Le plus grand réseau social du monde pense avoir trouvé un moyen de contourner les lois européennes strictes en matière de protection de la vie privée. Dans la procédure engagée hier devant le tribunal régional de Vienne (Landesgericht für Zivilrechtssachen), Facebook a ouvertement admis qu'il collectait et traitait des données sans le consentement des utilisateurs depuis l'introduction de la GDPR le 25 mai 2018.
Selon le GDPR, outre le consentement, il existe également la possibilité de traiter des données pour "l'exécution d'un contrat" (article 6, paragraphe 1, point b), du GDPR). Facebook prétend maintenant avoir conclu un tel "contrat de publicité" avec des utilisateurs qui, selon Facebook, ont commandé de la "publicité personnalisée" lorsqu'ils ont souscrit aux nouvelles conditions le 25 mai 2018.
Katharina Raabe-Stuppnig (avocate de la plaignante) : "Facebook dit maintenant qu'il n'a pas besoin de consentement pour l'utilisation des données parce que les utilisateurs ont commandé cette publicité. La publicité sur Facebook est désormais censée constituer une partie importante de la "promesse de service". C'est comme si les utilisateurs rejoignaient Facebook uniquement pour voir des publicités"
Raabe : "Facebook essaie simplement de contourner la loi. "Pour prouver que personne n'a commandé de publicité à Facebook, nous avons mené une étude neutre par l'Institut autrichien Gallup. Le résultat est dévastateur pour Facebook : Seuls 4 % des utilisateurs veulent de la publicité, et le "contrat publicitaire" semble être imposé aux 96 % restants. Raabe : "Il ne peut être question d'un "service" commandé à l'utilisateur. Si Facebook veut regrouper les intérêts des utilisateurs et suivre les personnes sur Internet, cela ne peut se faire qu'avec le consentement des utilisateurs. Toute autre solution serait un contournement de la GDPR"
Le directeur de la protection de la vie privée de Facebook à la barre des témoins
Cecilia Álvarez (directrice de la politique de confidentialité de Facebook EMEA) a été interrogée par le juge viennois hier. Cependant, elle n'a pas pu répondre à de nombreuses questions. Les avocats de Facebook ont fait valoir qu'elle n'avait pas la "compréhension technique" nécessaire pour répondre aux questions sur le traitement des données personnelles par Facebook.
Max Schrems (plaignant) : "Facebook soutient que chaque utilisateur sait dans quoi il s'engage - mais même le meilleur expert en matière de confidentialité de Facebook ne peut pas expliquer exactement ce que l'entreprise fait de nos données. C'est particulièrement absurde"
Cependant, les questions difficiles de la plaignante ne recevront pas de réponse avant février, car l'audience a été reportée.
Principaux points de la procédure
(1) Une question fondamentale est de savoir qui "possède" les données sur Facebook et qui est donc "contrôleur" pour les différentes fonctions de la plateforme. Jusqu'à présent, Facebook a adopté la position selon laquelle, en cas de problèmes avec les données, c'est l'utilisateur qui est responsable - mais que Facebook est seul responsable lorsqu'il s'agit d'utiliser les données.
(2) De plus, Facebook contourne les exigences strictes de consentement dans le GDPR en "intégrant" le consentement dans les conditions d'utilisation. Facebook estime qu'avec cette astuce, les règles de consentement de la GDPR ne s'appliquent plus à eux.
(3) En outre, Facebook ne donne pas aux utilisateurs une copie complète de toutes leurs données. En vertu de la législation européenne, les utilisateurs ont un "droit d'accès" à leurs données. Cette affaire devrait permettre au public de mieux comprendre ce que Facebook stocke sur les utilisateurs.
Facebook prétend qu'une clarification de ces points ressemblerait à une "transformation totale" de la plateforme. Le demandeur est d'accord : "Si nous réussissons, Facebook devra modifier ses pratiques pour se conformer à la GDPR et donner aux utilisateurs de véritables droits de vote. C'est notre objectif. “