Contenu

Facebook : "Friend Finder" jugé illégal en Allemagne et invalidité d'une partie des CGU

Facebook doit se conformer au droit allemand de la protection des données.

C’est la conclusion du 24 janvier 2014 de la Cour d’appel de Berlin (Kammergericht) dans une affaire opposant la Verbraucherzentrale Bundesverband (VZBV, la fédération allemande des associations de défense des consommateurs) à Facebook.

En 2010, la VZBV avait averti Facebook Irlande au sujet de problèmes liés à la vie privée. Suite à l’absence de réaction du réseau social, elle a déposé plainte contre Facebook devant le Landgericht de Berlin, car elle estimait que des dispositions de ses conditions générales d’utilisation (CGU, Allgemeine Geschäftsbedingungen) et de sa politique de confidentialité (Datenschutzrichtlinien) violaient le droit allemand de la protection des données.

Droit allemand applicable

Comme de nombreuses sociétés américaines, notamment Apple, Facebook a son siège européen en Irlande sous la forme d’une société filiale de la société mère aux États-Unis. Cependant, les serveurs sur lesquels sont transférées et stockées les données des utilisateurs (Allemands, mais aussi d’autres pays) se trouvent aux États-Unis. Selon la Bundesdatenschutzgesetz (BDSG, loi allemande sur la protection des données), la société mère collecte et traite des données lorsqu’elle place des cookies sur les ordinateurs des utilisateurs. Partant, la BDSG est applicable.

Même si les CGU de Facebook disposent que le droit applicable est le droit irlandais, la BDSG est applicable. Le fait que la filiale soit en Irlande n’exclut pas l’application de la BDSG au profit de la loi irlandaise sur la protection des données. Les tribunaux allemands n’ont pas trouvé d’éléments permettant d’affirmer que la filiale gère le site Facebook pour le public allemand et traite les données de celui-ci. De plus, la filiale n’a pas la responsabilité de traiter des données pour le compte de la société mère qui détient un pouvoir de décision sur la filiale de par son actionnariat.

Invitations illégales

Lorsque la plainte a été déposée, la fonction “Retrouver des amis” permettait aux utilisateurs de rechercher des connaissances en fournissant différentes informations à Facebook, comme le nom de l’université fréquentée, un précédent lieu de résidence ou le nom d’un employeur. Facebook invitait aussi les utilisateurs à connecter leurs comptes Skype et MSN afin que Facebook collecte les carnets d’adresses. Cela permettait ensuite au réseau social d’envoyer des invitations aux personnes qui n’avaient pas (encore) rejoint Facebook.

Selon les tribunaux, ces invitations violent la Gesetz gegen den unlauteren Wettbewerb (UWG, loi allemande contre la concurrence déloyale), car elles sont intolérables (unzumutbar), gênantes (belästigend) et par conséquent illégales selon la UWG. Le fait que les invitations proviennent des utilisateurs qui ont fourni leur carnet d’adresses, ou de Facebook, ne change rien. Cette façon de procéder [qui a probablement changé depuis 2010, ndr] trompe l’utilisateur qui pense que la fonction va seulement rechercher des contacts existants alors qu’elle va également envoyer des e-mails non sollicités à des tiers.

La fonction viole aussi la BDSG selon la justice. Les données collectées par Facebook pouvaient être utilisées à d’autres fins que celles annoncées lors de la collecte. Facebook n’avait pas notifié les utilisateurs quant à la collecte de données de personnes non membres de Facebook. Les art. 4a al. 1 et art. 28 al. 3 BDSG requièrent que toute personne donne son consentement pour qu’un traitement de données puisse être effectué, ce qui manquait en l’espèce.

CGU jugées illégales concernant la licence octroyée à Facebook sur le contenu des utilisateurs

Selon les CGU de Facebook, chiffre 2, le réseau social s’accorde une licence mondiale et gratuite sur tous les contenus postés sur le réseau par ses utilisateurs. Selon les juges, cette disposition ne respecte pas le principe de la rémunération adéquate de l’auteur d’une œuvre protégée par le droit d’auteur. Il serait possible pour Facebook d’accorder des sous licences à des tiers qui devraient payer pour l’usage de ces œuvres ; l’auteur ne pourrait pas réclamer de compensation à Facebook.

De plus, il existe des ambiguïtés de langage dans les CGU qui permettraient d’étendre les restrictions à l’encontre de l’auteur. Les termes de la licence ne sont ni simples et clairs, d’après les tribunaux. Notamment, la raison de la nécessité de la licence n’est pas détaillée.

Usage des données pour la publicité

Les CGU mentionnent que Facebook utilise le nom et la photo de profil des membres pour afficher des publicités. La disposition n’est cependant pas claire : il manque des détails sur le contexte de l’utilisation (sur le profil de l’utilisateur uniquement, ou sur d’autres pages du site par exemple).

Selon la BDSG, cette clause serait donc invalide, car l’utilisateur n’aurait pas été suffisamment informé au moment de donner son consentement pour cet usage spécifique de ses données personnelles.

D’autres clauses déclarées invalides

Plusieurs autres clauses des CGU ont été déclarées invalides pour des raisons similaires :

  • celle permettant à Facebook de modifier unilatéralement ses CGU (chiffre 14) ;
  • celle lui permettant de mettre fin à l’utilisation du réseau social que fait un utilisateur parce qu’il violerait “la lettre ou l’esprit” des CGU (chiffre 15) ;
  • celle autorisant Facebook à échanger les données de ses utilisateurs avec d’autres sites, notamment les interactions avec les publicités affichées en dehors de Facebook (dans la politique d’utilisation des données) ;
  • celle permettant de connecter votre profil et vos données Facebook avec d’autres sites ou applications (dans la politique d’utilisation des données) ;
  • celle permettant de modifier la politique d’utilisation des données.

Commentaire

Le problème majeur dans cette affaire concerne la façon dont Facebook obtient le consentement des utilisateurs. Les manques de clarté et d’information au moment de donner son consentement rendent invalides plusieurs dispositions des CGU de Facebook en Allemagne.

Un développement intéressant devrait intervenir prochainement en Allemagne. Pour le moment, les associations de protection des consommateurs ne peuvent ouvrir action concernant des questions de protection des données que si des CGU sont impliquées, car cela signifie que les dispositions de la loi contre la concurrence déloyale s’appliquent. Sans cela, ces associations ne pourraient intervenir. Le gouvernement allemand a récemment annoncé que la situation allait changer en avril prochain et que les associations de protection des consommateurs allaient se voir accorder des droits d’action plus larges en matière de protection des données.

Si seulement la Suisse pouvait imiter l’Allemagne… Y a-t-il des parlementaires parmi mes lecteurs ?