De nos jours, la communication sur les réseaux sociaux fait partie
intégrante de notre vie. Sur les 7,6 milliards d’habitants dans le monde,
plus de 44 % sont des utilisateurs des
réseaux sociaux, soit 3,4 milliards d’invidus (1)…
Facebook, Google, YouTube, LinkedIn, Twitter, Snapchat, WeChat, etc.,
dématérialisent les rapports humains et réinventent une société à l’ère du
numérique : une société devenue techno dépendante et pendant longtemps,
peu consciente des impacts des réseaux sociaux sur la vie privée des personnes.
La consécration de la révolution numérique, en permettant une
circulation immédiate de la parole et de l’image sur une portée illimitée en un
minimum de temps, a été un accélérateur pour l’innovation au service de
l’Humain. Mais faute d’un cadre légal et d’instruments harmonisés sur le
territoire mondial et vu l’émergence d’un modèle économique exploitant en masse
les données personnelles, les droits des utilisateurs ont longtemps été
ignorés.
L’Union européenne s’est engagée à créer un marché européen du numérique
s’inscrivant dans la confiance des citoyens : un environnement sain et
protecteur des droits des utilisateurs, qu’ils soient européens ou étrangers.
Cette confiance du numérique s’axe sur trois points : formation,
sécurisation, sanction.
Formation des organisations, qui ont la
responsabilité de maîtriser la donnée qu’elles traitent et de s’assurer que ce
traitement soit licite. Formation des citoyens également, lesquels, jusqu’à
très récemment, n’avaient pas conscience de l’étendue des droits auxquels ils
pouvaient prétendre.
Sécurisation des traitements, mais aussi sécurisation
du marché de la donnée, qui aujourd’hui représente une valeur totale de plus de
500 millions de dollars.
Sanction avec l’entrée en vigueur de nouvelles
infractions, le pouvoir plus étendu des autorités de contrôle mises en place et
la multiplication des décisions prises par les institutions européennes à l’encontre
des GAFA.
Entre Google, Facebook et Twitter, le montant des
amendes infligées depuis trois ans représente plus de 10 milliards
d’euros, et l’entrée en vigueur du RGPD le 25 mai 2018?va accélérer le processus
de contrôle et de sanction, permettant, on l’espère, d’assainir les pratiques
des géants du numérique.
La confiance des utilisateurs dans le numérique
constituant un moteur de l’économie numérique, l’Europe jongle donc entre deux
objectifs : la garantie du respect de la vie privée des citoyens d’une
part, et la préservation de l’innovation numérique d’autre part.
La notion de réseau social en
Europe
La création d’un groupe de travail, le G29, grâce à la directive
95/46/CE (2) en 1995, a été une des premières mesures phares, alors
même qu’Internet n’en était qu’à ses balbutiements, mise en place par l’Union
européenne pour protéger les données personnelles des citoyens européens.
Il est d’ailleurs étonnant de voir que l’existence de ce groupe de
travail, lequel est un véritable organisme européen indépendant en charge de
conseiller les instances européennes et d’alerter l’opinion publique, est
restée seulement connue d’un cercle de spécialistes jusqu’à très récemment avec
l’avènement du RGPD (3).
Pourtant, depuis plus de dix ans, cet organe entraîne la réflexion
autour de la protection de la vie privée et des droits fondamentaux des
citoyens à l’ère du numérique. Moteur des avancées sur les droits des citoyens
dans un contexte de transformation sociétale, il a permis, avec d’autres
acteurs internationaux et européens comme l’ENISA (4) notamment, d’initier une souveraineté numérique de confiance.
D’autres apports législatifs européens sur la protection des données
personnelles sont notables : le règlement (CE) n° 45/2001 (5) sur le traitement des données, une directive 2002/58/CE (6) (modifiée en 2009) sur la vie privée et les communications électroniques
puis une directive 2006/24/CE (7) sur la
conservation des données, avant l’apogée en 2016 avec l’élaboration du Règlement (UE) 2016/679 (8) du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation de ces données (ou
RGPD).
Déjà en 2009, dans un avis n° 5/2009 (9), le G29 alertait les institutions européennes sur le traitement des données des
utilisateurs par les réseaux sociaux, et notamment sur l’utilisation qui en est
faite : « les informations personnelles publiées en ligne
par un utilisateur, auxquelles s’ajoutent les données décrivant les actions et
interactions de celui-ci avec d’autres personnes, peuvent donner un profil
précis de ses centres d’intérêt et de ses activités. Les données à caractère
personnel publiées sur les sites de réseautage social peuvent être utilisées
par des tiers à des fins diverses, notamment commerciales, et peuvent présenter
de grands risques tels que l’usurpation d’identité, les pertes financières, la
perte d’activité économique ou de possibilités d’emploi ou l’atteinte à
l’intégrité physique ».
Outre l’utilisation marketing des données des utilisateurs, sans
information préalable, et leur possible revente à des entreprises ou des
organismes tiers, il était déjà pointé du doigt que les données personnelles
traitées par les réseaux sociaux pouvaient concerner des données d’utilisateurs
membres ET d’utilisateurs non membres.
C’est-à-dire que les réseaux sociaux étaient à l’époque en mesure de
récupérer des données de personnes n’utilisant pas les réseaux sociaux en
exploitant et en analysant les données des contacts de cette personne ;
contacts utilisant les réseaux sociaux.
Le RGPD, consécration de la
protection des données personnelles et de la vie privée des personnes
Ces utilisations des données personnelles à des fins de marketing dans
le cadre d’un ciblage et d’un profilage des utilisateurs des réseaux sociaux n’ont
eu une réelle portée en France qu’à compter du premier trimestre 2018. À cette
date, avec l’entrée en vigueur du RGPD, le flux d’information et la
communication sur la protection des données personnelles se sont accrus
considérablement et ont permis aux utilisateurs de prendre conscience de
l’importance de leurs données personnelles et de l’existence d’un organe de
contrôle cœrcitif : la CNIL.
Mais la notion de donnée à caractère personnel n’est pas
nouvelle. En effet, dans une proclamation en l’an 2000, les États membres de
l’Union européenne ratifiaient la Charte des droits fondamentaux de l’Union
européenne, dont l’article 8 dispose que «
toute personne a droit à la protection des données à caractère personnel la
concernant ». Il faudra attendre 18 années pour que ce droit présenté comme
fondamental puisse être véritablement effectif sur l’ensemble du territoire de
l’Union, voire même au-delà.
Les dérives sur l’utilisation des données personnelles
par les réseaux sociaux sont quant à elles connues depuis longtemps. En 2013,
Edward Snowden rendait publics des dizaines de milliers de documents de la NSA
décrivant le programme de surveillance massif de l’agence américaine sur les
citoyens du monde entier, à l’aide notamment des données issues des réseaux
sociaux.
En 2014, la Cour de justice de l’Union européenne
proclamait un droit à l’oubli numérique (10) dans une décision rendue contre
Google, corollaire du droit fondamental au respect de la vie privée (consacré
par l’article 8 de la Convention européenne des droits de l’homme) et du droit
à la protection de données à caractère personnel.
En 2016, au commencement des scandales sur la manipulation politique des
citoyens via les réseaux sociaux, le texte du RGPD était publié,
laissant deux années aux organisations et États membres pour se mettre en
conformité et implémenter les obligations techniques et organisationnelles. Le
25 mai 2018, alors que très peu d’entreprises françaises avaient amorcé
cette implémentation et que les GAFA tardaient à mettre en place les mesures
techniques et organisationnelles nécessaires, le RGPD entrait en vigueur.
Dans la foulée, sur tout le territoire européen, des actions étaient
engagées par des associations de consommateur à l’encontre de Facebook,
Twitter, Google, Instagram, Gmail, YouTube, Search, Apple, Amazon, LinkedIn,
organisations traitant depuis plus de 15 ans des données de milliards
d’utilisateurs dans le flou le plus total.
Comble du succès, le 25 mai 2018, le mot-clé « RGPD »
devançait celui de « Beyoncé » dans les recherches
Google (11), témoignant de l’impact de cette réglementation sur les
utilisateurs du monde entier.
Un an après l’entrée en vigueur du RGPD, dans un
communiqué de presse (12), la Commission européenne se félicitait sur le fait
que « la nouvelle législation est devenue
le plancher réglementaire de l’Europe ».
En réalité, l’encadrement législatif européen du
numérique est lancé. Le respect de la vie privée, la sécurité et la confiance
numérique deviennent des standards qui déterminent le droit applicable à
d’autres domaines du numérique : l’intelligence artificielle, le développement
des réseaux 5G, la cybersécurité, les données non personnelles voient émerger
des règles strictes en matière de protection des données.
Cette convergence vers le haut offre de nouvelles
possibilités de promouvoir les flux de données reposant sur la confiance et la
sécurité.
Le phénomène
grandissant de la désinformation en ligne par les réseaux sociaux et du partage
de contenu illicite
L’affaire du Russiagate au cours de l’élection de Donald Trump aux USA en
2016, puis le scandale Facebook-Cambridge Analytica sur le Brexit en avril 2018
ont mis en avant les utilisations dérivées qui pouvaient être faites des
données issues des réseaux sociaux.
En 2018, c’est plus de 81 millions de données,
selon Facebook (13), qui ont été détournées par sa filiale Cambridge
Analytica. Ces données ont servi à influencer les intentions de vote en faveur
d’hommes politiques qui ont retenu les services de Cambridge Analytica pour
manipuler les informations accessibles via ces réseaux et favoriser un
Brexit (14).
En mai 2019, c’est la messagerie instantanée WhatsApp
qui était sous le feu des projecteurs : une faille de sécurité permettait
d’espionner les smartphones à distance. Plusieurs diplomates, avocats,
journalistes, politiques ont signalé avoir été touchés par cette faille de
sécurité et ne pas savoir exactement quelles données avaient été violées.
L’organisation non gouvernementale internationale
AVAAZ a rendu publique, il y a quelques jours, une enquête de plus de trois
mois sur la désinformation politique en Europe pour six pays : la
France, le Royaume-Uni, l’Allemagne, l’Espagne, l’Italie et la Pologne (15).
Plus de 13 millions de citoyens européens auraient, selon cette étude,
fait l’objet d’une campagne de désinformation
politique sans forcément le savoir.
À plusieurs reprises, il a été demandé
aux différents réseaux sociaux et GAFA de mettre en place les mesures de
sécurité adaptées ainsi que des codes de conduite, notamment pour éviter la
propagation de publications faisant l’apologie du terrorisme ou d’appel à la
haine.
Néanmoins, l’ampleur de la tâche
affole ces organisations qui arrivent difficilement à contrôler les flux de
données entrant et sortant des utilisateurs et à implémenter des procédures
uniformes. Elles réclament à grands cris une réglementation uniforme des
pouvoirs publics et la mise en place d’autorités de contrôles autonomes (16).
Ces entreprises ont mis en place une armée de
modérateurs qui contrôlent à l’aide d’algorithme le contenu des échanges, des
vidéos ou des images des utilisateurs dans le monde. Si le recours à des
prestataires externes a été salué, il apparait aujourd’hui que ce modèle
présente des limites, plusieurs anciens modérateurs pointant du doigt la
violence et la difficulté de travailler dans cet environnement de haine et de
violence perpétuelle (17).
La Commission européenne a déclaré vouloir mettre en
place une politique d’encadrement des réseaux sociaux (18) afin de promouvoir
l’innovation dans un environnement de confiance. Ces politiques ont pour but
d’adresser deux principaux points : la désinformation en ligne et le
partage de contenu illicite. Pour le moment aucune direction claire ni
législation n’ont été avancées.
Perspective
Au terme de cette analyse, la conclusion qui s’impose est plutôt
contrastée.
D’une part, l’arsenal législatif européen est intervenu pour mettre en
place une politique forte sur la confiance numérique, afin d’encadrer les
géants que sont les réseaux sociaux sur le traitement des données personnelles
des utilisateurs.
Cet arsenal est efficace, car il met en œuvre des
droits effectifs qui sont assortis de moyens de contrôle et de sanctions. Par
ailleurs, le champ d’application territoriale de ces dispositions est large, ce
qui permet une application harmonisée dans les frontières de l’Union
européenne, voire au-delà. Aujourd’hui, le consentement, la sécurité et
l’information sont des mots-clés qui ont vocation à renforcer la confiance des
utilisateurs dans le monde du numérique afin de booster l’économie et
l’innovation.
D’autre part, toutefois, il est compliqué pour le législateur
d’anticiper l’innovation et on ne peut que constater que le temps nécessaire
pour mettre en place des mesures de protection efficaces dans le numérique est
important. Outre la difficulté de concerter 28 États membres, le défi consiste à identifier l’impact de ces innovations sur
les utilisateurs et de traduire cet impact en conséquence juridique. Ainsi face
à chaque innovation, il revient au législateur de s’assurer du respect des
droits préexistants ou le cas échéant de créer de nouveaux droits pour les
utilisateurs. De l’innovation technologique nait, avec un temps de latence, une
innovation juridique.
Force est de constater que les réseaux sociaux, maîtres dans l’art de
l’innovation, sont aussi devenus maîtres dans l’art de créer un besoin. Dernier
exemple en date, la création de la cryptomonnaie LIBRA par Facebook visant à
créer une nouvelle infrastructure financière mondiale pour faciliter et
fluidifier les échanges financiers. Les réseaux sociaux connaissaient déjà vos
données liées à vos habitudes de consommation, l’identité, la quantité, le
lieu. Maintenant, ils sauront également combien vous avez payé et êtes prêts à
payer pour… Aujourd’hui, rien n’encadre
l’utilisation et la création de la cryptomonnaie, et le risque d’immixtion dans
la vie de l’utilisateur-consommateur est grand. Comment le prévenir ? Aux
juristes de répondre à cette question et de se montrer aussi ingénieux et
précurseurs que les informaticiens.
NOTES :
1)
https://wearesocial.com/blog/2019/01/digital-2019-global-internet-use-accelerates
2)
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:31995L0046&from=FR
voir l’article 29 (d’où le nom de cet organisme).
3)
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
relatif à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation de ces données.
4)
L’Agence européenne chargée de la sécurité des réseaux et de l’information mise
en place en 2004.
5)
https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:0022:fr:PDF
6)
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32002L0058&from=FR
7)
https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:FR:PDF
8)
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
9)
https://cnpd.public.lu/dam-assets/fr/publications/groupe-art29/wp163_fr.pdf
10)
CJUE, GC, 13 mai 2014, Google Spain SL et Google Inc.
11)
https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf
12)
http://europa.eu/rapid/press-release_IP-19-2610_fr.pdf
13)
https://www.bbc.com/news/technology-43649018
14)
https://www.francetvinfo.fr/monde/europe/la-grande-bretagne-et-l-ue/sans-cambridge-analytica-il-n-y-aurait-pas-eu-de-brexit-affirme-le-lanceur-d-alerte-christopher-wylie_2677946.html
15)
https://avaazimages.avaaz.org/Avaaz%20Report%20Network%20Deception%2020190522.pdf?slideshow
16)
https://www.01net.com/actualites/pourquoi-facebook-encourage-les-etats-a-renforcer-leur-regulation-des-reseaux-sociaux-1718647.html
17)
https://www.theverge.com/2019/6/19/18681845/facebook-moderator-interviews-video-trauma-ptsd-cognizant-tampa
18) https://ec.europa.eu/digital-single-market/en/social-media-and-networks-innovation-and-policy2019-4985
Océane Phan-Tan-Luu,
Avocat associé GAROE LAW – Membre
du GEIE ALPHALEX