Données personnelles : Facebook joue la montre en Autriche

Sous le coup d’une action en recours collectif au niveau européen, Facebook joue la montre.

Le réseau social n’a pas abordé les questions de fond lors de l’audience tenue ce jeudi 9 avril devant un tribunal de Vienne (Autriche) dans le cadre de la procédure l’opposant à un collectif présidé par le dénommé Max Schrems.

Ce docteur en droit, aujourd’hui âgé de 27 ans, avait engagé ces poursuites au civil en août 2014 (document PDF, 56 pages). Ce n’est toutefois pas sa première plainte déposée contre la société Internet de Mark Zuckerberg, qu’il scrute depuis 2010 après avoir constaté l’étendue des données dont elle disposait à son sujet.

L’audience de ce jeudi est sans lien avec les plaintes déposées ces dernières années auprès de l’autorité de protection des données personnelles en Irlande, où se trouve le siège social de Facebook.

Ces plaintes ont permis à Max Schrems d’obtenir quelques concessions de la part de Facebook ; notamment un engagement formel à supprimer réellement les données dont les utilisateurs souhaitent se débarrasser.

Les plaintes en question ont toutes été retirées depuis lors, à l’exception d’une concernant PRISM.

Ce programme de cyber-surveillance, chapeauté par l’Agence américaine de sécurité nationale (NSA), figure également sur la liste des griefs portés auprès de la justice autrichienne : sous l’égide du collectif Europe vs Facebook, Max Schrems prétend que le réseau social a collaboré avec le renseignement U.S. pour lui livrer des informations.

L’ambiguïté du contrat

Parmi les autres pratiques dénoncées, un suivi des utilisateurs au-delà du réseau social, une exploitation illégale de la technologie « Graph Search » ou encore, plus globalement, un traitement des données personnelles incompatible avec la législation européenne.

Max Schrems estime effectivement que Facebook ne fournit pas suffisamment d’informations sur la manière dont les données de ses membres sont exploitées et à quelles fins. En outre, le contrat utilisateur, « non négociable », ne définirait pas clairement les droits et devoirs de chaque partie signataire.

Certaines dispositions entreraient même en contradiction. A quelques paragraphes d’intervalle, on peut lire « Vous gardez toujours le contrôle sur vos données »… puis « Nous sommes responsables du contrôle de vos informations ». Cette ambiguïté s’illustrerait aussi dans les déclarations publiques de Facebook.

Le groupe américain est resté silencieux à cet égard devant la justice autrichienne. Ses avocats ont préféré se concentrer sur des éléments de procédure pour affirmer que le tribunal sollicité n’est « pas compétent » pour se saisir du dossier aux termes de la législation européenne.

La décision que rendra la cour régionale de Vienne pourra faire l’objet d’un appel, le fond ne pouvant alors être abordé qu’a posteriori. Il s’agit d’une tactique classique qui vise à épuiser les ressources des plaignants. Néanmoins, dans le cas présent, Europe vs Facebook a le soutien de l’intermédiaire allemand en financement Roland ProzessFinanz AG.

Aucune loi en Autriche n’établit le principe de la class action. Un montage a donc été nécessaire pour « assigner » toutes les plaintes reçues à une même personne morale, en l’occurrence Max Schrems.

Par opposition à ce qui se fait aux Etats-Unis, les individus qui souhaitent se joindre à la démarche doivent se manifester formellement. Ils sont plus de 25 000 à l’avoir fait sur fbclaim.com, dont environ 800 Français. Et 50 000 internautes supplémentaires ont l’intention d’accompagner la procédure.

Max Schrems réclame 500 euros de dommages et intérêts pour chaque personne associée au recours collectif. Une somme symbolique en comparaison au véritable objectif de ces pressions exercées sur Facebook : permettre à chaque utilisateur d’obtenir davantage de transparence et de contrôle sur ses données personnelles.