Brest ouVert

Lancé par les élu.e.s Europe Ecologie Les Verts de Brest, Brest-ouVert.net est un site d’information et de débat public ouvert à chacun.e selon la charte

« Veuillez accepter nos conditions » : la fabrique du consentement chez Facebook (et les moyens d’y mettre fin)

Facebook s’y était engagé cette semaine et cela s’est produit hier : des millions d’utilisateurs en Europe ont reçu un mail de la plateforme les invitant à accepter les nouveaux paramètres de confidentialité mis en place pour de se mettre en conformité avec le Règlement Général de Protection des Données (RGPD) qui entrera en vigueur le mois prochain. Le message était intitulé « Veuillez accepter nos conditions d’utilisation avant le 25 mai pour continuer à Facebook » et en elle-même, cette formulation est problématique, car elle revient une nouvelle fois à exercer sur les utilisateurs une forme de « chantage au service ».

L’interprétation de la notion de « consentement libre et éclairé » va être centrale dans l’application du RGPD.

Alors que le scandale Cambridge Analytica est encore dans tous les esprits, Facebook a déployé beaucoup d’efforts pour tenter de rassurer ses utilisateurs européens, allant jusqu’à acheter des publicités en pleine page dans la presse pour vanter les mérites du RGPD et afficher sa volonté de s’y conformer.

La page de publicité payée par Facebook dans la presse européenne pour informer sur l’entrée en vigueur du RGPD.

A vrai dire, ce texte n’était pas particulièrement rassurant, notamment à cause de cette phrase : « Conformément aux nouvelles règles, vous devrez revoir vos choix concernant l’utilisation de vos données personnelles sur Facebook« . Car cela revient encore une fois à renvoyer les individus à la responsabilité de la protection de leurs propres données, alors que c’est l’entreprise elle-même qui devrait revoir ses principes de fonctionnement pour se mettre en conformité avec le RGPD.

Indépendamment de leurs contenus, la manière dont Facebook a demandé à ses utilisateurs d’accepter ce changement de ses conditions d’utilisation fait très sérieusement douter de sa volonté de respecter les principes du RGPD, à commencer par l’obligation de recueillir un « consentement libre et éclairé » qui n’est ici manifestement pas satisfaite.

Dans la « fabrique du consentement » de Facebook

On doit l’expression « fabrique du consentement » à Edward Herman et Noam Chomsky, qui l’ont forgée pour décrire la manière dont les médias exercent une influence déterminante sur les élections aux Etats-Unis. Mais il a matière à reprendre cette formule pour désigner ce qui sera un des enjeux les plus importants de l’application du RGPD : le texte requiert en effet – dans la plupart des cas – que les personnes expriment leur consentement à un traitement de données à caractère personnel. Il sera donc crucial pour les plateformes d’arriver à « faire consentir » leurs utilisateurs et la manière dont Facebook a présenté cette modification de ses CGU constitue un véritable cas d’école de « consentement assisté ».

Quatre points principaux étaient en jeu dans cette révision des conditions d’utilisation :

  • La manière dont sont partagées certaines informations « sensibles » pouvant figurer dans les profils, comme la situation amoureuse, la religion ou l’orientation politique ;
  • L’activation des fonctionnalités de reconnaissance faciale dans les photos ou les vidéos publiées sur la plateforme ;
  • Le fait que Facebook puisse utiliser des données fournies par « partenaires » pour proposer des publicités ciblées, notamment des traces laissées lors de l’utilisation de sites tiers ne faisant pas partie des différents sites que possèdent Facebook ;
  • Divers changements touchant des fonctionnalités comme le Marketplace et la manière dont les données sont partagées entre les différents services détenus par Facebook (WhatsApp, Instagram, Oculus).

Comme le relève le site Techcrunch, il y avait déjà une certaine ambiguïté dans le design même des pages par lesquelles Facebook a demandé à ses utilisateurs de consentir à ces changements :

A toutes les étapes, vous pouvez appuyer sur le joli bouton bleu « J’accepte et je continue » sans avoir nécessairement scrollé pour lire les informations. Si vous appuyez sur le vilain bouton gris « Modifier les paramètres », vous devez en passer par des écrans intermédiaires où Facebook vous présente des arguments pour essayer de vous dissuader de retirer des informations avant de vous laisser faire votre choix. Il semble que tout ait été pensé pour que les utilisateurs passent leur chemin sans opposer de résistance, tout en introduisant des « frictions » lorsqu’ils souhaitent effectuer des changements.

Les interfaces simplifiées utilisées par Facebook pour faire accepter ses nouvelles CGU.

Mais il y a surtout des différences significatives dans la manière dont ces quatre choix ont été présentés aux utilisateurs.

Pour le partage des informations sensibles et la reconnaissance faciale, il semble que Facebook ait bien fait l’effort de se conformer aux prescriptions du RGPD. Concernant ces deux points, les fonctionnalités sont en effet désactivées par défaut et il faut que l’utilisateur aille volontairement cocher des cases pour exprimer son consentement à ce que ces informations soient partagées ou la reconnaissance faciale activée. On est donc bien dans un consentement « libre » dans la mesure où le refus n’est pas bloquant et ne cause pas de préjudice à l’utilisateur, en l’obligeant notamment à supprimer son profil.

L’activation de la reconnaissance faciale requiert une action volontaire de l’utilisateur.

Pour l’utilisation des données partenaires à des fins de ciblage publicitaire, les choses sont déjà subtilement différentes, puisque l’option est activée par défaut et qu’il faut que l’utilisateur aille plonger dans ses paramétrages de confidentialité pour y mettre fin. On peut se demander dans quelle mesure cette modalité d’approbation est bien conforme aux principes de « privacy by default » et de « privacy by design«  figurant dans le RGPD, qui impliquent que les personnes obtiennent d’emblée le plus haut niveau de protection possible de leurs données.

L’écran de désactivation des publicités basées sur les « données de partenaires de Facebook ».

Mais c’est surtout pour la dernière partie de l’acceptation des modifications des CGU que la manière de procéder de Facebook est problématique. Notamment pour ce qui a trait au partage de données entre Facebook, Instagram, WhatsApp et Oculus, l’utilisateur n’a en réalité que le choix de les valider ou de supprimer son profil, comme on le voit sur l’écran ci-dessous :

Facebook nous dit que nous avons « plusieurs options » si nous ne souhaitons pas accepter ces changements, mais en réalité, il n’y a aucune alternative à la suppression du compte en cas de refus. La plateforme propose juste de télécharger ses données avant de la quitter, ce qui permet à l’utilisateur d’exercer le droit à la portabilité prévu dans le RGPD.

Violation du consentement libre

Il est surprenant que Facebook ait choisi de procéder ainsi, car en acculant ses utilisateurs à accepter ou à quitter la plateforme, il viole l’obligation de recueillir un « consentement libre ». C’est déjà cette forme de « chantage au service » qui lui avait été reproché en décembre dernier par la CNIL à l’occasion d’une mise en demeure liée au partage de données entre WhatsApp et Facebook :

Le consentement des utilisateurs n’est pas valablement recueilli car il n’est pas libre – le seul moyen de s’opposer à la transmission des données […] est de désinstaller l’application.

Cette interprétation résulte de lignes directrices que le G29 (le groupement des autorités de protection des données en Europe) a émises à la fin de l’année dernière à propos de la notion de consentement. Elles expliquent notamment que « le RGPD prévoit que si la personne concernée n’a pas un véritable choix, se sent contrainte de consentir ou subira des conséquences négatives si elle ne consent pas, alors son consentement n’est pas valide. » Il est également précisé que « le RGPD garantit que le traitement de données personnelles pour lequel le consentement est demandé ne peut pas devenir, directement ou indirectement, la contrepartie d’un contrat ».

Cela signifie qu’une plateforme ne peut placer ses utilisateurs devant une option de type « take it or leave it« . Si les individus donnent leur consentement dans une situation où ils y sont contraint pour pouvoir continuer à bénéficier d’un service, alors ce consentement n’est tout simplement pas valide. Dans un billet précédent, j’expliquais que cette interprétation du G29 est extrêmement importante, car elle va empêcher que les plateformes n’instrumentalisent le consentement des individus pour les faire participer à la fragilisation de leurs propres droits :

Ce caractère « libre, spécifique, éclairé et univoque » du consentement constitue autant de critères « objectifs » qui vont permettre de déterminer des conditions dans lesquelles un individu ne pourra pas consentir valablement à un traitement de données. Il s’agit donc moins en réalité de donner à l’individu un pouvoir de consentir que de définir, au contraire, ce à quoi il ne peut pas consentir.

Le résultat est donc que peu importe que des millions d’individus aient sans doute accepté les modifications de CGU proposées hier par Facebook, cela ne peut pas constituer une base légale pour traiter leurs données personnelles, car les personnes ne pouvaient valablement exprimer leur consentement vu les conditions dans lesquelles elles étaient placées pour exercer leur choix.

La métaphore trompeuse du restaurant

Lorsque j’ai essayé d’expliquer ce problème hier sur Twitter, je me suis rapidement heurté à un certain nombre d’objections de la part de personnes qui trouvaient normal que Facebook procède de cette manière pour faire valider ses nouvelles CGU. Et plusieurs d’entre elles ont utilisé la métaphore d’un restaurant et de ses clients pour justifier leur point de vue :

Cela peut paraître relever du bon sens, mais en réalité, cette comparaison est profondément trompeuse. En effet, la relation entre un restaurant et ses clients est d’emblée marchande, alors que le RGPD – du moins dans la manière dont le G29 l’interprète – vise à éviter justement que les données personnelles soient « marchandisées ». Plus exactement, le texte vise à empêcher que les données des utilisateurs servent de « monnaie » en échange de l’accès à un service. C’est aussi ce que le Parlement européen a affirmé en novembre dernier à l’occasion de l’examen du règlement ePrivacy :

Les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises.

Si cette interprétation exigeante de la notion de « consentement libre et éclairé » s’impose, alors il en sera fini de ce modèle de fausse gratuité basée sur la publicité ciblée où les internautes devaient « payer » les services avec leurs données et leurs libertés.

***

Malgré les déclarations de Mark Zuckerberg, Facebook s’est donc à nouveau moqué de ses utilisateurs en procédant de la manière dont il l’a fait pour leur faire accepter ces modifications de CGU. Et il est assez piquant de constater qu’alors il présentait ces changements comme une mise en conformité avec le RGPD, il en a en réalité violé l’esprit.

Mais tout l’enjeu à présent va être de pouvoir faire valoir ces droits que le RGPD garantit, car ils resteront sinon lettre morte et aucun bénéfice réel n’en découlera. C’est la raison pour laquelle il est crucial de soutenir les actions de groupe que La Quadrature du Net est en train de lancer contre les GAFAM, car elles s’appuient précisément sur la notion de « consentement libre » du RGPD (et la première visera Facebook dès le 25 mai prochain).

Le but poursuivi n’est pas seulement d’obtenir des modifications à la marge des CGU de Facebook, mais de détruire le modèle économique hyper-toxique sur lequel Facebook a construit son empire :

Le modèle économique de Facebook est en train d’être drastiquement remis en cause. Il n’est plus permis de rémunérer un service en contrepartie de libertés fondamentales. Facebook ne va pas forcément disparaître, mais ne pourra plus continuer à se rémunérer de la même façon.

Mais qu’importe : nous n’avons pas besoin de Facebook pour pouvoir continuer d’utiliser des services gratuits et de qualité. Il existe déjà de nombreuses alternatives aux services des GAFAM qui sont réellement gratuites (c’est-à-dire qui n’impliquent pas de « monnayer » nos libertés), car leur financement repose sur le modèle originel d’Internet : la décentralisation, qui permet la mutualisation des coûts en stockage, en calcul et en bande passante.

[…]

Rejoindre collectivement ces alternatives est bien l’objectif final de nos actions, mais nous pensons pouvoir n’y parvenir qu’une fois chacun et chacune libérée de l’emprise des GAFAM. Nous pourrons alors construire l’Internet de nos rêves, libre et décentralisé, que notre alliée Framasoft construit déjà chaque jour ardemment !

Pour cela, il importe d’être les plus nombreux possibles à l’occasion de ces actions de groupe pour peser en faveur d’une interprétation la plus stricte possible du RGPD, en mettant la pression sur la CNIL pour qu’elle reste fidèle à la vision qu’elle a mise en oeuvre en décembre dernier face à WhatsApp. Donc prenez le temps de cliquer sur ce lien  : se joindre à la procédure est gratuit , sans risque légal et cela ne requiert que… votre libre consentement dont vous avez l’occasion de faire une arme plutôt qu’un instrument de soumission !

PS : suite à la publication de ce billet, j’ai supprimé mon profil Facebook, ainsi que la page associée à ce blog (et c’est une sacrée galère…).

PPS : de nombreux internautes m’ont signalé que des sites comme Airbnb ou BlablaCar exercent eux aussi un « chantage au service » pour faire valider leurs changements de CGU en vue de l’entrée en vigueur du RGPD…

image
image
image
image
image
image
image
image

@Brest

Site coopératif du groupe citoyenneté et nouvelles technologies du pays de Brest
URL: http://www.a-brest.net
Posté le 24 avril 2018 par calimaq
©© Brest-ouvert, article sous licence creative common info