L'agence américaine de protection des consommateurs (FTC) a infligé à Facebook une amende record de 5 milliards de dollars pour avoir «trompé» ses utilisateurs sur leur capacité à contrôler leurs informations personnelles.
Elle a aussi passé un accord avec le réseau social pour modifier toute la culture de l'entreprise sur sa façon de traiter les données, moteur essentiel de son modèle économique.
D'après Joseph Simons, président de la FTC, le régulateur a adopté une approche de type «"ceintures et bretelles", avec de multiples outils de mise en conformité qui se superposent les uns aux autres».
Facebook voit dans l'accord un «tournant en faveur de la protection de la vie privée», et même potentiellement un «modèle pour tout le secteur», qui va permettre à la plateforme de «restaurer la confiance».
Rohit Chopra, membre démocrate de la FTC, qui a voté contre l'accord avec son autre collègue démocrate, estime de son côté que «les infractions flagrantes de Facebook sont la conséquence directe de leur modèle économique fondé sur la surveillance de masse et la manipulation». Selon lui, «cette action vient bénir ce modèle. Cet accord ne résout pas le problème».
Facebook n'écope pas seulement d'une amende record. Il doit également mettre en place un comité indépendant sur la protection de la vie privée et modifier des règles internes relatives à la collecte de données personnelles.
Principaux éléments de la décision.
La FTC impose la mise en place d'un comité indépendant sur la protection de la vie privée au niveau du conseil d'administration du groupe, «supprimant ainsi le contrôle absolu du PDG de Facebook, Mark Zuckerberg, sur les décisions affectant la confidentialité des utilisateurs».
Les membres de ce comité devront être indépendants et seront désignés «par un comité de nomination indépendant». Ils ne pourront être licenciés que par une «forte majorité» des membres du conseil d'administration de Facebook.
La FTC entend par ailleurs renforcer les contrôles externes effectués par un tiers. Un expert devra ainsi lui remettre, deux fois par an, des évaluations sur le programme de respect de la vie privée de Facebook, basées sur des recherches indépendantes, «et non pas sur des affirmations et attestations fournies par le management de Facebook».
Mark Zuckerberg, fondateur et président du premier réseau social au monde, devra signer des rapports trimestriels détaillés visant à montrer que Facebook remplit ses obligations légales en matière de protection de la vie privée.
L'accord avec la FTC «l'oblige à garantir personnellement, tous les trimestres, que la société s'est conformée à l'accord», a expliqué M. Simons, faute de quoi «il s'exposerait à des sanctions au civil et au pénal».
Facebook a établi un parallèle entre ces rapports et les résultats financiers trimestriels que publient les entreprises cotées en Bourse.
Le groupe devra en outre nommer des «agents responsables de la conformité» (compliance officers), qui seront responsables de la mise en place du programme de respect des données personnelles, tel que défini par l'accord.
Ces agents seront approuvés par le nouveau comité et ne pourront pas être révoqués par des dirigeants ou employés de Facebook.
Facebook devra vérifier que tout nouveau produit ou service remplit des critères de respect de la vie privée avant d'entrer en fonction, y compris pour ses autres applications, comme Instagram ou WhatsApp.
«Nous introduirons des contrôles techniques plus poussés pour mieux automatiser les mesures de protection de la vie privée», précise le réseau social.
- Mieux contrôler les applications tierces (et rejeter celles qui ne se conforment pas aux principes établis ou n'apportent pas les justifications nécessaires à la collecte de telle ou telle donnée);
- Ne pas utiliser les numéros de téléphone qui servent à authentifier les utilisateurs pour les cibler avec de la publicité;
- Fournir des informations claires sur son utilisation de la technologie de reconnaissance faciale et obtenir le consentement explicite des utilisateurs pour tout usage non défini au préalable;
- Établir et mettre en place dans la durée un programme exhaustif de sécurité des données;
- Crypter les mots de passe;
- Ne pas demander aux utilisateurs leur mot de passe de courriel pour pouvoir créer un compte.
Comments