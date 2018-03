Des Luxembourgeois sont-ils concernés par la transmission de données par Facebook à Cambridge Analytica? Si c'était le cas, les plaintes à la Commission nationale de protection des données iraient... en Irlande, explique le Premier ministre et ministre des Communications, Xavier Bettel.

Facebook: les plaintes seraient transmises à l'Irlande

"Contrairement au Royaume de Belgique, la société Facebook n'a pas d'établissement au Luxembourg. La CNPD n'a dès lors pas de compétence territoriale. Facebook a son siège européen en Irlande (Facebook Ireland Ltd). Sous l'égide de la loi actuelle, tout résident luxembourgeois qui constaterait une violation de sa vie privée sur ou par Facebook pourrait adresser une plainte à l'autorité luxembourgeoise chargée de la protection des données. Mais faute de compétence territoriale, la CNPD transmettrait actuellement cette plainte pour attribution à l'autorité irlandaise."

Dans sa réponse à une question parlementaire, le Premier ministre et ministre des Communications, Xavier Bettel, explique ce qui se passerait si un résident luxembourgeois estimait que ses données ont été transmises sans son consentement à Cambridge Analytica (CA) par Facebook.

CA est accusée d'avoir récupéré à leur insu les données de 50 millions d'utilisateurs de Facebook et de les avoir utilisées pour développer un outil informatique permettant de cibler des électeurs afin de peser dans la campagne présidentielle de Donald Trump en 2016.

Le Canadien, Christopher Wylie, 28 ans, qui a travaillé pour Cambridge Analytica et Kogan, avant de révéler comment les données de 50 millions d'utilisateurs du réseau social avaient été transmises à CA AFP

Le GDPR change la donne

Dans moins de deux mois (le 25 mai), les choses vont changer: le Règlement européen sur la protection des données (GDPR) entrera en vigueur et permettra à la CNPD d'aller en justice dans l'intérêt du règlement.

Mais, note le Premier ministre, "le traitement de données par Facebook doit être considéré comme un 'traitement transfrontalier', à savoir un traitement de données à caractère personnel qui a eu lieu dans l'Union européenne dans le cadre des activités d'établissements dans plusieurs Etats membres d'un responsable du traitement ou lorsque le responsable du traitement est établi dans plusieurs Etats membres." Autrement dit, la CNPD ne serait pas la seule à agir et le chef de file des actions en justice serait l'Irlande.

La CNPD serait amenée à proposer une décision et des mesures correctives à l'autorité irlandaise et... saisir le Comité européen pour la protection des données si elle ne s'estime pas satisfaite de l'action de son homologue. Rien n'empêche d'ailleurs, selon le Premier ministre, la CNPD de prendre des mesures pour le territoire luxembourgeois.

Le ministre des Communications explique aussi dans sa réponse que la CNPD, qui occupait 15 personnes en 2014, a vu ses effectifs passer à 25 en 2017 et devrait passer à 35 personnes d'ici la fin de l'année, ce qui semble être un minimum dans la perspective du GDPR.

Nouvelle enquête aux Etats-Unis

Le régulateur américain du commerce (Federal Trade Commission, FTC) a annoncé lundi souhaiter examiner les pratiques du groupe en matière de données privées.

Le scandale autour de l'utilisation par la firme britannique Cambridge Analytica (CA) des données privées de 50 millions d'utilisateurs du réseau social à des fins politiques a déjà fait partir en fumée plus de 70 milliards de dollars de capitalisation boursière au groupe.

«La FTC est fermement et entièrement décidée à utiliser tous les outils dont elle dispose pour protéger la vie privée des consommateurs», a fait savoir l'organisme officiel lundi. Le régulateur veut notamment savoir si Facebook a violé un accord amiable qu'ils ont signé en 2011, le réseau social étant alors accusé d'avoir «trompé» les consommateurs en leur disant à tort que leurs données étaient confidentielles alors qu'il les avait «partagées» de façon «répétée».

«Les entreprises qui ont conclu un accord avec la FTC doivent aussi se conformer aux règles (de la FTC) sur la protection et la sécurité des données personnelles», a précisé lundi le régulateur en guise d'avertissement.

Cet accord amiable - dont le contenu reste disponible sur le site internet de la FTC - contenait huit points contre Facebook, qui s'était engagé à l'époque à changer ses pratiques notamment en recueillant l'accord explicite des utilisateurs concernant l'usage de leurs données et en ne faisant plus de déclarations trompeuses sur la confidentialité des données.

Plus précisément, la FTC pointait notamment le problème des applications tierces auxquelles on accède via son compte Facebook. C'est une application de ce type qui a permis à CA de mettre la main sur les données des utilisateurs. Alors que Facebook prétendait que ces applications externes n'accédaient qu'à une quantité limitée de données, «en réalité, ces 'applis' pouvaient accéder à toutes les données personnelles de l'utilisateur», accusait la FTC en 2011.

Parmi les problèmes, le rôle des applications "tierces", qui ont accès à un certain nombre d'informations Yui Mok/PA Wire/dpa

SMS et appels aussi "tracés"?

La semaine dernière, le patron de Facebook Mark Zuckerberg a expliqué avoir - en 2014 - «modifié entièrement la plate-forme pour limiter de façon très importante la quantité de données auxquelles pouvaient accéder ces applications» tierces.

Le réseau social aux plus de 2 milliards d'utilisateurs dans le monde s'exposerait à des amendes s'il était démontré qu'il a enfreint l'accord amiable de 2011. Il a aussi dû s'expliquer dimanche après l'affirmation par le magazine spécialisé Ars Technica que le groupe collectait aussi des informations sur les SMS et les appels d'utilisateurs de certains smartphones fonctionnant sous Android, le système mobile de Google.

Sur son blog, Facebook a reconnu qu'une fonction optionnelle permettait en effet à certaines applications, comme son propre service de messagerie Messenger, d'accéder aux contacts de l'utilisateur. Cette fonction «nous permet aussi d'utiliser des informations comme le moment où un appel ou un SMS a été passé ou reçu», a écrit Facebook, assurant qu'il «ne collecte pas le contenu des appels ni des SMS».

Le 25 mars, Mark Zuckerberg et Facebook se sont offert une pleine page dans la plupart des journaux britanniques pour s'excuser du problème AFP

Facebook fait face depuis plus d'une semaine à des enquêtes et des critiques tous azimuts, essentiellement en Europe et aux Etats-Unis. Mark Zuckerberg est invité par des parlementaires à venir s'expliquer devant le Congrès américain et le Parlement européen.

Au Royaume-Uni, le siège de Cambridge Analytica a été perquisitionné dans la nuit de vendredi à samedi par le régulateur britannique des données, autorisé par la justice. Facebook s'est offert une pleine page de publicité dimanche dans la presse britannique et américaine pour présenter de nouveau des excuses, et les «regrets» de son patron. Le scandale pourrait coûter très cher au groupe, dont le modèle économique est basé sur les données personnelles qui permettent aux annonceurs de cibler au plus près leurs messages.