Le RGPD consacre des droits fondamentaux en matière de protection des données à caractère personnel, notamment, le droit d’accès aux données, le droit de rectification, le droit d’effacement et le droit d’opposition, ainsi que le droit à la limitation du traitement. Il existe un droit d’opposition à l’utilisation des données qui doit être expressément déclaré. Sans cette opposition, la règle est l’utilisation des données, ce qui viole frontalement le principe du consentement explicite prévu dans la réglementation générale sur la protection des données.
Des discussions entre la CNIL, l’autorité irlandaise (la Data Protection Commission, compétente pour juger Meta, dont le siège européen est basé en Irlande) et leurs homologues européens sont toutefois en cours pour évaluer ce système. La question qui se pose est la suivante : le droit à la protection des données est-il réellement respecté lorsque les règles appliquées par Meta sont aussi complexes ? La vérification de la conformité des politiques adoptées par Meta au RGPD et à la loi française n’est pas une tâche simple, parce qu’il s’agit d’une entreprise dont les activités ont des répercussions dans plusieurs pays. Il convient donc d’analyser (I) la politique de confidentialité de Meta qui dépend des produits ou des services utilisés et (II) les règles européennes et françaises de la protection des données personnelles.
I – La politique de confidentialité de Meta.
Le Règlement Général sur la Protection des Données (RGPD) est d’application directe sur l’ensemble du territoire de l’Union européenne et s’inscrit dans la continuité de la loi française « Informatique et Libertés », modifiée par la loi du 20 juin 2018 relative à la protection des données personnelles, établissant des règles sur la collecte et l’utilisation des données sur le territoire français.
Dans ce cadre juridique européen,Meta doit respecter le RGPD, la loi française du 20 juin 2018, les lignes directrices et recommandations du Comité européen de la protection des données (CEPD), les décisions et recommandations de la Commission nationale de l’informatique et des libertés (CNIL) en France afin de proposer ses produits et services en France.
A) La collecte de données personnelles.
Sous le prétexte d’améliorer les performances de ses produits et de personnaliser ses services, Meta collecte de nombreuses données personnelles auprès de ses utilisateurs. La politique de confidentialité chez Meta énumère les types d’informations qu’ils recueillent, parmi les plus importants :
I) votre adresse e-mail, votre numéro de téléphone ou votre âge ;
II) ce que vous faites sur les produits (cela comprend ce sur quoi vous cliquez ou ce que vous aimez, vos publications et photos et les messages que vous envoyez) ;
III) qui sont vos amis ou vos followers, et ce qu’ils font sur leurs produits ;
IV) les informations sur le téléphone, l’ordinateur ou la tablette sur lesquels vous utilisez leurs produits, comme le type de téléphone ou d’ordinateur, la version de l’application que vous utilisez et
V) des informations provenant de partenaires sur ce que vous faites à la fois sur les produits et en dehors de ceux-ci. Il peut s’agir d’autres sites web que vous visitez, d’applications que vous utilisez ou de jeux en ligne auxquels vous jouez.
Selon le produit utilisé, il existe d’autres types d’informations qui sont collectées, par exemple, le contenu que vous créez, comme les publications, les commentaires ou les fichiers audio, le contenu que vous fournissez via la fonctionnalité Appareil photo, les informations partagées avec l’IA de Meta, les hashtags que vous utilisez, l’heure, la fréquence et la durée de vos activités sur les produits, les consultations d’une page Facebook, de son contenu et votre photo ou votre selfie vidéo si vous en avez fourni un lorsque vous avez contacté Meta pour obtenir une assistance pour un compte.
En autre, Meta collecte des informations à partir et à propos des différents appareils que vous utilisez et de la manière dont vous les utilisez, par exemple, le logiciel, ce que vous faites sur votre appareil, par exemple si l’application est au premier plan ou si votre souris bouge (ce qui peut aider à distinguer les êtres humains des robots), les signaux de votre appareil [1], les informations que vous avez partagées avec Meta via les paramètres de l’appareil, comme la localisation GPS, l’accès à la caméra, les photos et les métadonnées liées.
Par exemple, si vous avez autorisé Meta à accéder à la pellicule de votre appareil, ces métadonnées concernent et proviennent de vos photos et vidéos, et elles incluent la date et l’heure auxquelles elles ont été prises) y compris votre adresse IP [2] et certaines informations liées à la localisation, même si les services de localisation sont désactivés dans les paramètres de votre appareil.
Au-delà de l’utilisation de vos données par Meta, il y a aussi l’accès des données aux partenaires intégrés, autrement dit les annonceurs, les entreprises qui utilisent les produits de Meta pour vendre ou offrir des biens et des services, les éditeurs et leurs fournisseurs, les développeurs d’applications et de jeux et les plateformes de commerce en ligne.
Ainsi, les données sont utilisées par Facebook, Messenger, Instagram, y compris les applications comme Edit, Threads et Boomerang, Meta Horizon Worlds ou Meta Quest, les appareils Meta Portal, les produits Business, tels que les annonces, les outils Meta Business, la Meta Business Suite, Meta Audience Network, les plateformes de services, les fonctionnalités et les produits commerciaux de Meta, y compris les expériences de page de paiement de Meta et Meta Pay, les avatars Meta et les autres fonctionnalités, applications, technologies, logiciels ou services proposés par Meta Platforms, Inc. ou Meta Platforms Ireland Limited.
B) La complexité de la politique de confidentialité.
Il y a plusieurs remarques importantes dans la politique de confidentialité de Meta, selon les produits ou services qui sont utilisés et la loi applicable à chaque pays.
D’abord, Meta Platforms Ireland Limited est responsable du traitement de ces informations si vous êtes un(e) non-utilisateur.ice vivant dans la région Europe. Si vous êtes un(e) non-utilisateur.ice et que vous vivez au Royaume-Uni (« R-U »), Meta Platforms, Inc. est responsable du traitement de ces informations.
En outre, certains produits ou services proposés par Meta Platforms, Inc. ou Meta Platforms Ireland disposent de leur propre politique de confidentialité et de leurs propres conditions de service, comme Messenger Kids. Ils ne font pas partie des produits Meta. Autrement dit, il y a des services proposés par Meta qui ont leur propre politique de confidentialité.
De plus, la politique de confidentialité n’est pas uniforme, parce qu’il y a les conditions de service de Meta, les conditions d’utilisation d’Instagram, les conditions de service supplémentaires de Meta Platforms Technologies, les conditions de service supplémentaires de Portal, les conditions de service relatives à Meta AI et les conditions de service supplémentaires de Facebook View, dénommées conjointement les « conditions générales ».
Ensuite, les fondements de la base légale de Meta peuvent changer selon la région d’utilisation de ses produits. Par exemple, selon les règles de l’exécution d’un contrat avec l’utilisateur, le consentement, les intérêts légitimes, l’intérêt vital, le respect d’une obligation légale et l’intérêt public.
Certains contenus sont protégés selon la loi applicable, par exemple, les messages que vous envoyez et recevez, y compris leur contenu, les métadonnées et les informations sur les croyances religieuses, l’orientation sexuelle, les opinions politiques, la santé, l’origine ethnique ou raciale, les croyances philosophiques ou l’adhésion à un syndicat.
En France, l’article 8 de la loi du 20 juin 2018, interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique, ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Toutefois, au-delà de vérifier la loi applicable à la protection des données, il y a aussi plusieurs décisions d’adéquation en ce qui concerne le transfert de ces données.
En plus, l’article 226-19 du Code pénal dispose qu’il est puni de cinq ans d’emprisonnement et de 30 000 euros d’amende le fait, hors les cas prévus par la loi, de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci.
Toutefois, malgré la protection de la loi française, au-delà de la complexité de vérifier la loi applicable à la protection des données, il faut aussi souligner l’existence de plusieurs décisions d’adéquation en ce qui concerne l’autorisation du transfert de ces données aux pays hors l’Union européenne.
II – Une confidentialité partagée.
Meta s’appuie sur les décisions de la Commission européenne reconnaissant que certains pays et territoires en dehors de l’Espace économique européen garantissent un niveau de protection adéquat pour les informations personnelles. Ces décisions sont appelées « décisions d’adéquation ».
Dans les autres cas, Meta s’appuie sur les clauses contractuelles types approuvées par la Commission européenne (et les clauses contractuelles types équivalentes pour le Royaume-Uni, le cas échéant) ou sur des dérogations fournies en vertu de la loi en vigueur dans le cadre du transfert d’informations vers des pays tiers.
A) Le transfert des données personnelles.
Tout d’abord, l’article 70-25 de la loi du 20 juin 2018 stipule que le responsable de traitement de données à caractère personnel ne peut transférer des données ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne. Néanmoins, il y a plusieurs exceptions.
D’abord, l’article 49.1 du RGPD prévoit plusieurs dérogations afin de permettre le transfert des données, par exemple, avec le consentement explicite de la personne concernée, un transfert nécessaire à l’exécution d’un contrat, pour des motifs importants d’intérêt public ou à l’exercice ou à la défense de droits en justice.
Le RGPD prévoit enfin, lorsqu’aucune de ces dérogations n’est applicable, la possibilité de procéder au transfert dans les conditions cumulatives suivantes : Le transfert :
i) ne revêt pas de caractère répétitif ;
ii) ne touche qu’un nombre limité de personnes concernées ;
iii) est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et si le responsable du traitement a évalué toutes les garanties appropriées en ce qui concerne la protection des données à caractère personnel.
Or, le transfert de données hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE) est possible, à condition d’assurer un niveau de protection des données suffisant et approprié. Ces transferts doivent être encadrés en utilisant différents outils juridiques, selon la CNIL.
La décision d’adéquation (art. 45 du RGPD) constitue le premier outil juridique d’encadrement, dans la mesure où elle est prise sur la base d’un examen global de la législation en vigueur dans un État, sur un territoire ou applicable à un ou plusieurs secteurs déterminés au sein de cet État. Par exemple, le transfert est autorisé lorsque la Commission européenne a adopté une décision d’adéquation en application de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016.
Ainsi, le transfert doit respecter les limites et conditions du RGPD. Par exemple, le 4 juillet, Meta a été condamné par la justice allemande à verser 5 000 euros à un utilisateur du réseau Facebook pour violation des règles européennes protégeant les données, une décision ouvrant la voie à d’autres plaintes. La plate-forme européenne du géant américain, située en Irlande, transfère systématiquement les données privées vers des pays tiers dans le monde entier, notamment les États-Unis, où elles sont exploitées à "une échelle inconnue de l’utilisateur", rappelle le juge de Leipzig.
Les informations contrôlées par Meta Platforms Ireland Limited seront transférées ou transmises, ou stockées et traitées dans : des lieux où Meta dispose d’infrastructures ou de data centers, notamment les États-Unis, l’Irlande, le Danemark et la Suède ; les pays où les produits des entités Meta sont disponibles et d’autres pays où les partenaires, fournisseurs, prestataires de service et d’autres tiers sont situés, hors de votre pays de résidence.
En ce qui concerne le transfert des données, l’article 226-22-1 du Code pénal prévoit que le fait de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un État n’appartenant pas à l’Union européenne ou à une organisation internationale en violation du chapitre V du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, hors les exceptions précitées, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037825492).
Enfin, au-delà de ces cas, Meta informe qui peut partager des informations avec d’autres personnes afin de lutter contre un comportement illégal ou dangereux lorsqu’il est dans l’intérêt public de le faire et lorsque cet intérêt public est mentionné dans la législation de l’Union européenne ou de l’État membre en question, ou dans toute autre loi applicable à laquelle Meta est soumise, autrement dit, sur l’article 53 de la loi irlandaise de 2018 sur la protection des données (Data Protection Act 2018) et sur le Règlement (UE) 2021/1232.
B) La protection de vos données personnelles.
Le règlement dit « RGPD » (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est en vigueur depuis le 25 mai 2018.
Selon le RGPD, « une donnée personnelle est toute information permettant d’identifier une personne directement ou indirectement ». La notion de « traitement » couvre toute opération ou ensemble d’opérations effectuées sur des données : collecte, enregistrement, conservation, modification, communication par transmission.
Le règlement prévoit que les données à caractère personnel ne peuvent être recueillies et traitées que pour une finalité déterminée, explicite et légitime, correspondant aux objectifs poursuivis par le responsable du traitement, selon plusieurs conditions, notamment :
I) le consentement de la personne majeure ; II) le besoin à l’exécution d’un contrat ;
II) le besoin à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;
III) le besoin aux fins des intérêts légitimes (et privés) poursuivis par le responsable du traitement ou par un tiers.
Selon l’article 226-18 du Code pénal, le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. En autre, il est aussi interdit le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, d’après article 226-20 du Code pénal.
Au-delà de ça, une durée de conservation doit être établie en fonction de la finalité de chaque fichier. Les données contenues dans les fichiers ne peuvent être consultés que par les personnes habilitées à y accéder en raison de leurs missions. Le consentement de la personne concernée par le traitement doit être obtenu. En France, la CNIL est compétente pour surveiller l’application du RGPD, afin de protéger les libertés et droits fondamentaux des personnes physiques.
Dans le cadre du RGPD, l’article 13 du RGPD dispose que les personnes concernées par un traitement peuvent obtenir du responsable du traitement une copie des données à caractère personnel leur appartenant. L’article 20 du RGPD exige que ces données soient remises dans un format structuré, couramment utilisé et lisible par machine. L’article 17 du RGPD prévoit par ailleurs le droit à l’effacement ou « droit à l’oubli » et par conséquent, les personnes concernées ont le droit d’obtenir du responsable du traitement, dans les meilleurs délais, l’effacement des données à caractère personnel les concernant.
En autre, l’article 45 de la loi du 20 juin 2018 prévoit que le président de la CNIL peut avertir un responsable de traitement du fait que les opérations de traitement sont susceptibles de violer les dispositions du RGPD ou de la loi française de protection des données. Le président de la CNIL peut, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu’il fixe, par exemple, pour rectifier ou d’effacer des données à caractère personnel ou pour limiter le traitement de ces données.
Dans ce contexte, le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d’extrême urgence. Le cas échéant après lui avoir adressé l’avertissement ou, le cas échéant en complément d’une mise en demeure prévue au II de l’article, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, plusieurs mesures, notamment, un rappel à l’ordre ou une injonction de mettre en conformité le traitement ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte. Est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés (Article 226-22-2 du Code pénal).
C) Protection des données personnelles : Mode d’emploi.
Compte tenu de toute la complexité de la politique de confidentialité de Meta, quelques recommandations sont proposées pour la protection des données personnelles :
D’abord, selon la CNIL, il est important de régler les paramètres de confidentialité de votre profil :
- Empêchez les moteurs de recherche d’indexer votre profil ou limitez sa visibilité complète à vos contacts, sécurisez vos profils.
- Il est recommandé de maîtriser votre présence sur internet : ne restez pas connecté quand vous quittez un site, pensez à cliquer sur « déconnexion ».
- Supprimer les profils que vous n’utilisez plus depuis plusieurs années [3].
- En ce qui concerne les “préférences publicitaires”, vous pouvez retirer votre consentement à tout moment afin d’éviter le partage de vos données personnelles en ce qui concerne les produits et les services de Meta.
Ensuite, vous avez le droit de vous opposer à certains traitements de vos données et de les limiter. Par exemple, après le 27 mai 2025, il faut faire une opposition explicite afin d’empêcher Meta d’utiliser vos informations publiques sur les produits Meta ou vos interactions avec les fonctionnalités de l’IA de Meta pour développer et améliorer les modèles d’IA générative destinés à l’IA de Meta. Votre opposition sera confirmée avec le message suivant : « Nous acceptons votre opposition concernant vos informations publiques, telles que vos publications et commentaires publics, ainsi que vos interactions avec les fonctionnalités de l’IA de Meta. Cela signifie que nous n’utiliserons plus vos informations publiques sur les produits Meta ni vos interactions avec les fonctionnalités de l’IA de Meta pour développer et améliorer les modèles d’IA générative destinés à l’IA de Meta ».
De surcroît, vous pouvez supprimer vos informations ou votre compte sur Facebook ou Instagram, ce qui déclenche la suppression de vos informations, y compris ce que vous avez publié, comme vos photos ou vos statuts. Toutefois, la suppression peut prendre jusqu’à 90 jours.
Finalement, vous pouvez également déposer plainte auprès de l’autorité de contrôle de Meta Platforms Ireland Limited, de l’autorité de contrôle irlandaise (the Irish Data Protection Commission), notifier une violation de données personnelles à la CNIL sur son site en ligne (en France) ou auprès du Comité européen de la protection des données.
