Chartes de « vie privée » : FACEBOOK et GOOGLE

Il faut d’ores et déjà soulever un certain paradoxe, qui réside dans l’opposition de deux intérêts en apparence relativement antagoniste : ciblage comportemental et publicité ciblée d’un côté, et respect de la vie privée de l’autre[1].

FACEBOOK ou l’industrie de la données à caractère personnel et sensible

Le 25 octobre 2007, MICROSOFT est entré dans le capital de FACEBOOK pour la somme de 240 millions de dollars représentant 1,6% des parts, « ce qui valorise FACEBOOK à 15 milliards de dollars ![2] »

En ce qui concerne, la Privacy Policy de FACEBOOK, outre dans sa version française, les phrases tournées de façon hasardeuse où de surcroît certaines fins sont manquantes, il ressort nettement que :

« Quand vous allez sur FACEBOOK, vous nous fournissez deux types d’informations : d’une part des informations personnelles que vous avez volontairement choisi de dévoiler et que nous récupérons et d’autre part des données d’utilisation du site Internet que nous récupérons quand vous interagissez avec notre site Internet. »

Au-delà que de récupérer (passif) plutôt que de collecter (actif) toutes les données nées de l’utilisation, FACEBOOK diffuse celle liées au profil de l‘utilisateur par défaut de façon large et complète. Ce n’est qu’à posteriori qu’il est possible pour l’utilisateur de configurer et d’affiner le degré de confidentialité.

Sachant d’autre part que la Privacy Policy de FACEBOOK expose que :

« Vous comprenez et reconnaissez que, même après suppression, des copies du contenu utilisateur peuvent rester visibles dans les pages d’archives et les pages en cache ou bien si d’autres utilisateurs ont ayant [?] enregistré ou copié votre contenu. »

Il faut en conclure, que FACEBOOK, conserve des « pages d’archives », stockant les contenus déposé par l’utilisateur. Mais à quel moment sont collectés ces contenus ? Lors de la création du profil, au moment où toutes les informations sont disponibles par défaut ? Ou après reconfiguration par l’utilisateur du niveau de confidentialité ? L’interprétation laisse apparemment le choix …

Par ailleurs, FACEBOOK se réserve «le droit d’exploiter des informations vous concernant et provenant d’autres sources, tels que journaux, blogs, services de messagerie instantanée, développeurs de la plate-forme FACEBOOK, utilisateurs de FACEBOOK, pour compléter votre profil. »

Ainsi, FACEBOOK annonce explicitement qu’en plus des milliards de données collectées et recoupée à travers ses propres services, la société se réserve le droit de recouper ce résultat avec des sources externes et cite une liste apparemment non-exhaustive.

Dans ce sens, la direction des affaires juridiques de la CNIL avait déclarée qu’elle a « rencontré des responsables de FACEBOOK, ce qui […] témoignent de leur intérêt pour la question [...] ils ont adhéré à la Safe Harbor (une protection largement discutable) […] Mais en pratique, on attend de voir comment ils vont l’appliquer. Car, quand on lit la Privacy Policy du site, il nous semble qu’il y a nature à améliorer l’information des internautes dans l’exploitation des données.[3] »

Dès lors, la concentration de ce type d’information collecté par FACEBOOK à une grande valeur ajoutée, et en fait une cible de choix tant pour des logiciels espions que dans le cadre « d’attaques informatiques ».

GOOGLE : « Présentation de la notion de confidentialité »

Ce texte qui s’intitule à tour de rôle : « Présentation de la notion de confidentialité » (sous l’intitulé Règles de confidentialité) ; puis Charte de confidentialité de GOOGLE (sous l’intitulé Règles de confidentialité), n’a qu’une valeur déclarative ou alors s’apparente-t-il plus à des conditions particulières d’utilisation ?

Selon GOOGLE, la confidentialité s’entend notamment par « l’éventail de services complet que nous proposons, [où] nous pouvons être amenés à collecter les types d’informations suivant : Informations fournies par l’utilisateur […] Cookies GOOGLE […] Journaux de connexions, […] Communications de l’utilisateur, […] Sites affiliés, […] Liens, […] Autres sites »

Sachant que les « finalités incluent :

• La fourniture des produits et services aux utilisateurs, y compris l’affichage de contenus et publicités personnalisés ;
• L’audit, la recherche et l’analyse afin d’assurer la maintenance, la protection et l’amélioration de nos services;
• La maintenance technique de notre réseau ; et
• Le développement de nouveaux services. »

Les finalités semblent trop largement décrites, en effet, que recouvre la notion de « développement de nouveaux services » ?

D’autre part, le consentement de l’utilisateur semble acquis dès l’utilisation d’un service GOOGLE : « Cette charte s’applique dans le cadre de l’usage des produits, services et sites Internet de GOOGLE Inc. ou de ses filiales ou sociétés affiliées (ci-après collectivement désignés par les « Services » de GOOGLE). »

Il est intéressant à ce titre de voir que les conditions d’utilisations de GMail explicite que : « vos messages, listes de contacts et autres données relatives à votre compte sont collectés, traités et conservés par GOOGLE [….] Nous nous interdisons de vendre, louer ou partager des informations personnelles de nos utilisateurs avec des tiers, sauf dans les cas prévus par la Règles de Confidentialité de GOOGLE… »

Outre les renvois à un nombre conséquent de documents mais aussi à de nombreuses définitions, n’aidant pas à la transparence de l’information, la clarté rédactionnelle des conditions de partage des données à caractère personnel à des tiers n’est pas rassurante :

« GOOGLE ne partage les informations personnelles avec des tiers que dans les cas suivants […]Si l’accès, l’utilisation, la protection ou la divulgation desdites informations est raisonnablement nécessaire, dans toute la mesure permise ou requise par la loi : (a) pour se conformer à une obligation légale, réglementaire, judiciaire ou toute autre réquisition d’une autorité étatique, (b) pour faire appliquer les Conditions d’utilisation en vigueur de tout service concerné, y compris pour constater d’éventuelles violation de celles-ci, (c) pour déceler, éviter ou traiter les activités frauduleuses, les atteintes à la sécurité ou tout problème d’ordre technique, ou encore (d) pour se prémunir contre toute atteinte imminente aux droits, aux biens ou à la sécurité de GOOGLE, de ses utilisateurs ou du public »

Il ressort de façon manifeste que la communication de GOOGLE autour du traitement des données à caractère personnel, n’est pas limpide, et parait à la limite de la légalité au vu de la lecture combinée des principes de transparence de la collecte et d’information des personnes sur les données collectées et leur finalité (loi n°78-17 du 6 janvier 1978).

Le Veilleur publié le 20/12/2010 (Home Le Veilleur)

[2] « Microsoft investit 240 millions de dollars dans FACEBOOK, valorisé à 15 milliards » Washington AFP, http://afp.GOOGLE.com/article/ALeqM5hJTv-jgkS-HEoXuxelXJew0PHRgA, 25/10/07.

[3] GIRARDEAU (A.), «  La CNIL se retrouve à protéger l’individu contre lui-même », http://www.ecrans.fr/Facebook-La-CNIL-se-retrouve-a,2556.html, 13/11/07.