http://www.senat.fr/basile/visio.do?id=qSEQ150415916.html
Question écrite n° 15916 de M. Hervé Poher (sénateur du Pas-de-Calais)
Hervé Poher appelle l'attention de Mme la garde des sceaux, ministre de la justice sur l'opacité de l'utilisation des données personnelles des internautes par les réseaux sociaux les plus utilisés par les Français. Malgré les assignations d'associations de consommateurs leur demandant de modifier leurs conditions générales d'utilisation afin d'informer leurs utilisateurs de la finalité de la collecte de leurs données, rien n'a été entrepris par ces opérateurs, qui s'autorisent jusqu'à réutiliser des photos personnelles à des fins commerciales.
En outre, rien ne permet aujourd'hui aux internautes d'exercer un véritable contrôle sur leurs informations et les traces qu'ils laissent sur internet à partir des cookies enregistrés dans leur navigateur au cours de leur navigation. Plus grave, il n'y a pas de procédure claire de consentement à l'utilisation des données personnelles, lorsqu'un réseau social peut retracer un historique de pages consultées, sur d'autres sites internet que celui du réseau social, même dans le cas où l'internaute n'est pas enregistré ni n'utilise ce réseau social. Des chercheurs belges ont ainsi révélé récemment que des cookies de réseaux sociaux, assortis d'un identifiant unique, donc pouvant tracer une personne avec précision et recueillir des données de comportement, pouvaient avoir été installés dans les navigateurs des internautes sans même qu'ils en aient été utilisateurs. La réponse du réseau social faisant l'objet de cette étude est que les cookies récoltés auprès des internautes qui n'ont pas de compte chez lui, le seraient pour des questions de sécurité.
Aussi, il lui demande de lui préciser si cette pratique est conforme au droit et les mesures qu'elle entend prendre pour que les internautes puissent avoir le contrôle de leurs données personnelles.
Réponse du Ministère de la justice publiée dans le JO Sénat du 11/08/2016 p. 3517
Le gouvernement est particulièrement vigilant sur les questions touchant à la protection des données à caractère personnel des internautes et notamment des utilisateurs de réseaux sociaux. Sur ces sujets, le gouvernement et la CNIL s'efforcent d'améliorer la transparence des pratiques des réseaux sociaux en ce qui concerne l'exploitation des données à caractère personnel de leurs membres ou de toute autre personne, et tâchent de donner les moyens aux internautes d'accepter ou de refuser en toute connaissance de cause les opérations de traitement, y compris lorsqu'elles consistent à tracer leur navigation.
Il faut d'abord rappeler que tout traitement de données à caractère personnel est soumis aux principes de nécessité et de loyauté et doit avoir une base légale, notamment du fait du consentement de la personne ou d'un intérêt légitime à effectuer le traitement. En outre tout responsable de traitement doit respecter les droits des personnes sur les données qui les concernent (information, accès, rectification, opposition) dans les conditions fixées par la loi n° 78-17 du 6 janvier 1978 dite « Informatique et libertés ».
Il convient ensuite d'indiquer que l'article 32-II de la loi du 6 janvier 1978, modifié par l'ordonnance n° 2011-1012 du 24 août 2011, qui a transposé la directive 2009/136/CE concernant plusieurs textes en matière de communications électroniques, impose aux responsables de traitement, et donc le cas échéant aux réseaux sociaux, de donner une information complète à la personne concernée sur l'utilisation des "cookies" déposés sur son terminal. Le même article impose également aux responsables de traitement de recueillir l'accord, même tacite, des personnes concernées pour le dépôt de ces "cookies" sur leur terminal.
S'agissant plus spécifiquement des pratiques observées sur les réseaux sociaux, mises à part les procédures juridictionnelles en cours, et les travaux du groupe de travail G29 visant à éclaircir les pratiques en matière de respect de la confidentialité, les internautes ont donc les moyens d'exprimer un choix éclairé quant au traçage de leur navigation, en particulier à des fins publicitaires, quelles que soient la technologie utilisée ou la société les exploitant.
Par ailleurs, le règlement sur la protection des données à caractère personnel (UE) 2016/679 a été adopté le 27 avril 2016 et entrera en vigueur en mai 2018. Ce texte, qui réforme l'ensemble du droit de la protection des données civiles et commerciales, vise notamment à renforcer la transparence des traitements, les conditions de consentement aux traitements de données, par exemple pour les mineurs, ainsi que le droit d'information des personnes en matière de profilage (croisement de données sur la même personne afin d'en établir un profil) et le droit d'opposition des utilisateurs.
Enfin, les traitements de données à caractère personnel évoqués dans la question ont été analysés par différentes autorités de protection des données de l'Union européenne (France, Belgique, Pays-Bas, Espagne et Land d'Hambourg), qui ont mené des investigations dès mars 2015. Cela a donné lieu à une mise en demeure n° 2016-007 du 26 janvier 2016, par laquelle il est demandé à Facebook de collecter loyalement les données de navigation des internautes ne disposant pas de compte, et de permettre aux membres de s'opposer à la combinaison de l'ensemble de leurs données à des fins publicitaires. La procédure suit son cours.
Mises en œuvre conjointement, ces actions visent à redonner le pouvoir de gérer leurs données aux internautes et à conduire les opérateurs à plus de transparence, de façon à renforcer la confiance des internautes.