Facebook contraint de créer une fondation chargée de la défense de la vie privée en ligne.

En Novembre 2007, Facebook révélait ce qui pouvait apparaitre comme un moyen de monétiser ce réseau social fort de 350 millions d’utilisateurs dans le monde, avec un service baptisé Beacon. Ce service utilisait le cookie d’un site tiers pour afficher des informations sur le fil d’information Facebook.

De cette façon, si vous achetiez un DVD sur un site partenaire, Facebook prenait soin d’en informer tous vos amis, sans que votre consentement préalable n’ait été recherché. S’il vous était possible de vous désinscrire (opt-out) de ce service, la démarche ne faisait l’objet d’aucune publicité, et n’était pas accessible à la plupart des utilisateurs.

Ce service, très contesté dès l’origine, a fait l’objet d’une class action^[1] tendant à condamner Facebook, notamment, pour interception et divulgation de communications électroniques^[2], accès à un ordinateur sans autorisation ou en dépassant l’autorisation^[3], ainsi que divulgation frauduleuse de vente ou location de cassette vidéo^[4].

Le service Beacon ayant finalement été suspendu en Septembre 2009, cette action a fait l’objet d’une négociation entre les parties.

Cette négociation aboutit aujourd’hui à une proposition d’accord insolite : si les charges contre Facebook sont définitivement abandonnées et que le service devra être entièrement démantelé, Facebook est néanmoins astreint à créer « une fondation à but non lucratif pour financer des projets et des initiatives pour promouvoir la cause de la vie privée, de la sûreté et de la sécurité en ligne. » Un fonds de 9,5 millions de dollars américains permettra de financer cette fondation (ainsi que de payer les honoraires des avocats).

Ironie du sort : ceux qui voudraient s’exclure du projet d’accord devront effectuer un opt-out avant Février 2010.

“Google is your friend”, not your pal.

On est néanmoins impatient de connaître l’avis de cette future fondation sur les récentes déclarations d’Eric Schmidt^[5], actuel CEO de Google, qui aimerait bien voir les internautes arrêter de se plaindre pour défendre leur vie privée, quand ils pourraient simplement être plus propres sur eux :

« Si vous faites quelque chose en souhaitant que personne ne le sache, peut-être que vous ne devriez pas le faire en premier lieu. Mais si vous voulez vraiment une vie privée, la réalité est que les moteurs de recherche (comme Google) retiennent cette information pour un certain temps. Et par exemple nous sommes tous soumis aux Etats-Unis au Patriot Act, et il est possible que ces informations soient transmises aux autorités.^[6] »

La conception française de la protection de la vie privée ne laisse pas prospérer juridiquement une telle remarque.

En effet, si le Code civil n’apporte aucun élément de définition de la notion de vie privée, la doctrine a pu notamment la définir comme « le droit pour une personne d’être libre de mener sa propre existence comme elle l’entend sans ingérences de l’extérieur »^[7]. Ce n’est qu’ensuite que cette notion peut protéger l’intimité de la personne contre les immixtions arbitraires^[8].

Interprété ainsi, publier sa vie (life-streaming) sur Facebook n’est pas un obstacle à la vie privée, mais au contraire son expression, puisqu’elle illustre l’autonomie de la personne, sans ingérences arbitraires (c’est-à-dire non consenties) de l’extérieur.

En revanche, la conception de privacy en vigueur dans les pays de common law (États-Unis ou Royaume-Uni) a un domaine plus restreint et des sanctions (remedies) limitées.

En effet, la protection de la vie privée ne se met en place que dans des situations où peut objectivement exister une attente de protection (expectation of privacy). Cette notion « d’attente » objective, légitime ou raisonnable, empêche en pratique qu’une protection puisse s’appliquer dans les lieux publics, ce qui permet à la presse people d’y photographier les personnalités qui s’y trouvent (ou de photographier votre maison et d’en publier la photo sur Internet comme dans le cas du service Street View^[9].).

C’est peut-être dans ce cadre que l’intervention d’Eric Schmidt prend son sens.

Dans l’Amérique post-11 Septembre, toujours marquée par la menace du terrorisme, les internautes ne peuvent pas avoir une attente objective, légitime ou raisonnable que Google pourra de façon effective protéger leur vie privée. Puisque Google peut avoir à transmettre des informations sur ses utilisateurs à l’administration, il ne peut pas y avoir « d’attente » de protection de la vie privée, et donc, aucune vie privée ne peut exister.

Partant de ce qui semble une législation d’exception, ce serait en fait l’ensemble des internautes qui se retrouveraient démunis d’un outil contraignant pour protéger leur autonomie et leur intimité en reprenant le point de vue d’Eric Schmidt.

Dans quelle mesure Google et le droit américain valident ce point de vue ? Comme d’autres acteurs de l’Internet, Google a pour fonds de commerce la vie privée de ses utilisateurs : les services proposés par Google ne sont qu’une façon de l’exploiter commercialement. La déclaration d’Eric Schmidt s’inscrit cependant plutôt en porte-à-faux par-rapport à la politique générale du géant de Mountain View.

S’agissant particulièrement des publicités qui sont affichées lors d’une recherche en reprennent les mots-clés, Google a lancé en Mars 2009 un programme de ciblage publicitaire basé sur les centres d’intérêt de chaque internaute (donc plus intéressantes pour l’utilisateur, qui est donc susceptible de cliquer sur celles-ci). Ce profilage publicitaire s’est néanmoins accompagné de la création d’un centre de préférences permettant, d’une part, à l’internaute de consulter les centres d’intérêts détectés pour un utilisateur sur un navigateur donné^[10], et, d’autre part, de s’opposer à cette pratique publicitaire (opt-out). Google s’est également vigoureusement opposé à une demande du ministère américain de la justice de fournir un fichier de toutes les requêtes passées entre Juin et Juillet 2005, dans une tentative d’obliger Google à faire un log de toutes les recherches passées^[11]. Google a également fait les plus grands efforts par-rapport à son service Street View^[12], très polémique dans les pays ayant une conception plus large de la protection de la vie privée. Google a également annoncé qu’il exigerait une décision de mise sur écoute (wiretap order) pour communiquer la localisation d’un usager de son service Latitude.

L’impression est finalement que Google tient plus à protéger la vie privée que les déclarations de son CEO ne laisseraient croire.

Le loup est-il dans la bergerie ?

Mais revenons à un autre acteur du Web 2.0 dont le fonds de commerce est directement la vie privée de ses utilisateurs : il s’agit bien sûr de Facebook lui-même. La question de la politique de vie privée qu’adopte Facebook est d’ailleurs d’importance cruciale, tant compte-tenu du nombre de ses utilisateurs et du contenu qui y est hébergé (photos, messages, liens, relations entre les personnes, qui sont autant d’outils pour réaliser un profilage en ligne), que de l’inconstance de Facebook en la matière.

Sans une protection efficace de la vie privée, une rupture de confiance peut se produire entre Facebook et certains de ses utilisateurs, qui à coup sûr feront se questionner la majorité d’entre eux.

Mais sans une exploitation de la vie privée des utilisateurs, Facebook intéresse finalement assez peu les annonceurs. En effet, ses utilisateurs ne viennent pas sur Facebook à la recherche d’un service particulier ou pour consommer, mais pour être en relation avec leurs amis. Finalement, la publicité sur Facebook est vécue d’abord comme une intrusion dans une relation, et non comme une valeur ajoutée au service proposé (comme cela peut être le cas sur Google Adwords).

Un autre moyen de monétiser cette audience est d’augmenter le nombre de pages vues par utilisateurs, c’est-à-dire le contenu du site. Appliqué à Facebook, il s’agit de donner à l’utilisateur le plus large accès aux contenus (et particulièrement photographiques) d’autres utilisateurs, c’est-à-dire de permettre à un utilisateur d’avoir accès à ce qui relève souvent de l’intimité d’un autre utilisateur.

La courte histoire de Facebook peut donc se lire comme pris en tenaille par deux tendances contradictoires, avec d’une part Facebook qui tente de monétiser au mieux son audience en exploitant les ressources de ses utilisateurs (profilage publicitaire, diffusion la plus large du contenu de ses utilisateurs), et d’autre part les utilisateurs eux-mêmes qui ne resteront qu’en contrepartie d’un environnement sécurisant et protecteur de leur vie privée…

On peut ainsi lire la tentative de Facebook d’intéresser les annonceurs par son service Beacon, et la class-action qui a suivie.

Très récemment encore, après l’annonce de la création de cette fondation chargée de la défense de la vie privée,  Facebook a opéré une évolution de ses règles et outils de protection de vie privée, qui a pu être qualifiée de « grande trahison »^[13].

En effet, bien loin des promesses que Facebook a pu faire lors de la négociation de la class-action conçernant Beacon, Facebook a modifié une énième fois les paramètres de  protection de vie privée de ses utilisateurs. Cela lui a permis de « recommander » – c’est-à-dire de présélectionner par défaut – de rendre accessibles à tous les utilisateurs toutes vos information (profil, photos, messages de statut, messages du Mur…). L’utilisateur a toujours la possibilité de restreindre l’accès aux informations de son profil, mais combien le feront ?

Pire encore, Facebook a supprimé la possibilité de contrôler la diffusion de sa liste d’amis. On sait pourtant qu’une expérimentation^[14] réalisée par des étudiants du MIT a déterminé un algorithme permettant de deviner l’orientation sexuelle d’un utilisateur de Facebook simplement par-rapport a la liste de ses amis^[15]. En réalité, Facebook a neutralisé ce contrôle afin de rendre les profils plus accessibles, augmenter le nombre de pages vues, pour voir sa recette publicitaire augmenter.

Malgré la publication d’un guide sur la façon de protéger sa vie privée sur Facebook, et une plus grande granularité du contrôle^[16], il reste donc beaucoup de travail à faire pour protéger l’intimité de ses millions d’utilisateurs, à commencer par celle de son président Mark Zuckerberg lui-même (dont toutes les informations et contenus étaient publiquement accessibles, avant de faire machine arrière).

Peut-on alors se féliciter de la création d’une telle fondation ? Pourrait-elle contribuer à « évangéliser » la compagnie californienne sur le respect des questions de vie privée et fournir un début de solution à ce noeud gordien de la gestion de la vie privée sur Facebook   ? Ou ne s’agira-il pas au contraire d’une marionnette destinée à fournir un faux sentiment de confiance aux millions d’utilisateurs de Facebook, contribuant alors à concurrencer des acteurs reconnus sur ce terrain, comme l’Electronic Frontier Foundation ou Privacy International ?

Dans tous les cas, l’accord demande que cette Fondation ne pourra intervenir sur le terrain judiciaire que lorsque ses intérêts propres seront atteints (elle ne pourra pas participer à des actions en justice dans le cadre de sa mission de protection de vie privée), et c’est Facebook qui devra en proposer les statuts.

L’enthousiasme, s’il existait encore, devra donc être bien modéré…

MISE À JOUR : Voir aussi les récentes déclarations de Mark Zuckerberg, CEO de Facebook, interviewé par Michael Arrington (Techcrunch),  qui indique que le partage ouvert des informations est la nouvelle norme sociale. Cela traduit une évolution notable de la stratégie de Facebook en matière de vie privée. La balle est maintenant dans le camp des utilisateurs.

Documents

• J. OATES, « Facebook close to ending snooping case », The Register, 26 octobre 2009
• R. ESGUERRA, « Google CEO Eric Schmidt dismisses the importance of privacy », Electronic Frontier Foundation, 10 décembre 2009
• Y. DETRAIGNE et A.-M. ESCOFFIER, « La vie privée à l’heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l’information », Rapport d’information fait au nom de la Commission des Lois (Sénat), 27 mai 2009

Crédits image : The Joy of Tech, Geek Culture, 2009.

Notes et références

1. Lane et al v. Facebook, Inc, en cours [retour]
2.  18 U.S.C. §2511 [retour]
3. 18 U.S.C. §1030 [retour]
4. 18 U.S.C. §2710 [retour]
5. CNBC, Inside the Mind of Google, diffusé le 4 décembre 2009 [retour]
6. Traduction de l’auteur. [retour]
7. Conclusions J. CABANNES dans CA Paris, 7ème chambre, 15 mai 1970. [retour]
8. Cass. Civ. 1ère, 6 mars 1996, n°94-11.273, Bull. I 1996 n°124. [retour]
9. Boring v. Google, Inc., W.D. Pa. Feb. 17, 2009. [retour]
10. L’auteur de ces lignes est d’ailleurs surpris que le vélo ait été détecté comme un de ses centre d’intérêts… [retour]
11. Google v DoJ, District Court of San Jose, 17 mars 2006 [retour]
12. reconnaissance et masquage des personnes et des plaques d’immatriculation des véhicules, retrait très rapide des représentations d’un lieu à la demande d’un particulier… [retour]
13. Ryan Tate,  « Facebook’s Great Betrayal », Gawker.com, 14 Décembre 2009 [retour]
14. Cette expérimentation n’a pas été publiée dans un journal scientifique. [retour]
15. Boston Globe, Carolyn Y. Johnson, « Project ‘Gaydar’ », [retour]
16. On entend par là la possibilité de contrôler les paramètres de vie privée pour chaque contenu, bien que des paramètres généraux déterminent les règles de diffusion par défaut. [retour]