Aucune enquête coordonnée en Europe n’a été menée sur le scandale « Facebook/Cambridge Analytica »

Plus de deux ans après l’éclatement de l’affaire « Cambridge Analytica » sur l’exploitation massive et illégale des données personnelles de dizaines de millions d’utilisateurs de Facebook à des fins de ciblages politico-publicitaires, aucune enquête n’a été menée en France par la Cnil. Surprenant.

Helen Dixon, à la tête de la « Cnil » irlandaise

Aux Etats-Unis, Facebook a écopé l’été dernier d’une amende record de 5 milliards de dollars infligée par la FTC (1) – définitivement confirmée par un tribunal le 23 avril 2020 – pour n’avoir pas géré ni protégé correctement les données personnelles de ses utilisateurs. En Grande-Bretagne, la « Cnil » britannique – ICO (2) – l’a condamné en octobre 2019 au maximum que lui permettait la loi du pays pour violation sur la protection des données, soit 500.000 livres (plus de 565.000 euros). Ces données ont notamment été exploitées en 2016 pour influencer respectivement l’élection présidentielle américaine et le référendum britannique sur le Brexit. Mais bien d’autres pays ont eux-aussi enquêté sur ce siphonnage de données personnelles opéré illégalement par la société londonienne Cambridge Analytica (devenue Emerdata) sur près de 100 millions d’utilisateurs de Facebook : 50 millions aux Etats-Unis, 87 millions si l’on y ajoute d’autres pays dans le monde. Mais connaîtra-t-on jamais l’ampleur de la manipulation à portée planétaire ?

La Cnil n’a pas jugé bon d’enquêter
En Australie, la « Cnil » australienne – OAIC (3) – a lancé en mars dernier une action judiciaire contre Facebook pour avoir transmis Cambridge Analytica les données personnelles de 311.127 Australiens. Au Canada, la « Cnil » canadienne – OPC (4) – a saisi en février la justice contre Facebook accusé là aussi d’avoir transmis des données privées sans autorisation à Cambridge Analytica. En Europe, en dehors de la Grande-Bretagne où Cambridge Analytica avait son siège social, l’Italie – via son gendarme de la concurrence AGCM – a rappelé à l’ordre la firme de Mark Zuckerberg accusée de continuer à collecter de façon non transparente des données personnelles en violation de ses engagements pris en novembre 2018 – assortis à l’époque de deux amendes pour un total de 10 millions d’euros. En Espagne, comme par ailleurs au Brésil, Facebook a dû aussi mettre la main au portefeuille à la suite du scandale « Cambridge Analytica ». Et en France ? Continuer la lecture

Consentement préalable : le futur règlement « ePrivacy » redonne la main aux internautes

Alors que publicitaires et éditeurs s’alarment de la prochaine obligation d’obtenir le consentement préalable des internautes – dès le niveau du navigateur Internet – avant de déposer des cookies, les consommateurs s’apprêtent à reprendre le pouvoir avec le projet de règlement « ePrivacy ».

La Commission européenne veut que sa nouvelle proposition de règlement sur la vie privée et les communications électroniques (ePrivacy) – présentée
en janvier dernier (1) – entre en vigueur le 25 mai 2018
« au plus tard », soit dans un peu moins d’un an maintenant, en même temps le règlement général
« Protection des données » déjà promulgué, lui, le 4 mai 2016. Mais l’une des mesures, à savoir le consentement préalable des internautes avant tout cookie, satisfait les uns (les consommateurs) mais inquiète les autres (les éditeurs de sites web).

Consentement au niveau des navigateurs
Le Bureau européen des Unions de consommateurs (Beuc), lequel compte plus d’une quarantaine de membres dont UFC-Que choisir et la CLCV (2) en France, n’a de cesse de demander « instamment » aux législateurs européens d’adopter des règles obligeant les fournisseurs de services sur Internet à instaurer de « robustes paramètres de confidentialité par défaut » et à « imposer des limites strictes à la collecte des don-
nées ». Selon le Beuc, citant une enquête Eurobaromètre sur la vie privée en ligne,
une grande majorité (82 %) des Européens interrogés considère que « les systèmes
de surveillance de leurs activités en ligne (tels que les cookies) ne devraient pouvoir être activés qu’avec leur consentement préalable ».
Basé à Bruxelles, le Beuc vient de publier son « position paper » – daté de juin (3) –
sur le projet de règlement « ePrivacy » . Il accueille avec satisfaction les dispositions
de l’article 8.1 du projet de règlement qui met le consentement de l’internaute au cœur du dispositif. « La formulation de l’article, qui se réfère “à l’utilisation de traitement et des capacités de stockage” du terminal en plus “de la collecte d’informations” sur un
tel équipement, garantira que toute sorte de mécanisme de suivi à la trace (tracking mecanism) tombera sous le coup de cette disposition, pas seulement des outils traditionnels tels que les cookies », explique l’organisation européenne des consommateurs. Le ciblage publicitaire est, selon le Beuc présidé par le Suédois Örjan Brinkman (photo), l’une des raisons principales de la généralisation du tracking (suivi) et des pratiques de monitoring (surveillance) auxquelles les consommateurs peuvent être soumis. Le Beuc regrette que « l’essentiel du modèle économique sur lequel la publicité est basée a été développé au détriment de la vie privée des consommateurs, sur une surveillance 24h/24 7j/7 et sur une monétisation de chaque mouvement du consommateur par une myriade d’acteurs (publicitaires, éditeurs, réseaux publicitaires, plateformes d’Ad-Exchange, Data Brokers, etc) ». La plupart des internautes en sont inconscients et/ou impuissants face à cette situation. De plus, déplore le Beuc, il n’y a pratiquement aucun autre choix que d’accepter d’être suivi à la trace si vous voulez avoir l’accès au service en ligne. L’article 9.2 du projet de règlement, lui, prévoit la possibilité d’exprimer le consentement préalable en utilisant les paramètres techniques appropriés de logiciel permettant l’accès à Internet. Cette mesure au niveau des navigateurs Internet (4) devrait aider, d’après le Beuc, à réduire le nombre de demandes de consentement et éviter les demandent systématiquement de la part des prestataires de services au risque d’être invasifs pour la vie privée. Et de rappeler que les « Cnil » européenne (réunies dans le G29) ont considéré que – pour être valables – les paramètres techniques pour recueillir le consentement préalable ne peuvent pas être prédéterminés pour accepter tous les cookies en vrac par exemple. Des informations complètes et entièrement visibles sont aussi nécessaires afin de s’assurer d’obtenir un consentement valable de la part de l’internaute. En outre, il ne devrait pas être possible de contourner le choix fait par l’utilisateur dans les paramètres. Quoi qu’il en soit, le Beuc demande au législateur européen à ce que soient bannis les « tracking walls » (barrières d’accès au contenu) qui proposent aux internautes de les suivre en échange d’une levée des restrictions d’accès aux contenus du site web. De même, la désactivation des « anti-tracking tools » (outils anti-surveillance) ne devrait être faite qu’avec le consentement de l’internaute (5).

Les éditeurs de presse et de sites se rebiffent
De leur côté, une trentaine d’éditeurs de presse en Europe ont publié fin mai une
« Lettre ouverte au Parlement européen et au Conseil de l’Union » (6) pour faire part de leurs inquiétudes, notamment sur le consentement préalable à partir des navigateurs :
« Le passage d’un consentement pour la collecte de données sollicité par chaque éditeur de presse en ligne lorsque son site est consulté à un consentement global recueilli par quelques puissantes plateformes, est une mauvaise solution pour l’avenir de la presse ». Plusieurs organisations professionnelles françaises (7) ont-elles aussi exprimé en juin (8) leurs préoccupations. @

Charles de Laubier