que l’utilisateur aille activement cocher des cases pour exprimer son consentement à ce que ces informations soient partagées ou la reconnaissance faciale activée. On est donc bien dans un consentement « libre » dans la mesure où le refus n’est pas bloquant et ne cause pas de préjudice à l’utilisateur, en l’obligeant notamment à supprimer son profil.
On notera quand même la manière dont Facebook s’efforce d’influer sur la décision de ses utilisateurs, en mettant en avant les nombreux « bienfaits » qui résulteraient de l’activation de cette fonctionnalité, comme la protection contre l’usurpation d’identité ou même l’assistance aux personnes malvoyantes (mais sans dire, bien sûr, que cela permettra aussi à l’entreprise de constituer une des plus gigantesques bases de données biométriques au monde…).
Pour l’utilisation des données partenaires à des fins de ciblage publicitaire, les choses sont déjà subtilement différentes, puisque l’option est activée par défaut et qu’il faut que l’utilisateur aille plonger dans ses paramétrages de confidentialité pour y mettre fin. On peut se demander dans quelle mesure cette modalité d’approbation est bien conforme aux principes de « privacy by default » et de « privacy by design« figurant dans le RGPD, qui impliquent que les personnes obtiennent d’emblée le plus haut niveau de protection possible de leurs données.
Mais c’est surtout pour la dernière partie de l’acceptation des modifications des CGU que la manière de procéder de Facebook est problématique. Notamment pour ce qui a trait au partage de données entre Facebook, Instagram, WhatsApp et Oculus, l’utilisateur n’a en réalité que le choix de les valider ou de supprimer son profil, comme on le voit sur l’écran ci-dessous :
Facebook nous dit que nous avons « plusieurs options » si nous ne souhaitons pas accepter ces changements, mais en réalité, il n’y a aucune alternative à la suppression du compte en cas de refus. La plateforme propose juste de télécharger ses données avant de la quitter, ce qui permet à l’utilisateur d’exercer le droit à la portabilité prévu dans le RGPD.
Violation du consentement libre
Il est surprenant que Facebook ait choisi de procéder ainsi, car en acculant ses utilisateurs à accepter ou à quitter la plateforme, il viole l’obligation de recueillir un « consentement libre ». C’est déjà cette forme de « chantage au service » qui lui avait été reproché en décembre dernier par la CNIL à l’occasion d’une mise en demeure liée au partage de données entre WhatsApp et Facebook :
Le consentement des utilisateurs n’est pas valablement recueilli car il n’est pas libre – le seul moyen de s’opposer à la transmission des données […] est de désinstaller l’application.
Cette interprétation résulte de lignes directrices que le G29 (le groupement des autorités de protection des données en Europe) a émises à la fin de l’année dernière à propos de la notion de consentement. Elles expliquent notamment que « le RGPD prévoit que si la personne concernée n’a pas un véritable choix, se sent contrainte de consentir ou subira des conséquences négatives si elle ne consent pas, alors son consentement n’est pas valide. » Il est également précisé que « le RGPD garantit que le traitement de données personnelles pour lequel le consentement est demandé ne peut pas devenir, directement ou indirectement, la contrepartie d’un contrat ».
Cela signifie qu’une plateforme ne peut placer ses utilisateurs devant une option de type « take it or leave it« . Si les individus donnent leur consentement dans une situation où ils y sont contraints pour pouvoir continuer à bénéficier d’un service, alors ce consentement n’est tout simplement pas valide. Dans un billet précédent, j’expliquais que cette interprétation du G29 est extrêmement importante, car elle va empêcher que les plateformes n’instrumentalisent le consentement des individus pour les faire participer à la fragilisation de leurs propres droits :
Ce caractère « libre, spécifique, éclairé et univoque » du consentement constitue autant de critères « objectifs » qui vont permettre de déterminer des conditions dans lesquelles un individu ne pourra pas consentir valablement à un traitement de données. Il s’agit donc moins en réalité de donner à l’individu un pouvoir de consentir que de définir, au contraire, ce à quoi il ne peut pas consentir.
Le résultat est donc que peu importe que des millions d’individus aient sans doute accepté les modifications de CGU proposées hier par Facebook, cela ne peut pas constituer une base légale pour traiter leurs données personnelles, car les personnes ne pouvaient valablement exprimer leur consentement vu les conditions dans lesquelles elles étaient placées pour exercer leur choix. Mais de nombreux internautes n’ont pas l’air de comprendre cet apport majeur du RGPD, comme le montre par exemple le commentaire ci-dessous :
La métaphore trompeuse du restaurant
Lorsque j’ai essayé d’expliquer ce problème hier sur Twitter, je me suis rapidement heurté à un certain nombre d’objections de la part de personnes qui trouvaient normal que Facebook procède de cette manière pour faire valider ses nouvelles CGU. Et plusieurs d’entre elles ont utilisé la métaphore d’un restaurant et de ses clients pour justifier leur point de vue :
Cela peut paraître relever du bon sens, mais en réalité, cette comparaison est profondément trompeuse. En effet, la relation entre un restaurant et ses clients est d’emblée marchande, alors que le RGPD – du moins dans la manière dont le G29 l’interprète – vise à éviter justement que les données personnelles soient « marchandisées ». Plus exactement, le texte vise à empêcher que les données des utilisateurs servent de monnaie d’échange en échange de l’accès à un service. C’est aussi ce que le Parlement européen a affirmé en novembre dernier à l’occasion de l’examen du règlement ePrivacy :
Les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises.
Si cette interprétation exigeante de la notion de « consentement libre et éclairé » s’impose, alors il en sera fini de ce modèle de fausse gratuité basée sur la publicité ciblée où les internautes devaient « payer » les services avec leurs données et leurs libertés.
***
Malgré les déclarations de Mark Zuckerberg, Facebook s’est donc à nouveau moqué de ses utilisateurs en procédant de la manière dont il l’a fait pour leur faire accepter ces modifications de CGU. Et il est assez piquant de constater qu’alors il présentait ces changements comme une mise en conformité avec le RGPD, il en a en réalité violé l’esprit.
Mais tout l’enjeu à présent va être de pouvoir faire valoir ces droits que le RGPD garantit, car ils resteront sinon lettre morte et aucun bénéfice réel n’en découlera. C’est la raison pour laquelle il est crucial de soutenir les actions de groupe que La Quadrature du Net est en train de lancer contre les GAFAM, car elles s’appuient précisément sur la notion de « consentement libre » du RGPD (et la première visera Facebook dès le 25 mai prochain).
Le but poursuivi n’est pas seulement d’obtenir des modifications à la marge des CGU de Facebook, mais de détruire le modèle économique hyper-toxique sur lequel Facebook a construit son empire :
Le modèle économique de Facebook est en train d’être drastiquement remis en cause. Il n’est plus permis de rémunérer un service en contrepartie de libertés fondamentales. Facebook ne va pas forcément disparaître, mais ne pourra plus continuer à se rémunérer de la même façon.
Mais qu’importe : nous n’avons pas besoin de Facebook pour pouvoir continuer d’utiliser des services gratuits et de qualité. Il existe déjà de nombreuses alternatives aux services des GAFAM qui sont réellement gratuites (c’est-à-dire qui n’impliquent pas de « monnayer » nos libertés), car leur financement repose sur le modèle originel d’Internet : la décentralisation, qui permet la mutualisation des coûts en stockage, en calcul et en bande passante.
[…]
Rejoindre collectivement ces alternatives est bien l’objectif final de nos actions, mais nous pensons pouvoir n’y parvenir qu’une fois chacun et chacune libérée de l’emprise des GAFAM. Nous pourrons alors construire l’Internet de nos rêves, libre et décentralisé, que notre alliée Framasoft construit déjà chaque jour ardemment !
Pour cela, il importe d’être les plus nombreux possibles à l’occasion de ces actions de groupe pour peser en faveur d’une interprétation la plus stricte possible du RGPD, en mettant la pression sur la CNIL pour qu’elle reste fidèle à la vision qu’elle a mise en oeuvre en décembre dernier face à WhatsApp. Donc prenez le temps de cliquer sur ce lien : se joindre à la procédure est gratuit , sans risque légal et cela ne requiert que… votre libre consentement dont vous pouvez faire une arme plutôt qu’un instrument de soumission !
PS : suite à ce billet, j’ai supprimé mon profil Facebook, ainsi que la page associée à ce blog.
PPS : de nombreux internautes m’ont signalé que des sites et entreprises comme Airbnb, BlablaCar ou Axa exercent eux aussi un « chantage au service » pour faire valider leurs changements de CGU en vue de l’entrée en vigueur du RGPD…
- S.I.Lex - 
Bonjour, J’étais toujours méfiant dans mes données inscrites sur FB, et petit utilisateur, mais contraint à avoir un compte pour communiquer et recevoir des nouvelles de certains sites officiels à jour uniquement sur FB: mairie, syndicats de communes, ou de services. A la réception du message de mise à jour, j’ai choisi de me désinscrire. J’ai lu l’aide pour choisir la méthode, il faut dire déjà que tout est fait pour en être dissuadé, ensuite pas facile remettre son mot de passe, mettre un code affiché (ce qui est une autre forme d’enregistrement des données comme avec Captcha de Google) puis finalement une confirmation … dans 14 jours … si je ne l’utilise pas, donc visiblement tout est fait pour compliquer le départ.
Oui, j’ai eu exactement la même sensation désagréable en supprimant mon compte. J’ai adoré par exemple les pages d’aide qui vous explique comment effectuer cette suppression, mais sans comporter de lien vers l’interface qui permet de la faire, ce qui oblige ensuite à aller fouiller dans un labyrinthe d’écran. Et comme vous le faites remarquer, il faut encore remplir un Captcha pour confirmer la suppression, histoire de vous faire effectuer un dernier petit acte de Digital Labor avant que vous ne partiez et que l’on vous pompe une ultime donnée…
Bof moi je suis sur facebook mais comme la plupart de ceux que je connais.
Mais ce n’est pas mon nom, mon age non plus, ni ma localisation je ne met pas de photos sur lesquelles je suis,
tout est faux sauf le groupe d’amis car nous nous voyons aussi dans la vrai vie.
En plus cela permet de recevoir pas mal de bon anniversaire à une date qui ne l’est pas!!!
Même vos vrai amis peuvent parfois se tromper.
Par contre dans certaines conditions, je suis confronté à des acceptations CGU dans lesquelles je dois me conformer au droit américain moi même en tant que personne physique….. ça passe très mal….
Par exemple actuellement j’ai ça :
« ….. You agree to use the Site and Mobile Application in compliance with all applicable US and local laws and regulations related to import and export.
You acknowledge that the Site and Mobile Application are subject to the U.S. Export Administration Regulations and diversion of contrary to law is prohibited.
You may not use or access, or supply, transfer or re-export the Site or Mobile Application, directly or indirectly,
to or from prohibited or embargoed countries or parties.
You further agree that You will not use the Site for any prohibited end-use, such as nuclear activities, chemical/biological weapons, or missile projects, unless expressly authorized by the U.S. Government.
You acknowledge that as between You and Member Firm, Member Firm shall have no responsibility
for obtaining any/all licenses required for export or re-export. »
J’ai passé les 20 paragraphes qu’il y avait avant(..), le premier problème c’est que je ne parle pas bien anglais donc je ne comprend pas bien ce qui est ecrit,
Et le second problème c’est que je suis quasiment obligé de d’agréer car c’es tpar le biais de ma boulot donc je n’ai pas le choix….(une fois nous avons du signer un document papier pour nous soumettre à la loi Amèricaine, j’ai donc ajouter beaucoup de texte avant de signer!!!….) mais là c’est sur le net je ne peux rien ajouter.
La logique de Stéphane Klein n’en est pas une… Le problème n’est pas : « Si je n’aime la cuisine de ce restaurateur, je ne vais pas chez lui », mais « Je veux pouvoir manger chez ce restaurateur sans qu’il revende à des organismes extérieurs mes heures d’arrivée et de départ chez lui, la liste des plats que j’ai aimé et pas aimé, ma consommation de boissons alcoolisées ou non, la marque des vêtements que je porte, les allergies que je lui ai éventuellement signalées et l’identité complète des personnes qu’il m’arrive d’inviter dans son établissement. »
À part ça, bravo pour votre désinscription de Facebook, mais je constate hélas à quel point ça devient chaque jour plus difficile de vivre sans être connecté en permanence à tous ces services, de vivre sans smartphone et sans App diverses et variées. Matériellement difficile je veux dire, parce que psychologiquement on s’en passe très bien. Tout désormais passe par l’immatériel et le cloud, sans alternative possible (pensez à n’importe quelle démarche administrative, à la réservation d’un hôtel ou d’un billet de train, à l’achat d’un simple billet de bus…). Les dégâts sont déjà considérables, qu’ils soient sociétaux, énergétiques, environnementaux, idéologiques, politiques, économiques et même militaires !
C’est une dépendance qui s’est mise en place très vite, avec notre consentement et parfois notre enthousiasme, souvent grâce à notre participation active (y compris la mienne : je bats ma coulpe même si ça ne sert à rien), et qu’il sera fort difficile d’abolir.
Merci ! Excellente façon en effet de démonter cette « métaphore du restaurant ».
Moi, je l’aurais plutôt démontée comme suit cette métaphore du restaurant.
Je peux manger chez le restaurateur, porter un masque et payer en liquide.
Donc sans carte bleue, ni paiement via téléphone portable, comme ça va être de plus en plus le cas.
Pour Facebook, c’est dès sa création que j’ai refusé de m’y inscrire. Exactement le jour où j’ai reçu deux invitations d’ami(e)s… auxquels j’ai demandé : tu m’as invité sur Facebook ?
Réponse les deux fois : non !
Facebook avait déjà croisé mes données et mon mail avec ceux de mes amis.
Maintenant, ils vendent les données qu’ils ont collectées.
Et le pire, c’est que la reconnaissance faciale est de fait. Acceptée ou refusée, elle est effectuée. Pour toutes les personnes présentes sur la photo ! Oui, toutes. Qu’elles soient consentantes ou pas. Et le graphe de relations est établi.
Voilà pourquoi ils ont poursuivi et vont poursuivre la reconnaissance faciale : pour ficher tout le monde.
La seule différence c’est que, en cas de refus, ils ne vous fourniront pas les services correspondants. Sur une base de données, il suffit juste de consulter le petit bit indiquant si vous avez consenti ou pas. Tout le reste est présent dans la base de données.
Avec Facebook, on peut s’interroger du pourquoi il est obligatoire d’utiliser son vrai nom et pas un pseudo, n’est-ce pas ?
Quelques remarques :
– On entend souvent dire que Facebook « vend les données » des utilisateurs, mais sans vouloir les défendre, ce n’est pas exact. Facebook n’est pas un « databroker » (entreprises qui pullulent par ailleurs) et à qui Facebook achète plutôt des données. Facebook permet à des annonceurs d’utiliser des données de profil pour faire de la publicité ciblée contre rémunération, mais les données ne sont pas vendues au sens propre. Dans l’affaire Cambridge Analytica, Facebook n’a rien vendu : il donnait un droit d’usage sur les données de son graphe à des tiers pour produire des applications. C’est cette possibilité qu’un « chercheur » a utilisé pour siphonner des données qu’il a ensuite revendues à Cambridge Analytica.
– La reconnaissance faciale n’est pas activée par défaut pour toutes les photos. Facebook a même réduit très largement cette fonctionnalité avec la dernière mise à jour de ses CGU : il faut à présent que l’utilisateur l’active manuellement dans ses paramètres pur qu’elle devienne effective. Sur ce point-là, on peut dire qu’il respecte le RGPD (privacy by default), même s’il incite quand même assez lourdement l’utilisateur pour qu’il consente à la reconnaissance faciale. Après j’imagine qu’il est assez facile pour Facebook d’associer des photos de portraits au nom des personnes qui les postent, mais ce n’est pas de la « reconnaissance faciale » en tant que telle.
– Facebook oblige en effet à utiliser le service sous sa vraie identité, mais il semble que cela soit illégal, comme l’a jugé une cour en Allemagne récemment : https://www.lesechos.fr/tech-medias/hightech/0301287548905-donnees-personnelles-facebook-condamne-en-allemagne-2152981.php
C’est important de se montrer critique vis-à-vis de Facebook, mais je pense qu’il faut le faire avec précision pour cibler exactement ce qui ne va pas dans son mode de fonctionnement.
Que FesseBouc ne vende pas ses données mais que l’accès a ses bases de données… euh comment dire… pour moi ça reste tout aussi problématique.
De plus je pense que vous vous faites des illusions assez naïves, vous oubliez que l’existence même de cette bases de données est dangereuse par :
– La capacité de Facebook d’exploiter ses propres bases de données peut procéder a des manipulations sur des individus ou sur la vie publique dans ses propres intérêts.
– Les clients de FesseBouc sont multiples, il n’y a certainement pas que le marchand de chaussure du coin. On ne me fera pas croire que des gouvernements aient les mêmes accès que les marchands de chaussures aux données, dont la NSA et la CIA. Ce qui individuellement est d’une importance relative pour la collectivité le devient beaucoup moins quand il s’agit de manipulations de masse et «d’intelligence» au sens anglais du terme, avec a la clé une influence sur les processus législatifs, la corruption, la détection et manipulation des mouvements contestataires, le renversement de gouvernement, ou l’espionnage industriel.
Je ne dis pas que l’existence même de cette immense concentration de données n’est pas dangereuse.
Mais Facebook ne « vend » pas directement les données. Il vend de l’espace publicitaire à l’intérieur de son interface et ce n’est pas la même chose. Avant que Facebook ne ferme le robinet en 2014, il permet à des développeurs tiers d’utiliser ses API pour créer des applications. Mais cet accès aux données n’était pas payant. Le modèle économique de Facebook est indirect, via la publicité, mais Facebook n’est pas un « data broker » https://atelier.bnpparibas/smart-city/article/data-brokers-commerce-donnees-personnelles
Je ne dis pas cela pour minimiser la critique à leur encontre, mais encore une fois, il s’agit d’être précis.
Par contre, on est certain que le gouvernement américain a bien accès aux données de Facebook. C’était un des aspects du programme Prism révélé par Snowden : https://www.huffingtonpost.fr/2013/06/07/programme-prism-vie-privee-gouvernement-americain-acces-donnes-personnelles-facebook-google-microsoft-apple_n_3401121.html
Bonjour , excellent article , mais il ne faut pas se leurrer , il y a » chantage au service » sur toutes les plates-formes , j’en utilise plusieurs , y compris celle sur laquelle nous sommes en ce moment . Et il y a partout un problème : sur Google+ ou Blogger , toute photo postée ne peut plus être effacée , elle reste en ligne et utilisable indéfiniment . On peut donc supposer que pour les autres données il en est de même sur Google+ … Sur Fb il y a d’autres problèmes , ainsi que sur d’autres sites également . Ensuite , les sites sur lesquels on peut effectivement fermer un compte sont rares , car en général les comptes restent ouverts malgré tout …
Pour limiter les dégâts , lors de mon inscription sur différents sites je n’ai jamais donné mes vraies coordonnées ( date de naissance , etc … ) , à part mon nom , afin qu’elles ne soient pas utilisables par un faussaire par exemple .
Si on veut , et c’est ce que je fais , on peut aussi essayer d’utiliser un navigateur plus respectueux de la vie privée ( Mozilla par exemple ) , un moteur de recherche français ( Qwant ) , un autre système d’exploitation ( Linux ) , mais il ne faut quand même pas trop se leurrer sur la protection des données …
Autre exemple : vous recherchez sur Google , Duckduck , Yahoo , Bing … un appareil photo dans une certaine gamme de prix , et quelques jours jours plus tard vous avez de la pub pour cette même gamme d’appareils photo dans votre messagerie ou sur Fb ! Et cela pendant 15 jours environ …
Donc , à mon avis on est pistés de tous les côtés … Non ?
J’ai envie de rire quand je vois ci-dessus la pub de Fb : » DE NOUVELLES REGLES EUROPEENNES POUR UNE MEILLEURE PROTECTION DE VOS DONNEES « . Si le but de Fb était vraiment là , ces mêmes règles auraient été appliquées depuis longtemps par Fb . Donc si quelqu’un aujourd’hui veut y croire à ces nouvelles règles , et bien bon courage …
Aller , bon dimanche quand même :)
Bonjour,
Merci pour votre lecture.
C’est vrai qu’on peut avoir un vrai sentiment d’impuissance et de fatalité face à l’ampleur de la collecte des données nous concernant. C’est déjà bien qu’à titre individuel vous contribuiez à diminuer l’ampleur de cette extraction en utilisant des services alternatifs plus respectueux de la vie privée.
Mais je crois qu’il faut bien voir que le RGPD offre une vraie chance de briser ce cercle vicieux en reprenant la main, grâce à cette notion de « consentement libre » qui peut permettre de s’attaquer à la racine du problème et de ne plus faire justement reposer la régulation du système sur de simples décisions individuelles.
Mais pour cela comme je le dis dans le billet, il va falloir faire valoir ces droits en justice, car l’exemple de Facebook, AirBnB, BlaBlaCar, Axa et bien d’autres, montre que les grandes entreprises vont tenter de faire « comme si de rien n’était » en prétendant être en conformité en ayant fait quelques ajustements cosmétiques dans leurs CGU.
Je ne peux donc que vous recommander si vous êtes soucieux de ces enjeux de vous joindre à l’action de groupe initiée par la Quadrature du Net.
Oui , je sais , je suis plutôt pessimiste et fataliste dans mon commentaire ci-dessus .
Bon , aller , je vais relire plus calmement votre excellent article pour reprendre un peu confiance …
Ok , j’ai trouvé le lien vers » La quadrature du net » sur votre page de présentation . Je vais voir ça :) A bientôt .
La principale différence avec un restaurant est que Facebook est quasi monopolistique. Si l’on veut faire la comparaison, il faudrait considérer un restaurant isolé loin de toute autre ressource et qui poserait des conditions abusive pour servir des clients qui n’ont d’autre ressource alimentaires (les lois contre les affameurs ne sont pas d’invention récente). En outre, la nature même du service fourni comporte une importante composante réseau, nécessaire à la vie sociale contemporaine, et donc l’économie de la chose est soumise à des effets de réseaux et rend donc la concurrence quasi impossible contre un acteur installé (ce qui, in abstracto, ne serait pas le cas pour un restaurant, même isolé). Ce problème des effets de réseaux est d’ailleurs omniprésent dans toute l’économie immatérielle. Mais, sous la pression de lobbies richissimes, les législateurs n’en tirent pas les conclusions qui s’imposent, dont un nécessaire affaiblissement des droits associés à ce que l’on appelle « propriété intellectuelle » de l’immatériel.
A reblogué ceci sur les AZA subversifs – la suite.
Bonjour
Je partage votre analyse.
Cela étant, il va falloir continuer à faire le ménage sur scinfolex 😉
Privacy Badger bloque 14 trackers et µBlock en bloque 7 !
Est-ce qu’il y a moyen d’en savoir plus ? C’est peut-être dû au fait que j’use et abuse des « embed » dans mes billets et que cela embarque peut-être automatiquement des traceurs ?
Merci pour la mise en lumière de la fabrique du consentement chez Facebook.
Voici les principaux services tiers que Privacy Badger signalent comme traceurs potentiels :
* graph.facebook.com
* http://www.google.com
* api.pinterest.com
* platform.twitter.com
Le reste, ce sont principalement des domaines liés à WordPress (*.wordpress.com, *.wp.com), Google (*.googleapis.com, *.gstatic.com) ou au blog (*.gravatar.com, *.printfriendly.com).
@Bernard Lang
Votre analyse est très juste.
Cela étant je m’interroge à l’égard d’une autre comparaison : celle de la fiche de paye du salarié. Sans données personnelles et sans traitement de données pas de fiche de paye. C’est un cas où il va être compliqué de refuser de donner un accord.
Cela étant dit, je sais que mon employeur et son prestataire ne feront aucun usage commerciale de mes données et elles ne seront utilisées que dans le cadre des obligations légales qui sont les siennes.
Le RGPD prévoit cela. Le consentement ne constitue d’un des six fondements qui peuvent servir de base légale à un traitement de données personnelles.
Voir : http://www.privacy-regulation.eu/fr/6.htm
Et un des fondements qui permettent de se dispenser du consentement individuel est celui-ci : « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ».
C’est ce qui va d’appliquer pour le cas de la fiche de paye d’un salarié (sans pour autant dispenser l’employer de respecter les autres obligations du RGPD, notamment du respect des principes de finalité et de minimisation de la collecte).
Mais ce fondement n’est pas ici applicable à Facebook, car le point problématique que je pointe dans ces nouvelles CGU concerne des transferts de données entre ses différents services qui ne sont nullement comparables à une relation d’employeur à salarié.
Le G29 le dit d’ailleurs dans ses directives sur l’interprétation du consentement « libre et éclairé » : « le RGPD garantit que le traitement de données personnelles pour lequel le consentement est demandé ne peut pas devenir, directement ou indirectement, la contrepartie d’un contrat ».
Ici, on n’est justement pas d’ailleurs dans un cas où Facebook cherche à se dispenser de l’obligation de recueillir un consentement, mais dans celui où il « force » le consentement par un « chantage au service ».
Ce qui est aussi plus dérangeant, c’est l’acceptation que l’on fait simplement pour téléphoner. Par exemple comment ne pas être « ciblé » par les publicités sur son compte Orange, alors que nous payons par ailleurs un abonnement. Déplacement par les bornes GSM, les fadettes, puis la pub. Les messages sur le mobile, … qui incitent à se connecter … et passer par « Google-plaie » pour ne serait-ce que charger l’application.
On oublie un détail important dans cet article, tout de même. Je reprends la métaphore du restaurant, et même du restaurant monopolistique évoqué dans les commentaires. Facebook est un restaurant dont le patron a décidé un jour d’offrir tout ce qu’il prépare gratuitement. En se disant qu’il financerait ça par le placement de publicités sur les sets de table. Les visiteurs de ce restaurant seraient libres de choisir de manger gratuitement en échange de permettre au patron de partager avec les annonceurs sur les sets de table tout ce qu’il apprend des personnes qui entrent dans son restaurant sans jamais révéler leurs noms. Or, la marché de la restauration offre d’autres alternatives mais, rien à faire, les visiteurs reviennent toujours au restaurant gratuit. Gratuit en apparence puisqu’il y a échange entre la nourriture et les données.
En cela, Facebook n’est PAS comparable à n’importe quelle autre entreprise qui utiliserait des données personnelles comme, par exemple, vos employeurs avec les données récoltées dans le service des ressources humaines, ou encore votre compagnie d’assurances, ou votre banque.
Peut-être, mais cela renforce l’idée que la métaphore du restaurant est trompeuse, car précisément aucun restaurant ne fonctionne ainsi…
Et cela ne change pas le fond du problème, car la CNIL notamment a bien estimé que l’activité publicitaire de Facebook ne pouvait être considérée comme son activité principale : « l’objet principal du service est la fourniture d’un réseau social […], que la combinaison des données des utilisateurs à des fins de ciblage publicitaire ne correspond ni à l’objet principal du contrat ni aux attentes raisonnables des utilisateurs [et qu’il incombe donc à Facebook] de veiller à ce que les droits des personnes concernées soient respectés et notamment à ce que l’exécution d’un contrat ne les conduise pas à y renoncer ».
Ce qui signifie que Facebook ne peut pas valablement extorquer le consentement des individus en leur imposant d’accepter ses CGU en échange de leurs données pour accéder au service.
le plus grand crime selon moi, c’est d’obliger les gens à faire apparaître leur vrai identité
Oui, vous avez parfaitement raison.
A noter cependant que Facebook a été condamné par la justice allemande en janvier dernier notamment pour la clause dans ses CGU qui oblige les internautes à utiliser le réseau social sous leur vraie identité : https://www.lesechos.fr/tech-medias/hightech/0301287548905-donnees-personnelles-facebook-condamne-en-allemagne-2152981.php
Il est donc possible que ce ne soit pas non plus une fatalité.
A reblogué ceci sur Je veille… culturelle !et a ajouté:
Une fois n’est pas coutume, je « reblog » cet article fort éclairant de S.I.Lex sur la mise à jour des conditions d’utilisation de Facebook. Soyez vigilant·e·s en mettant à jour vos « préférences », qui comme vous le verrez sont un peu forcées…
Grosse question que je me pose à partir de ça : PS : suite à ce billet, j’ai supprimé mon profil Facebook, ainsi que la page associée à ce blog.
La fin de ton consentement « éclairé » signifie la fin du traitement de tes données.
Donc, logiquement, Facebook devrait arrêter de traiter tes données et les faire disparaître de sa base de données.
Mais comment peut-on le vérifier ?
Ce qui m’étonne un peu, c’est que tu n’aies pas demandé/exercé ton droit à la portabilité de tes données avant la fermeture du compte, ce qui t’aurait permis de savoir tout ce que Facebook avait collecté sur toi durant tout ce temps.
Peut-être que tu l’as fait, mais tu n’en parles pas.
Je me glisse, ici. Certains utilisateurs utilisent FB comme un blog. Ils enregistrent des textes, des images, et non seulement des échanges d’infos avec des « amis ». Il y a donc un stockage importants de données s partagées, sans contrôle et qui sont largement exploitées par les « chercheurs » et font l’intéret de Google et cie, toutes données et images qui transférées dans les explorateurs ne sont plus maitrisées. Il convient de copier (et décharger ces données avant de supprimer son compte, j’ai aussi lu dans l’aide qu’il est recommandé de supprimer ses dialogues, conversations … puisque l’acces sera coupé. Enfin après suppression du compte FB laisse 14 jours de « délai de réflexion » des fais que … des remords?
Réponse : on ne peut pas être certain que Facebook supprime toutes les données après suppression du compte, et il est même certain au contraire que ce n’est pas le cas. C’est assez bien expliqué dans cet article https://www.sudouest.fr/2018/03/28/pourquoi-vos-donnees-survivront-a-la-suppression-de-votre-compte-facebook-et-quels-en-sont-les-risques-4321988-10275.php
C’est tout le problème d’ailleurs des Ghosts Profile que Facebook génère à partir de notre navigation sur des pages comportant des boutons « J’aime ». Cela permet à Facebook d’alimenter des profils à propos de personnes : 1) soit qui n’ont pas de compte Facebook (comme vous), 2) soit qui l’ont supprimé.
Donc supprimer son compte ne permet pas réellement de « sortir » de Facebook. C’est un acte qui reste à mon sens important, mais ça ne peut pas constituer une solution au problème que pose Facebook en tant que tel.
Mais encore une fois, ce n’est pas une fatalité, car Facebook a été lourdement condamné pour ces pratiques récemment en Belgique et il le sera encore plus avec le RGPD http://www.lemonde.fr/pixels/article/2018/02/16/vie-privee-facebook-condamne-en-belgique_5258213_4408996.html Mais pour ça, il faut qu’il y ait des procès et des actions de groupe.
Enfin, j’ai bien exercé mon droit à la portabilité et j’ai récupéré un volumineux fichier de données avant de supprimer mon compte.
Merci beaucoup pour ces explications.
Bonjour, J’utilise uniquement FB pour échanger et avoir des informations concernant une pathologie dont je souffre et qui n’est pratiquement pas prise en charge en France. FB devrait proposer un service spécifique MD, Médic, care, Health ou ce que vous voulez pour permettre aux patients de se soigner sans subir de pressions extérieures, entravant, entre autre, la confidentialité des échanges.
Je souhaite accepter la clause de confidentialité de Facebook
Cet article d’une limpidité inelagée est l’un des premiers tres clairs que j’ai pu lire jusqu’a ce jour. Il m’a permis de comprendre la portee des nouvelles CGU de facebook au regard du nouveau reglement europeen. Cela va me permettre de faire mes analyses comparatives sur la protection de ces donnees en Europe et en Afrique.
Merci merci. Plaisir de vous lire tres bientot.
http://acai-berry-extreme-top1-eu-nl-be.supplclick1.eu
Je suis victime d’une arnaque de rencontre et une personne ayant venu à mon aide suivez mon témoignage.
Je me prénomme Marie Carmen, j’ai été victime d’arnaque de rencontre au prix de 30.000 €.
C’était un homme au nom de Michel Montagnier que j’ai rencontré sur darling.fr. Nous avons sympathiser via skype, via whatsapp puis quelques temps après il m’a dit qu’il se rendait en afrique pour le travail car il travaillait dans l’immobilier, on a toujours garder contact au point où je suis tombé amoureuse de ce dernier, après deux semaines passées dans ce pays en Afrique il ma demandé de lui donner la somme de 5000€ car sa voiture de location était une voiture volé et on l’avait appréhendé avec de l’or il avait besoin de cette somme que je lui ai versé, la semaine d’après il venait de se faire agresser il lui fallait encore de l’argent et encore jusqu’à ce que je sois totalement ruinée et je me suis rendu conte que c’était de l’arnaque puisqu’il n’arrivait jamais en France car a chaque fois il rejetait le voyage. J’étais abattu, déboussolé, je n’avais plus goût à la vie, car tous mes proches m’en voulaient. Dès lors, j’ai fait la connaissance d’un inspecteur qui est un agent de la police Interpole, grâce à une amie, et il m’a beaucoup aidé à mettre la main sur ces individus mal intentionné et j’ai eu confiance en moi-même puis j’ai été remboursé de toutes mes pertes avec un dédommagement parce qu’il a usé de son pouvoir en étant en collaboration avec d’autres pays. Alors si vous avez été arnaqué sur la toile d’une : grosse somme d’argent, d’achats non-conforme à la photo, de virement bancaire, de chantage sur le net, de faux maraboutage et faux compte PayPal, de fausses histoire d’amour pour soutirer de l’argent, de vente de voiture, de gay et lesbienne et de faux tirage a la loterie, etc… Si vous le contacté, il trouvera facilement vos escrocs et une fois qu’ils seront arrêtés, vous serez remboursé de tous vos frais suivi des frais de dédommagement ou n’importe quelle organisation contribuant à l’insécurité sur votre territoire via Internet quel que soit veillez contacter l’inspecteur monsieur Middendorf sur son adresse mail suivant ils pourront vous aidez alors je vous donne leur adresse afin que justice vous soit rendu. Je vous assure qu’ils ont été vraiment intelligents et aussi efficaces.
Je vous laisse le mail ci-dessous.
E-mails : lieutenant.middendorf43@gmail.com
Cordialement à vous Mme Marie Carmen