Pas un jour ne se passe sans que Facebook ne défraie la chronique. Dernièrement, de nombreuses voix se sont élevées pour dénoncer la gestion inadéquate des numéros de téléphone par la société américaine. Parmi ces critiques, le transfert de numéros entre Facebook et Instagram ce qui constitue pour nous l’occasion parfaite de revenir sur la transmission de données entre les différentes plateformes appartenant à Facebook Inc. et d’analyser son impact non seulement en droit de la protection des données mais aussi en droit de la concurrence.

Comme énormément de sites, Facebook permet de sécuriser son compte à travers un système de double authentification. En plus de demander à l’utilisateur son identifiant et son mot de passe, ce système de sécurité à double facteur vérifie également si l’utilisateur est en possession d’une chose qui lui est propre : l’authenticator. Tel est le cas du numéro de téléphone de l’utilisateur. Ainsi, à travers un code envoyé par texto, l’utilisateur pourra confirmer son identité afin de se connecter à son compte Facebook.

Dernièrement, la Toile découvrait avec étonnement que Facebook utilise ces numéros de téléphone à d’autres fins que celles de sécurité. De plus, ces numéros de téléphone sont transmis à Instagram, même lorsque les comptes entre les deux plateformes ne sont pas liés.

Tout d’abord, lorsque Facebook récolte notre numéro de téléphone afin de mettre en place le système de double authentification, il lie directement notre compte à ce numéro. Dès ce moment, il est possible pour les membres de la plateforme de nous retrouver sur base de ce numéro. En effet, par défaut, Facebook permet à tous les utilisateurs d’utiliser ce moyen pour nous retrouver. Depuis peu, il est possible de restreindre cette option aux « amis de nos amis » ou à nos « amis ». Toutefois, il est impossible de rendre notre numéro complètement privé et il est toujours possible d’outrepasser les limitations de Facebook et de, par exemple, retrouver le compte d’une personne grâce à la synchronisation du répertoire avec le réseau social.

D’autre part, il a été démontré que Facebook transmet les numéros de téléphone à Instagram. A priori, si les comptes sur les deux plateformes sont liés, on ne verrait aucun problème à ce que les informations soient partagées afin de favoriser l’expérience de l’utilisateur. Néanmoins, comme le rapporte Jeremy Burge, Facebook transmet les numéros de téléphone à Instagram également lorsque les comptes ne sont pas liés.

La transmission, un problème déjà connu…

La question de la transmission des données entre Facebook et ses autres produits tels qu’Instagram ou WhatsApp n’est pas récente. En 2016, après le rachat de WhatsApp par Facebook, le G29 et la CNIL soulevaient déjà le problème des échanges de données entre les deux plateformes.

Dans une décision détaillée, la CNIL note que WhatsApp transmet bel et bien des données personnelles à Facebook sur base de finalités de « business intelligence » et de sécurité. Selon l’autorité de contrôle française, « si la finalité de sécurité peut être regardée comme essentielle au bon fonctionnement de l’application, il en va différemment de la finalité de ‘’business intelligence’’ » car celle-ci ne se justifie par aucune base légale. En l’occurrence, ni le consentement, ni l’intérêt légitime ne rencontraient les conditions requises pour justifier le transfert et le traitement.

En allant plus loin, si la justification de transmissions de données peut se justifier dans le cadre de mesure de sécurité, nous sommes en droit de nous demander si cette finalité pourrait y trouver son fondement juridique alors même que les comptes sur les différentes plateformes ont été dissociés par l’utilisateur. En effet, il existe de nombreuses raisons pour lesquels l’utilisateur recherche une étanchéité entre ses comptes. En agissant de la sorte, Facebook ne ferait-il pas perdre à ses utilisateurs la maitrise de leurs données, alors même que cette autodétermination informationnelle est l’un des principes fondateurs des législations sur la protection des données ?

De cette transmission de données entre plateformes peut surgir un autre problème pour la vie privée. En effet, l’utilisation d’algorithmes d’inférence peut permettre l’identification d’une personne à travers ses comportements typiques. Par exemple, il est tout à fait possible de déduire l’identité d’une personne sur base de ses itinéraires GPS. Dans ce cas précis, Facebook pourrait relier deux ou plusieurs comptes en recoupant un amas de données, et ce, sans que l’utilisateur s’en rende compte. 

Même si la récolte massive de données et leurs transmissions démontrent un danger réel pour les intérêts de la personne concernée, elles s’expliquent par le « business model » des plateformes en ligne et peuvent aussi, comme nous le verrons, s’analyser à travers le prisme du droit de la concurrence.

Du RGPD au droit de la concurrence :

Facebook, comme les autres plateformes numériques, est caractérisé par des éléments propres aux plateformes numériques. Comme le résume brillamment l’OCDE dans un rapport sur le « Big data » et le droit de la concurrence, grâce à ses services fournis « gratuitement », la société américaine arrive à récolter un nombre incalculable d’informations à propos de ses utilisateurs. Ces données permettent à Facebook d’améliorer ses services et ainsi de proposer une plateforme de plus en plus attrayante pour ceux-ci et de voir son nombre d’utilisateurs augmenté de jour en jour. En outre, Facebook engrange ses revenus grâce aux données qui permettent aux publicitaires de mieux en mieux cibler leurs clients potentiels. Ces revenus sont ensuite réinvestis dans la qualité des services de la plateforme lui permettant encore une fois d’augmenter son nombre d’utilisateur.

Comme l’indique le schéma ci-dessous, ces deux phénomènes, appelés communément effets de réseaux directs et indirects, représentent un véritable cercle vertueux pour les plateformes digitales.

Source : OCDE, « Données massives : adapter la politique de la concurrence à l’ère du numérique », DAF/COMP(2016)14, 21 novembre 2016, p. 11

Ce premier constat trace les contours d’un problème d’envergure : dans l’économie numérique, les données représentent le pouvoir de marché. Elles s’analysent comme un avantage concurrentiel et peuvent représenter une barrière à l’entrée pour les nouveaux entrants. En effet, le cercle vertueux, présenté plus haut, prouve à quel point la quantité de données récoltées peut être un frein à la compétition pour les petites plateformes. Pour reprendre la formulation de l’OCDE, « une application moins répandue peut proposer de meilleures fonctionnalités, mais on en vient à utiliser malgré nous l’application dominante car elle dispose de meilleurs renseignements (…) grâce à ses nombreux utilisateurs. La plateforme dominante n’a peut-être pas de comportement à proprement parler anticoncurrentiel mais le cercle vertueux lié aux utilisateurs peut renforcer sa position dominante et empêcher les plateformes concurrentes de gagner des clients ». D’un point de vue concurrentiel, cela démontre à quel point il est fondamental pour Facebook de coupler les données récoltées sur ses autres plateformes.

Toutefois, peut-on considérer que Facebook abuserait de sa position dominante en échangeant des données avec ses deux autres produits : WhatsApp et Instagram ?

Les Etats sur le qui-vive :

Dans une certaine mesure, la Bundeskartellamt –  l’autorité de la concurrence allemande – a répondu par l’affirmative à cette question. Dans une décision rendue en février 2019, elle a estimé que Facebook abusait de sa position dominante en collectant, agrégeant et utilisant les données des utilisateurs de sa plateforme avec celles provenant d’autres plateformes. En effet, l’abus provient de la combinaison de données des utilisateurs de Facebook avec les données provenant de WhatsApp, d’Instagram, mais pas seulement.

L’autorité a ainsi soulevé le problème des données provenant des sites tiers qui incluent des interfaces telles que les boutons « J’aime » ou « Partager ». Selon l’autorité allemande de la concurrence, « lorsque de telles interfaces visibles sont intégrées dans des sites Web et des applications, le flux de données vers Facebook commencera déjà lorsque ceux-ci seront appelés ou installés. Il n’est même pas nécessaire, par exemple, de faire défiler ou de cliquer sur un bouton « J’aime ». L’appel d’un site Web avec un bouton « J’aime » intégré lance le flux de données (…). Même si aucun symbole Facebook n’est visible pour les utilisateurs d’un site Web, les données des utilisateurs de nombreux sites Web seront transmises à Facebook. C’est le cas, par exemple, lorsque l’exploitant du site Web utilise le service « Facebook Analytics » en arrière-plan pour effectuer des analyses d’utilisateurs ».

Au travers de sa décision, l’autorité allemande a estimé que les conditions d’utilisations de la plateforme, qui ne soumettait la récolte et la combinaison de données à aucune restriction, a permis la création d’une « base de données unique pour chaque utilisateur individuel » et d’augmenter son pouvoir de marché de manière non-négligeable.

Fusion ou démantèlement :

C’est dans ce contexte que Marc Zuckerberg a annoncé, au détour d’un article à propos de l’avenir de la vie privée sur les réseaux sociaux, qu’il comptait fusionner les messageries de Facebook, WhatsApp et Instagram. Les réactions ne se sont pas fait attendre. D’une part, l’autorité irlandaise de protection des données a fait connaitre son inquiétude concernant le partage et l’agrégation de données personnelles entre les différentes sociétés en cas de fusion et a demandé à la société américaine un debriefing dans les plus brefs délais. D’autre part, certains ont plaidé à un démantèlement de la société américaine, tel est le cas de la sénatrice américaine Elizabeth Warren.

L’enjeu est de taille. Facebook Inc. se dirige petit à petit vers une situation de monopole et risque de causer, de ce fait, énormément de torts à l’économie. Non seulement, le manque de concurrence affecte négativement l’innovation mais permet aussi à l’entreprise monopolistique de fixer des prix trop élevés diminuant ainsi le bien-être des consommateurs. Dans l’environnement du numérique, cela se traduirait par une récolte excessive de données : ces dernières étant la contrepartie fournie par l’utilisateur en échange du service.

Les trois plateformes représentent 4,8 milliards d’utilisateurs et chacune d’elles se place dans le top 5 des réseaux sociaux les plus utilisés. Nous osons à peine imaginer le nombre de données qu’elles récoltent et le nombre d’informations qu’elles arrivent à déduire sur nous grâce à leurs puissants algorithmes. D’une certaine manière, l’heure du bilan pour les autorités de contrôle a sonné. A la suite de mauvaises décisions rendues par ces régulateurs, Facebook a réussi à créer un empire en quasi-monopole au travers du rachat d’Instagram et de WhatsApp. Ces décisions s’expliquent par le manque d’outils efficaces pour étudier les marchés numériques. En effet, ceux-ci ne s’analysent pas toujours au travers des outils classiques utilisés en droit de la concurrence. Même si ces autorités se dotent au fur et à mesure d’outils plus efficaces afin d’étudier et de comprendre les marchés numériques, il ne fait aucun doute que les autorités de la concurrence, mais aussi les autorités de protection des données, vont devoir réagir face au projet de Facebook afin de protéger à la fois l’économie numérique et la vie privée des utilisateurs.