Article précédemment publié dans Les Nouvelles publications.
De nos jours, la communication sur les réseaux sociaux fait partie intégrante de notre vie. Sur les 7, 6 milliards d’habitants dans le monde, plus de 44% sont des utilisateurs des réseaux sociaux, soit 3,4 milliards d’utilisateurs[1] …
Facebook, Google, YouTube, LinkedIn, Twitter, Snapchat, WeChat, etc., dématérialisent les rapports humains et réinventent une société à l’ère du numérique : une société devenue techno dépendante et pendant longtemps, peu consciente des impacts des réseaux sociaux sur la vie privée des personnes.
La consécration de la révolution numérique, en permettant une circulation immédiate de la parole et de l’image sur une portée illimitée en un minimum de temps, a été un accélérateur pour l’innovation au service de l’Humain. Mais faute d’un cadre légal et d’instruments harmonisés sur le territoire mondial et vu l’émergence d’un modèle économique exploitant en masse les données personnelles, les droits des utilisateurs ont longtemps été ignorés.
L’Union européenne s’est engagée à créer un marché européen du numérique s’inscrivant dans la confiance des citoyens : un environnement sain et protecteur des droits des utilisateurs, qu’ils soient européens ou étrangers. Cette confiance du numérique s’axe sur 3 points : formation, sécurisation, sanction.
Formation des organisations, qui ont la responsabilité de maitriser la donnée qu’elles traitent et de s’assurer que ce traitement soit licite. Formation des citoyens également, lesquels, jusqu’à très récemment, n’avaient pas conscience de l’étendue des droits auxquels ils pouvaient prétendre.
Sécurisation des traitements, mais aussi sécurisation du marché de la donnée, qui aujourd’hui représente une valeur totale de plus de 500 millions de dollars.
Sanction avec l’entrée en vigueur de nouvelles infractions, le pouvoir plus étendu des autorités de contrôle mises en place et la multiplication des décisions prises par les institutions européennes à l’encontre des GAFA.
Entre Google, Facebook et Twitter, le montant des amendes infligées depuis trois ans représente plus de 10 milliards d’euros, et l’entrée en vigueur du RGPD le 25 mai 2018 va accélérer le processus de contrôle et de sanction, permettant, on l’espère, d’assainir les pratiques des géants du numérique.
La confiance des utilisateurs dans le numérique constituant un moteur de l’économie numérique, l’Europe jongle donc entre deux objectifs : la garantie du respect de la vie privée des citoyens d’une part et la préservation de l’innovation numérique d’autre part.
- La notion de réseau social en Europe
La création d’un groupe de travail, le G29, grâce à la Directive 95/46/CE[2] en 1995 a été une des premières mesures phares, alors même qu’internet n’en était qu’à ses balbutiements, mis en place par l’Union européenne pour protéger les données personnelles des citoyens européens.
Il est d’ailleurs étonnant de voir que l’existence de ce groupe de travail, lequel est un véritable organisme européen indépendant en charge de conseiller les instances européennes et d’alerter l’opinion publique, est restée seulement connue d’un cercle de spécialistes jusqu’à très récemment avec l’avènement du RGPD[3].
Pourtant depuis plus de 10 ans cet organe entraine la réflexion autour de la protection de la vie privée et des droits fondamentaux des citoyens à l’ère du numérique. Moteur des avancées sur les droits des citoyens dans un contexte de transformation sociétale, il a permis, avec d’autres acteurs internationaux et européens comme l’ENISA[4] notamment, d’initier une souveraineté numérique de confiance.
D’autres apports législatifs européens sur la protection des données personnelles sont notables : le règlement (CE) no 45/2001[5] sur le traitement des données, une directive 2002/58/CE[6] (modifiée en 2009) sur la vie privée et les communications électroniques puis une directive 2006/24/CE[7] sur la conservation des données, avant l’apogée en 2016 avec l’élaboration du Règlement (UE) 2016/679[8] du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ou RGPD).
Déjà 2009, dans un Avis n°5/2009 [9], le G29 alertait les institutions européennes sur le traitement des données des utilisateurs par les réseaux sociaux, et notamment sur l’utilisation qui est faite de ces données : « les informations personnelles publiées en ligne par un utilisateur, auxquelles s’ajoutent les données décrivant les actions et interactions de celui-ci avec d’autres personnes, peuvent donner un profil précis de ses centres d’intérêt et de ses activités. Les données à caractère personnel publiées sur les sites de réseautage social peuvent être utilisées par des tiers à des fins diverses, notamment commerciales, et peuvent présenter de grands risques tels que l’usurpation d’identité, les pertes financières, la perte d’activité économique ou de possibilités d’emploi ou l’atteinte à l’intégrité physique. »
Outre l’utilisation marketing des données des utilisateurs, sans information préalable, et leur possible revente à des entreprises ou des organismes tiers, il était déjà pointé du doigt que les données personnelles traitées par les réseaux sociaux pouvaient concerner des données d’utilisateurs membres ET d’utilisateurs non membres.
C’est-à-dire que les réseaux sociaux étaient à l’époque en mesure de récupérer des données de personnes n’utilisant pas les réseaux sociaux en exploitant et en analysant les données des contacts de cette personne, contacts utilisant les réseaux sociaux.
2. Le RGPD, consécration de la protection des données personnelles et de la vie privée des personnes
Ces utilisations des données personelles dans à des fins de marketing dans le cadre d’un ciblage et d’un profilage des utilisateurs des réseaux sociaux n’ont en France eu une réelle portée qu’à compter du premier trimestre 2018. À cette date, avec l’entrée en vigueur du RGPD, le flux d’information et la communication sur la protection des données personnelles se sont accrus considérablement et ont permis aux utilisateurs de prendre conscience de l’importance de leurs données personnelles et de l’existence d’un organe de contrôle coercitif : la CNIL.
Mais la notion de donnée à caractère personnel n’est pas nouvelle. En effet, dans une proclamation en l’an 2000, les États membres de l’Union européenne ratifiaient la Charte des droits fondamentaux de l’Union européenne, dont l’article 8 dispose que « toute personne a droit à la protection des données à caractère personnel la concernant ». Il faudra attendre 18 années pour que ce droit présenté comme fondamental puisse être véritablement effectif sur l’ensemble du territoire de l’Union, voir même au-delà.
Les dérives sur l’utilisation des données personnelles par les réseaux sociaux sont quant à elles connues depuis longtemps. En 2013, Edward Snowden rendait publics des dizaines de milliers de documents de la NSA décrivant le programme de surveillance massif de l’agence américaine sur les citoyens du monde entier, à l’aide notamment des données issues des réseaux sociaux.
En 2014, la Cour de justice de l’Union européenne proclamait nun droit à l’oubli numérique[10] dans une décision rendue contre Google, corolaire du droit fondamental au respect de la vie privée ( consacré par l’article 8 de la Convention européenne des Droits de l’Homme) et du droit à la protection de données à caractère personnel.
En 2016, au balbutiement des scandales sur la manipulation politique des citoyens via les réseaux sociaux, le texte du RGPD était publié, laissant deux années aux organisations et États membres pour se mettre en conformité et implémenter les obligations techniques et organisationnelles. Le 25 mai 2018, alors que très peu d’entreprises françaises avaient amorcé cette implémentation et que les GAFA tardaient à mettre en place les mesures techniques et organisationnelles nécessaires, le RGPD entrait en vigueur.
Dans la foulée, sur tout le territoire européen des actions étaient engagées par des associations de consommateur à l’encontre de Facebook, Twitter, Google, Instagram, Gmail, Youtube, Search, Apple, Amazon, Linkedin, organisations traitant depuis plus de 15 ans des données de milliards d’utilisateur dans le flou le plus total.
Comble du succès, le 25 mai 2018, le mot clé « RGPD » devançait celui de « Beyoncé » dans les recherches Google[11], témoignant de l’impact de cette réglementation sur les utilisateurs du monde entier.
Un an après l’entrée en vigueur du RGPD, dans un communiqué de presse,[12] la Commission européenne se félicitait sur le fait que « la nouvelle législation est devenue le plancher réglementaire de l’Europe ».
En réalité, l’encadrement législatif européen du numérique est lancé. Le respect de la vie privée, la sécurité et la confiance numérique deviennent des standards, qui déterminent le droit applicable à d’autres domaines du numérique : l’intelligence artificielle, le développement des réseaux 5G, la cybersécurité, les données non personnelles voient émerger des règles strictes en matière de protection des données.
Cette convergence vers le haut offre de nouvelles possibilités de promouvoir les flux de données reposant sur la confiance et la sécurité.
- Le phénomène grandissant de la désinformation en ligne par les réseaux sociaux et du partage de contenu illicite
L’affaire du Russiagate au cours de l’élection de Donald Trump aux USA en 2016, puis le scandale Facebook-Cambridge Analytica sur le Brexit en avril 2018, ont mis en avant les utilisations dérivées qui pouvait être faites des données issues des réseaux sociaux.
En 2018, c’est plus de 81 millions de données selon Facebook [13] qui ont été détournées par sa filiale Cambridge Analytica. Ces données ont servi à influencer les intentions de vote en faveur d’hommes politiques qui ont retenu les services de Cambridge Analytica pour manipuler les informations accessibles via ces réseaux et favoriser un Brexit[14].
En mai 2019, c’est la messagerie instantanée WhatsApp qui était sous le feu des projecteurs : une faille de sécurité permettait d’espionner les smartphones à distance. Plusieurs diplomates, avocats, journalistes, politiques ont signalé avoir été touchés par cette faille de sécurité et ne pas savoir exactement quelles données avaient été violées.
L’organisation non gouvernementale internationale AVAAZ a rendu publique il y a quelques jours une enquête de plus de trois mois sur la désinformation politique en Europe pour 6 pays : la France, le Royaume uni, l’Allemagne, l’Espagne, l’Italie et la Pologne[15]. Plus de 13 millions de citoyens européens auraient selon cette étude fait l’objet d’une campagne de désinformation politique sans forcément le savoir.
À plusieurs reprises, il a été demandé aux différents réseaux sociaux et GAFA de mettre en place les mesures de sécurité adaptées ainsi que des codes de conduites, notamment pour éviter la propagation de publication sfaisant l’apologie du terrorisme ou d’appel à la haine.
Néanmoins, l’ampleur de la tâche affole ces organisations, qui arrivent difficilement à contrôler les flux de données entrant et sortant des utilisateurs et à implémenter des procédures uniformes. Elles réclament à grands cris une réglementation uniforme des pouvoirs publics et la mise en place d’autorités de contrôle autonomes[16].
Ces entreprises ont mis en place une armée de modérateurs qui contrôlent à l’aide d’algorithme le contenu des échanges, des vidéos ou des images des utilisateurs dans le monde. Si le recours à des prestataires externes a été salué, il apparait aujourd’hui que ce modèle présente des limites, plusieurs anciens modérateurs pointant du doigt la violence et la difficulté de travailler dans cet environnement de haine et de violence perpétuelle[17].
La Commission européenne a déclaré vouloir mettre en place une politique d’encadrement des réseaux sociaux[18] pour promouvoir l’innovation dans un environnement de confiance. Ces politiques ont pour but d’adresser deux principaux points : la désinformation en ligne et le partage de contenu illicite. Pour le moment aucune direction claire ni législation n’a été avancée.
- Perspective
Au terme de cette analyse, la conclusion qui s’impose est plutôt contrastée.
D’une part, l’arsenal législatif européen est intervenu pour mettre en place une politique forte sur la confiance numérique, afin d’encadrer les géants que sont les réseaux sociaux sur le traitement des données personnelles des utilisateurs.
Cet arsenal est efficace, car il met en oeuvre des droits effectifs qui sont assortis de moyens de contrôle et de sanctions. Par ailleurs, le champ d’application territoriale de ces dispositions est large, ce qui permet une application harmonisée dans les frontières de l’Union européenne, voire au-delà. Aujourd’hui, le consentement, la sécurité et l’information sont des mots-clés qui ont vocation à renforcer la confiance des utilisateurs dans le monde du numérique afin de booster l’économie et l’innovation.
Mais d’autre part, il est compliqué pour le législateur d’anticiper l’innovation et on ne peut que constater que le temps nécessaire pour mettre en place des mesures de protection efficaces dans le numérique est important. Outre la difficulté de concerter 28 États membres, le défi consiste à identifier l’impact de ces innovations sur les utilisateurs et de traduire cet impact en conséquence juridique. Ainsi face à chaque innovation, il revient au législateur de s’assurer du respect des droits préexistants ou le cas échéant de créer de nouveaux droits pour les utilisateurs. De l’innovation technologique nait, avec un temps de latence, une innovation juridique.
Force est de constater que les réseaux sociaux, maîtres dans l’art de l’innovation, sont devenus maîtres dans l’art de créer un besoin. Dernier exemple en date, la création de la cryptomonnaie LIBRA par Facebook visant à créer une nouvelle infrastructure financière mondiale pour faciliter et fluidifier les échanges financiers. Les réseaux sociaux connaissaient déjà vos données liées à vos habitudes de consommation, l’identité, la quantité, le lieu. Maintenant ils sauront également combien vous avez payé et êtes prêt à payer pour… aujourd’hui rien n’encadre l’utilisation et la création de la cryptomonnaie, et le risque d’immixtion dans la vie de l’utilisateur consommateur est grand, comment le prévenir ? Aux juristes de répondre à cette question et de se montrer aussi ingénieux et précurseurs que les informaticiens.
Chez Garoé Avocats nous travaillons en synergie avec les membres de notre écosystème, partenaires, clients et entreprises passionnés qui ont besoin de notre assistance technique et de notre expertise dans de nombreux domaines.
Si vous souhaitez en discuter avec nous n’hésitez pas à nous contacter via notre page contact ou par mail à contact@garoe-law.com
[1] https://wearesocial.com/blog/2019/01/digital-2019-global-internet-use-accelerates
[2] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:31995L0046&from=FR voir l’article 29 (d’où le nom de cet organisme)
[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[4] L’Agence européenne chargée de la sécurité des réseaux et de l’information mis en place en 2004
[5] https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:008:0001:0022:fr:PDF
[6] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32002L0058&from=FR
[7] https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:FR:PDF
[8] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
[9] https://cnpd.public.lu/dam-assets/fr/publications/groupe-art29/wp163_fr.pdf
[10] CJUE, GC, 13 mai 2014, Google Spain SL et Google Inc
[11] https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf
[12] http://europa.eu/rapid/press-release_IP-19-2610_fr.pdf
[13] https://www.bbc.com/news/technology-43649018
[14] https://www.francetvinfo.fr/monde/europe/la-grande-bretagne-et-l-ue/sans-cambridge-analytica-il-n-y-aurait-pas-eu-de-brexit-affirme-le-lanceur-d-alerte-christopher-wylie_2677946.html
[15] https://avaazimages.avaaz.org/Avaaz%20Report%20Network%20Deception%2020190522.pdf?slideshow
[16] https://www.01net.com/actualites/pourquoi-facebook-encourage-les-etats-a-renforcer-leur-regulation-des-reseaux-sociaux-1718647.html
[17] https://www.theverge.com/2019/6/19/18681845/facebook-moderator-interviews-video-trauma-ptsd-cognizant-tampa
[18] https://ec.europa.eu/digital-single-market/en/social-media-and-networks-innovation-and-policy