RGPD : l’Internet Society France lance une action de groupe contre Facebook

L’Internet Society France (ISOC) s'apprête à lancer une action de groupe contre Facebook. L'association cible sept manquements au règlement général sur la protection des données personnelles pour réclamer des explications au réseau social. À défaut, elle espère faire condamner l'entreprise jusqu'à 100 millions d'euros de dommages et intérêts.

Le réseau social cher à Marck Zuckerberg est-il conforme au RGPD ? L’ISOC France, qui compte Me Olivier Iteanu dans son conseil d’administration, entend exprimer ses doutes devant le tribunal de grande instance de Paris. L’association loi 1901 veut y réclamer 100 millions d’euros de dommages et intérêts, en pariant que 100 000 personnes viendront rejoindre sa « class action ».

L’action de groupe en matière de données personnelles est une nouveauté introduite en Europe par le RGPD, depuis le 25 mai 2018. Détaillée à l’article 43 ter de la loi CNIL, elle autorise « plusieurs personnes physiques placées dans une situation similaire » à se réunir sur un même front, à condition qu’elles aient subi « un dommage ayant pour cause commune un manquement de même nature » aux dispositions du règlement. Ces procédures ne peuvent s’envisager que si le « fait générateur », c’est-à-dire le fait matériel, est postérieur au 24 mai 2018.

Deux types d’action existent. L’une en vue de faire cesser un manquement, l’autre, envisagée ici, pour engager la responsabilité « de la personne ayant causé le dommage afin d'obtenir la réparation des préjudices matériels et moraux subis ». 

Facebook prié de s’expliquer sur sept manquements identifiés

Quels sont les reproches adressés à Facebook ? Le 8 novembre dernier, sept « atteintes récurrentes aux libertés et à la vie privée » ont été inventoriées dans une mise en demeure. L’association demande ainsi à Facebook « d’apporter des réponses claires » sur chacun de ces points.

Il s’agit d’abord de la lourde fuite de données personnelles ayant affecté des dizaines de millions de comptes en raison d’une faille de sécurité, révélée le 25 septembre 2018.  

Des défaillances sont dénoncées en outre dans la communication de cette violation auprès de l’ensemble des personnes concernées. L’ISOC, qui ne se satisfait donc pas de la page dédiée, considère qu’un tel message est obligatoire dès lors que la défaillance « est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique », dixit l'article 34 du RGPD.

La mise en demeure reproche également au réseau social de collecter des données sensibles comme l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, outre des données concernant la santé, la vie ou l'orientation sexuelle des personnes physiques, sans toujours glaner de consentement explicite.

Cookies « DATR », croisements de données, défaut de consentement éclairé

Les fameux cookies « DATR » sont également mis à l’index. « Ces cookies traceurs récoltent des informations d’individus non membres, mais consultant le réseau social Facebook » pointe l’association, qui devine un défaut de consentement, d’information et, plus largement, de base légale.

Elle rejoint en ce sens les conclusions dressées par les autorités de contrôle en 2015 (« Facebook indique que ce cookie est utilisé pour assurer la sécurité de son service et de ses utilisateurs, mais il lui permet également de suivre la navigation, hors de son site, d’internautes n’ayant pas de comptes Facebook »).

À ses yeux, par ailleurs, les conditions générales d’utilisation limiteraient la responsabilité de Facebook sur la gestion des données personnelles. Cette clause serait du coup un « manquement au droit à réparation intégrale » et une « insertion de limitations de responsabilité inopposables aux consommateurs ».

La combinaison des données entre Facebook et Whatsapp, qui a déjà fait l’objet d’une mise en demeure de la CNIL en décembre 2017, est également de la partie. Là encore, ces échanges, s’ils sont confirmés aujourd’hui, seraient constitutifs d’un manquement pour absence de consentement de la part des personnes physiques concernées. Plus exactement, l’ISOC considère que le consentement « libre et éclairé » des utilisateurs n’est « pas explicite, car noyé dans les conditions générales d’utilisation ».

Enfin, écrit l’association, « il est impossible de s’opposer partiellement au traitement des données de Facebook, ce qui entre en infraction avec le RGPD. »

Quatre mois, 100 000 personnes, 100 millions d’euros

L'ISOC demande à Facebook de corriger ces sept manquements dans les quatre prochains mois. « Les griefs retenus, s’ils ne sont pas démentis par Facebook, pourraient valoir un préjudice indemnisable à hauteur de 1 000 euros par personne. De sorte que si 100 000 personnes se joignent à cette action en justice, 100 millions d’euros seront réclamés à Facebook ».

À titre de comparaison, l’action intentée par la Quadrature du Net a permis de glaner 12 000 mandats en six semaines de campagne.

Du côté de l’ISOC, l’enjeu de cette procédure est de montrer que « les individus ne sont ni seuls ni démunis pour faire valoir leur droit ». Elle espère en ce sens qu’elle lancera « une dynamique européenne ». L’association s’appuie dans cette démarche sur son initiative e-Bastille, laquelle « encourage les citoyens européens à prendre en main leur destin numérique » et sera présente au Forum sur la Gouvernance de l’Internet qui se tiendra à l’UNESCO du 12 au 14 novembre. Le site officiel rassemblera les informations pratiques autour de cette procédure.