Accueil / A la Une / Amende contre Facebook : comment la FTC américaine s’est transformée en « super CNIL »

Amende contre Facebook : comment la FTC américaine s’est transformée en « super CNIL »

L'immeuble de la Federal Trade Commission à Washington ; ilsr.org, CC BY

Article rédigé en partenariat avec The Conversation
Winston Maxwell, Télécom Paris – Institut Mines-Télécom

Le régulateur américain de la protection des consommateurs a infligé à Facebook une amende record de $5 milliards pour des violations en matière de données à caractère personnel. Cette amende est de loin la plus grosse jamais infligée pour une violation de données personnelles. Même si le montant de l’amende semble dérisoire pour certains membres du Congrès américain, cette sanction a permis à la FTC d’occuper la place du régulateur le plus puissant du monde en matière de protection de données à caractère personnel. Et pourtant, les États-Unis ne disposent pas de loi générale sur la protection des données.

Pour se transformer en « super CNIL », la FTC américaine s’est appuyée sur un texte de 1914 sur la protection des consommateurs qui interdit toute pratique déloyale ou trompeuse dans le commerce. La France dispose d’une loi similaire dans son Code de la Consommation. Aux États-Unis il n’existe pas l’équivalent de la CNIL au niveau fédéral. La FTC a donc rempli le vide.

Il n’était pas évident pour la FTC de transformer un texte général sur la protection des consommateurs en une loi sur la protection des données à caractère personnel. La FTC devait affronter deux obstacles. Premièrement, il fallait créer une doctrine suffisamment claire pour que les entreprises comprennent ce qu’est une pratique déloyale ou trompeuse en matière de données à caractère personnel. Ensuite il fallait trouver le moyen d’imposer des sanctions financières, car le FTC Act de 1914 n’en prévoyait pas.

Procédures contre Facebook

Un siège de Facebook. Earthworm/Flickr, CC BY-NC-SA

Pour expliciter ce qui est une pratique trompeuse en matière de données à caractère personnel, la FTC a créé une doctrine qui punit toute entreprise qui « ne tient pas ses promesses » en matière de données personnelles. La FTC avait commencé une première procédure contre Facebook en 2011 en l’accusant de pratiques trompeuses en raison du décalage entre ce que Facebook a dit au consommateurs, et ce qu’elle a fait. Pour détecter une pratique trompeuse, la FTC va scruter chaque phrase de la politique de confidentialité pour déceler une promesse, même implicite, qui ne serait pas tenue.

Une pratique déloyale est plus délicate à démontrer qu’une pratique trompeuse, ce qui explique pourquoi la FTC préfère s’appuyer sur le concept de « pratique trompeuse » plutôt que celui de pratique déloyale. La FTC considère comme pratique déloyale toute pratique qui surprendrait le consommateur moyen et ne pourrait être facilement évité par lui.

Le FTC Act ne permet pas à la FTC d’imposer une sanction financière directement. Elle doit demander au Département de la Justice américain d’intenter un procès. Pour contourner cette difficulté, la FTC privilégie la conclusion d’accords transactionnels. Le FTC Act permet au régulateur d’imposer des sanctions directement en cas de violation de ces accords. Le tout est de faire signer un accord lors de la première violation par l’entreprise. En cas de deuxième infraction, la FTC est en position de force. La nouvelle affaire Facebook s’inscrit dans cette logique. Facebook a signé un accord transactionnel avec la FTC en 2012. La FTC constate aujourd’hui que Facebook a violé l’accord, notamment en partageant des données avec Cambridge Analytica. La violation de l’accord de 2012 permet à la FTC de frapper fort, et négocier un nouvel accord de 20 ans, cette fois-ci avec une amende de $5 milliards.

Accords transactionnels

Si les accords transactionnels permettent à la FTC d’augmenter ses pouvoirs, pourquoi est-ce que les entreprises les signent ? En signant des accords transactionnels, les entreprises se mettent en situation de faiblesse : La planche est savonnée à l’avance en cas de deuxième violation. Cependant la plupart des entreprises préfèrent négocier un accord avec la FTC plutôt que de subir un procès. Outre le coût du procès et le mauvais effet sur l’image de l’entreprise, un procès perdu contre le gouvernement américain peut ouvrir la porte à d’autres procès et notamment des class actions de consommateurs. Les entreprises craignent l’effet boule de neige. Par contre, un accord transactionnel avec la FTC ne crée pas de précédent car l’entreprise n’admet pas sa culpabilité dans l’accord. L’entreprise garde ainsi les mains libres pour clamer son innocence lors d’autres procédures.

En plus d’augmenter les pouvoirs de sanction de la FTC, les accords transactionnels permettent à la FTC d’imposer des obligations détaillées en matière de protection des données personnelles. Un accord transactionnel avec la FTC peut devenir un mini-RGPD qui lie l’entreprise pendant 20 ans, la durée habituelle de ces accords.

Le nouvel accord oblige Facebook à obtenir le consentement explicite de l’utilisateur avant toute utilisation de ses données de reconnaissance faciale, ou de tout partage de son numéro mobile avec des tiers. L’accord de 2012 obligeait déjà Facebook à effectuer des études d’impact, et cette obligation a été renforcée dans l’accord de 2019. Le nouvel accord oblige Facebook à mettre en place un comité d’administrateurs indépendants pour contrôler l’application de l’accord au sein de l’entreprise, et les statuts de Facebook devront être modifiés pour garantir que Mark Zuckerberg n’a pas le pouvoir seul de licencier les personnes chargées de contrôler les obligations de Facebook à l’intérieur de l’entreprise. Le nouvel accord oblige Mark Zuckerberg à signer une attestation personnelle sur la conformité de l’entreprise avec les engagements pris dans l’accord. Une fausse déclaration exposerait Monsieur Zuckerberg à des sanctions pénales, y compris l’emprisonnement. Surtout, les accords obligent Facebook à documenter l’ensemble de ses mesures prises pour réduire les risques, et à effectuer un audit tous les deux ans par un auditeur indépendant.

L’accord de 2012 avait déjà prévu un audit biannuel. A la suite de l’affaire Cambridge Analytica, l’association EPIC a obtenu une copie de l’audit effectué pour la période 2015-2017. L’audit n’a pas détecté d’anomalies liées au partage de données avec Cambridge Analytica et d’autres partenaires commerciaux de Facebook. L’efficacité des audits a été remise en cause, ce qui a conduit la FTC à muscler les dispositions sur les audits dans le nouvel accord de 2019.

Même si l’accord transactionnel de 2012 n’a pas empêché Facebook de franchir la ligne rouge dans l’affaire Cambridge Analytica, cet accord a néanmoins permis à la FTC d’intervenir avec force pour sanctionner cette deuxième violation. Outre l’amende de $5 milliards, le nouvel accord de 2019 contient de nombreuses mesures de « responsabilisation » (accountability) qui sont censées garantir que les engagements pris par Facebook sont appliqués à chaque niveau de l’entreprise et que toute violation sera détectée rapidement. La direction de Facebook ne pourra pas dire qu’elle n’était pas au courant. Ces engagements de gouvernance s’appliqueront à Facebook pendant les 20 prochaines années.

Aux États-Unis, le procédé d’accords négociés avec le gouvernement est courant. Ce procédé est parfois critiqué comme étant une forme de négociation sous contrainte. L’amende de $8,9 milliards contre la BNP Paribas était un accord « négocié » même si on peut s’interroger sur l’équilibre de cette négociation entre la banque française et le gouvernement américain. En Europe, les accords transactionnels n’existent pas pour les violations de données à caractère personnel, mais sont fréquents en droit de la concurrence.The Conversation

Winston Maxwell, Directeur d’Etudes, droit et numérique, Télécom Paris – Institut Mines-Télécom

Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *