Le modèle économique de Facebook repose sur l’exploitation des données. L’acquisition d’Instagram en 2012 et de WhatsApp en 2014 a élargi le champ des données cultivé par Facebook. En effet, Facebook a croisé les données issues des applications qu’elle détient, ainsi que celles issues de sources tierces, lui permettant ainsi d’affiner les profils des utilisateurs et de les vendre. La décision du 7 février 2019 rendue par l’Office fédéral de lutte contre les cartels (le Bundeskartellamt) est un coup de frein à ce croisement des données et à leur exploitation.
Après trois ans de contrôle des activités de Facebook, le Bunderskarellamt a rendu sa décision et interdit à Facebook de combiner les données de ses utilisateurs avec d’autres sources, sans le consentement explicite des utilisateurs.
Ces sources identifiées par le Bunderskerellamt sont les services proposés par des sociétés détenues par Facebook, dont les plus connues sont Instagram et WhatsApp, ainsi que les sources tierces qui interagissent avec le réseau Facebook, via les boutons « like » et de partage. En effet, les internautes, avec ou sans compte Facebook, sont tracés via le cookie « datr » et le bouton « J’aime ». Du fait de ce cookie « datr », le site Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte Facebook. En effet, le site dépose un cookie sur le terminal de chaque internaute qui visite une page Facebook publique, sans l’en informer (pages d’un événement public ou d’un ami par exemple). Ce cookie permet alors au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton Facebook. Que de données collectées pour un clic sur un pouce levé.
Le fondement de la décision de l’autorité de la concurrence allemande est l’abus de position dominante de la part de Facebook. L’autorité allemande considère que Facebook profite de sa position dominante pour imposer à ses utilisateurs des conditions contraires notamment à la réglementation sur la protection des données.
Cette décision touche au cœur du modèle économique de Facebook et elle devrait, en toute logique, être suivie par des décisions rendues par d’autres autorités européennes.
Rappelons que Facebook a déjà fait l’objet de décisions rendues par des autorités de contrôle, notamment par les autorités belge et française.
En effet, par une délibération du 27 avril 2017 rendue publique le 16 mai 2017, la CNIL sanctionnait Facebook pour violation de la loi française (voir à ce sujet notre Tribune Libre parue dans Le Revenu). La CNIL rejoignait son homologue belge, la Commission de la protection de la vie privée (qui a cédé sa place à la nouvelle Autorité de protection des données depuis le 25 mai 2018), et ses recommandations de mai 2015 (Recommandation n°04-2015).
Facebook a annoncé qu’elle interjetait appel de cette décision en contestant l’analyse faite du marché pertinent et de sa position dominante en soulignant que le fait que le réseau social Facebook soit extrêmement populaire en Allemagne ne signifie pas automatiquement qu’il soit en position dominante. Facebook soutient également que l’exploitation des données lui permet d’améliorer l’expérience utilisateur. Cette procédure d’appel devrait être, à notre sens, vouée à l’échec.
Par AGIL’IT – Pôle IT, Télécoms et Data Protection
Sylvie Jonas, Avocate Associée