Ubiquity | Facebook : abus de position dominante et croisement de données
15525
post-template-default,single,single-post,postid-15525,single-format-standard,ajax_fade,page_not_loaded,,qode-title-hidden,qode-theme-ver-16.7,qode-theme-bridge,wpb-js-composer js-comp-ver-6.7.0,vc_responsive

Facebook : abus de position dominante et croisement de données

Le 6 février 2019, l’Autorité de la concurrence allemande (la « Bundeskartellamt ») a interdit à Facebook de croiser les informations des utilisateurs de son réseau social avec celles émanant d’autres applications ou de sites internet tiers.

L’Autorité a observé que, selon les conditions d’utilisation de Facebook, les utilisateurs ne pouvaient pas s’inscrire au réseau social sans « accepter » que Facebook collecte des données leur appartenant auprès de sources tierces, et ainsi compléter leur profil utilisateur.

Les applications concernées sont notamment Instagram et WhatsApp, les deux appartenant à Facebook. Les sites internet visés sont quant à eux des sites tiers comprenant des interfaces Facebook, telles que des boutons « J’aime » ou « Partager ».

L’Autorité indique qu’en tant que société en position dominante sur le marché, Facebook est soumise à des obligations spéciales en vertu du droit de la concurrence. L’entreprise doit en effet tenir compte du fait que ses utilisateurs ne disposent pas d’autres réseaux sociaux équivalents, et sont donc réduits soit à accepter l’intégralité des conditions d’utilisation de Facebook, soit à s’abstenir d’utiliser ce réseau social.

Dans ce contexte, le fait de ne mettre à disposition des utilisateurs qu’une seule case à cocher pour l’acceptation de l’ensemble des conditions générales ne constitue pas une base suffisante pour un traitement de données aussi intensif.

Selon l’Autorité allemande, lors de l’inscription à Facebook le consentement des utilisateurs ne serait pas valablement donné au sens de l’article 6(1a) du Règlement général sur la protection des données (« RGPD »).

L’intensité avec laquelle Facebook collecte, croise et utilise les données au sein de ses comptes utilisateurs constitue donc un abus de position dominante et une violation de la règlementation européenne sur la protection des données personnelles.

 

L’Autorité de la concurrence allemande a ainsi enjoint Facebook à mettre en œuvre diverses mesures :

  • Dans un délai de douze mois, l’entreprise doit modifier ses conditions d’utilisation – l’accès à <facebook.com> ne devant plus être subordonnée à la possibilité pour Facebook de collecter des données générées par l’utilisation de services lui appartenant.
  • Dans ce même délai, Facebook doit effectivement justifier l’arrêt de ses pratiques anticoncurrentielles et en violation du RGPD.
  • Si l’entreprise a l’intention de continuer à croiser les données recueillies sur des sources tierces avec celles émanant de son réseau social Facebook devra développer des solutions potentielles et les soumettre à l’Autorité de la concurrence allemande dans un délai de quatre mois.

Si la décision est dirigée contre les pratiques actuelles de Facebook, elle a également pour effet de prévenir les potentielles difficultés qui pourraient résulter de la fusion entre le réseau social et les plateformes Instagram et WhatsApp.

Ce projet d’intégration a en effet été révélé par Mark Zuckerberg à la fin du mois de janvier 2019. Il vise à permettre aux utilisateurs des messagerie instantanées Messenger (incorporée au réseau social Facebook), Instagram (rachetée en 2012 par Facebook) et WhatsApp (rachetée en 2014) de pouvoir communiquer entre eux sans avoir besoin de changer de plateforme. Il serait ainsi possible d’envoyer un message à un contact WhatsApp à partir de Messenger ou de la messagerie instantanée d’Instagram.

Comme indiqué dans un communiqué publié le 28 janvier 2019, l’Autorité de protection des données irlandaise a d’ores et déjà demandé à Facebook (dont le siège social international se situe en Irlande) de lui détailler ses propositions. L’autorité précise que bien qu’elle comprenne que cette fusion ne soit qu’au stade de projet, sa progression sera examinée de près dans la mesure où elle implique notamment le partage et la fusion de données à caractère personnel entre différentes sociétés.

Lors du rachat d’Instagram et de WhatsApp, Mark Zuckerberg avait en effet indiqué que les différentes applications resteraient indépendantes les unes des autres. Or, fusionner les messageries instantanées de ces applications impliquerait nécessairement d’importants échanges de données personnelles. Ainsi par exemple, alors que l’utilisation de Messenger ne nécessite que le nom et l’adresse e-mail, celle de WhatsApp requiert quant à elle avant tout un numéro de téléphone portable.

La décision de l’Autorité allemande n’est pas définitive, puisque Facebook en a déjà fait appel devant la cour d’appel provinciale de Düsseldorf, suspendant ainsi les délais qui lui étaient impartis pour se conformer au jugement. Quoiqu’il advienne en Allemagne, le projet de fusion annoncé par Facebook sera surveillé de près par l’Autorité de protection de données irlandaise à l’aune des nouvelles dispositions du RGPD.