L’été a été marquée par un nouveau phénomène planétaire : le FaceApp challenge.
Ce dernier consiste à utiliser un filtre rajeunissant ou vieillissant sur une photo de soi puis de la poster sur les différents réseaux sociaux (Facebook, Instagram etc.).
Si cette application a séduit et amusé plus de 100 millions d’utilisateurs, un scandale de collecte des données privées des utilisateurs a très vite éclaté : l’application russe n’était pas si inoffensive qu’elle en avait l’air.
En effet, celle-ci est montré du doigt en ce qu’elle garderait en mémoire les photos retouchées des internautes ainsi que l’ensemble des photos présents dans la galerie de leurs téléphones ou de leurs réseaux sociaux.
Après l’amusement vient alors l’angoisse : cette application est en effet venue semer le trouble chez les internautes qui se croyaient en sécurité avec l’avènement de normes comme le Règlement Général sur la Protection des Données Personnelles (RGPD).
Mais chers internautes êtes-vous réellement informés de la réglementation en vigueur ?
Le Cabinet Mimran Valensi Sion vous informe sur le sujet.
Quelques rappels sur le RGPD…
Entré en vigueur le 24 mai 2016, le RGPD est la directive européenne qui contraint désormais l’ensemble des secteurs public et privé à respecter certaines règles concernant le traitement des données à caractère personnel.
Cette directive a trois aspirations précises :
- Adapter le droit européen et communautaire de protection des données personnelles à l’évolution des nouvelles technologies de l’information et de la communication
- Renforcer la protection des données à caractère personnel
- Responsabiliser les acteurs économiques détenteurs de données à caractère personnel
Ainsi, dans son article 3, le RGPD prévoyait d’élargir le champ d’application territorial de la directive 95/46 sur la protection des données.
En effet, selon cet article, le règlement doit être respecté par toute entité qui traite des données de citoyens européen, peu importe qu’elle soit elle-même située en Europe ou en dehors des frontières de la communauté européenne.
Ce règlement vient aussi offrir plus de droits aux individus : en effet, ces derniers disposent davantage de contrôle et d’emprise sur leurs données privées.
La communication devra être plus claire et intelligible sur la façon dont les données sont utilisées par les entités, notamment par l’acceptation des cookies sur les sites internet.
En outre, est enfin garanti un droit à l’effacement comme prémisse à un véritable droit à l’oubli que l’on croyait reconnu par la Cour de Justice de l’Union européenne dans son arrêt « Google Spain » rendu le 13 mai 2014.
Dès lors, la personne qui verrait des informations confidentielles circulaient sur internet a droit d’obtenir du responsable du traitement l’effacement ou le déréférencement de données à caractère personnel la concernant dans de courts délais. (Article 17 du RGPD).
L’article 33 du RGPD impose également aux entreprises et aux organismes de notifier à l’autorité nationale dans un délai maximum de 72 heures toutes les violations graves de données afin que les personnes concernées puissent prendre les mesures nécessaires à les faire cesser.
En cas de non-respect du règlement, de lourdes amendes administratives peuvent être prononcées à l’encontre des entités privées ou publiques coupables de ces violations.
Pourquoi cette application a –t- elle suscité tant d’émois ?
Si d’autres scandales avaient précédemment explosé notamment concernant le « Ten years challenge » qui consistait à poster sur les réseaux sociaux deux photos de soi, une jeune et une vieillissante de 10 ans, l’émoi qu’a suscité l’application FaceApp est tout de même assez extraordinaire.
De nombreux spécialistes ont pu expliquer cette situation par le fait que l’application FaceApp est le fruit d’une entreprise russe. Des chercheurs américains et notamment Caroline Lancelot Miltgen ont notamment pu soulever comme le rapporte le journal « usinenouvelle » que ce qui nous faisait peur tenait au fait que cette application ne vient pas du continent européen ni américain et que forcément les règlementations habituelles qui s’appliquent à ces cas nous sont inconnues.
L’application FaceApp : une atteinte au RGPD ?
A l’aube d’un tel scandale, la CNIL est venue rappeler que « l’attractivité ou le caractère ludique de l’application » ne devait pas faire oublier les « éventuelles contre parties comme l’utilisation de nos données personnelles ».
Comme nous l’avons rappelé précédemment, le RGPD est venu poser une obligation de transparence et de clarté sur l’usage qui peut être fait des données personnelles.
Toutefois, les conditions générales d’utilisation de l’application sont très évasives et se contredisent même parfois sur certains points.
A la lecture de celles-ci qui tiennent sur exactement deux pages, l’internaute ne sait en fait pas grand-chose de l’utilisation de ses données personnelles : en recourant à l’application, « l’internaute accorde à celle-ci une licence perpétuelle, irrévocable et non exclusive pour utiliser, reproduire, modifier, adapter (…) les photos et informations qui s’y attachent ».
Aussi, il est indiqué que l’entreprise peut partager l’ensemble de ces photos et informations avec d’autres entreprises du même groupe que FaceApp.
Aussi, l’efficacité du RGPD est à relativiser : celui-ci vient en réalité demander aux entités publiques comme privées de respecter par conscience ses articles.
Or, il n’est pas prévu au sein de la politique de confidentialité de l’application que soient protégées les données personnelles des utilisateurs européens en fonction des lois européennes.
Rappelons ici, que l’article 3 du RGPD est venu étendre le champ d’application territorial de la directive : quand bien même le responsable du traitement des données n’est pas établi en Europe, celui-ci doit se conformer au règlement européen.
Ainsi, la compagnie Wireless Lab Ooo qui gère l’application depuis la Russie est tenue d’appliquer tout de même ledit règlement.
En outre, cette application tout comme d’autres comme Snapchat, Twitter sont quelque part contraire au RGPD en ce qu’elles ne demandent aucunement aux utilisateurs de consentir à une telle utilisation des données.
Pourtant, le RGPD dans ses articles préliminaires impose véritablement aux entités publiques comme privées d’obtenir le « consentement libre, éclaire et univoque » de l’utilisateur.
Peut-on voir un tel consentement dans d’interminables conditions générales d’utilisation traduites seulement en anglais, et écrites en lettres minuscules…
Concernant une éventuelle de suppression des données : comment rendre effectif le droit à l’oubli consacré par la CJUE face à une entreprise russe ?
En tout état de cause, et pour rassurer les internautes européens, ils sont protégés par la loi européenne sur la protection des données personnelles quand bien même l’entreprise est russe et qu’elle a choisi l’application de la loi californienne.
Pour toute question, n’hésitez pas à nous contacter !
Cabinet Mimran Valensi Sion 