L’instance américaine de régulation, la Federal Telecommunication
Commission (FTC), a infligé à Facebook une lourde amende, jamais égalée,
de cinq milliards de dollars pour des violations en matière de données à
caractère personnel. La décision étonne moins pour son montant que par
les attributions qu’elle induit au profit de l’instance de régulation,
qui se trouve ainsi en charge des violations touchant à la vie privée
des consommateurs, dans un pays qui ne dispose par encore de loi
générale en la matière.
Créée par le Congrès en 1934, la FTC est en charge de la régulation des télécommunications, avec un droit de regard sur les contenus des émissions de radio, télévision et Internet.
Le seul précédent qui pouvait présager l’intrusion de la FTC dans le Net est la décision par laquelle le Congrès donna en 1960 à une autre autorité de régulation, en charge de la communication, la Federal Communication Commission (FCC), le pouvoir de sanctionner les médias enfreignant la loi fédérale prohibant la diffusion de propos indécents, obscènes ou blasphématoires, pouvoir confirmé par la Cour suprême des Etats-Unis en 1978 dans l'arrêt Federal Communication Commission contre Pacifica Foundation.
C’est, toutefois, par un tout autre moyen qu’elle vient de négocier le tournant. Le biais par lequel la FTC a élargi ses prérogatives est assez singulier : elle s’est approprié un texte de 1914 sur la protection des consommateurs qui interdit toute pratique déloyale ou trompeuse dans le commerce. 1914, du temps de l’Exécutif Wilson Woodrow, est en effet la date de signature du Federal Trade Commission Act, le texte portant création de l’organe du même nom dont la mission principale est l'application du droit de la consommation et le contrôle des pratiques commerciales anticoncurrentielles telles que les monopoles déloyaux.
Winston Maxwell, directeur d'études, enseignant en «droit et numérique», à Télécom Paris – Institut Mines-Télécom, y voit une transformation de la FTC en «super CNIL»(*) – la Commission nationale de l'informatique et des libertés (CNIL) de France.
Cette dernière est une autorité indépendante chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
«Il n’était pas évident pour la FTC de transformer un texte général sur la protection des consommateurs en une loi sur la protection des données à caractère personnel. La FTC devait affronter deux obstacles. Premièrement, il fallait créer une doctrine suffisamment claire pour que les entreprises comprennent ce qu’est une pratique déloyale ou trompeuse en matière de données à caractère personnel. Ensuite il fallait trouver le moyen d’imposer des sanctions financières, car le FTC Act de 1914 n’en prévoyait pas», relève fort à propos Winston Maxwell.
La nouvelle doctrine de l’instance en charge des télécommunications relatives aux pratiques trompeuses en matière de données à caractère personnel, punit toute entreprise qui «ne tient pas ses promesses» en la matière.
Ce n’est pas la première fois qu’elle le fait : «La FTC avait commencé une première procédure contre Facebook en 2011 en l’accusant de pratiques trompeuses en raison du décalage entre ce que Facebook a dit aux consommateurs, et ce qu’elle a fait. Pour détecter une pratique trompeuse, la FTC va scruter chaque phrase de la politique de confidentialité pour déceler une promesse, même implicite, qui ne serait pas tenue.»
La nuance se veut de taille ici entre une pratique déloyale et une pratique trompeuse : «Une pratique déloyale est plus délicate à démontrer qu’une pratique trompeuse, ce qui explique pourquoi la FTC préfère s’appuyer sur le concept de « pratique trompeuse» plutôt que celui de pratique déloyale. La FTC considère comme pratique déloyale toute pratique qui surprendrait le consommateur moyen et ne pourrait être facilement évitée par lui.»
Il restait à l’autorité de régulation de surmonter un autre écueil, d’ordre procédurier : «Le FTC Act ne permet pas à la FTC d’imposer une sanction financière directement. Elle doit demander au Département de la justice américain d’intenter un procès. Pour contourner cette difficulté, la FTC privilégie la conclusion d’accords transactionnels. Le FTC Act permet au régulateur d’imposer des sanctions directement en cas de violation de ces accords. Le tout est de faire signer un accord lors de la première violation par l’entreprise. En cas de deuxième infraction, la FTC est en position de force. La nouvelle affaire Facebook s’inscrit dans cette logique.»
Aux États-Unis, le procédé, courant, d’accords négociés avec le gouvernement est une forme de négociation sous contrainte. En Europe, les accords transactionnels n’existent pas pour les violations de données à caractère personnel, mais sont fréquents en droit de la concurrence.
«Les procédures de négociation de sanction regroupent la clémence, la non-contestation des griefs et la procédure d’engagements. Elles ont été introduites dans un contexte d’encombrement des affaires, et dans le but de le résorber en accélérant le temps des procédures, en ce qu’elles sont de nature à faciliter l’obtention de la preuve. Elles reposent en effet sur un schéma incitatif de réduction de sanction et, dans un souci de lutte contre les infractions ainsi détectées, imposent aux contrevenants des engagements pour l’avenir. Ceux-ci deviennent partie intégrante de la décision et sont revêtus, dès lors, de l’autorité de la chose jugée », résume Arnold Vialfont.(**)
Les accords transactionnels permettent ainsi aux entreprises qui les signent d’éviter un procès : «Outre le coût du procès et le mauvais effet sur l’image de l’entreprise, un procès perdu contre le gouvernement américain peut ouvrir la porte à d’autres procès et notamment des class actions de consommateurs. Les entreprises craignent l’effet boule de neige. Par contre, un accord transactionnel avec la FTC ne crée pas de précédent car l’entreprise n’admet pas sa culpabilité dans l’accord. L’entreprise garde ainsi les mains libres pour clamer son innocence lors d’autres procédures. En plus d’augmenter les pouvoirs de sanction de la FTC, les accords transactionnels permettent à la FTC d’imposer des obligations détaillées en matière de protection des données personnelles. Un accord transactionnel avec la FTC peut devenir un mini-RGPD qui lie l’entreprise pendant 20 ans, la durée habituelle de ces accords.»
En l’espèce, Facebook s’engage à obtenir le consentement explicite de l’utilisateur avant toute utilisation de ses données de reconnaissance faciale, ou de tout partage de son numéro mobile avec des tiers.
«Même si l’accord transactionnel de 2012 n’a pas empêché Facebook de franchir la ligne rouge dans l’affaire Cambridge Analytica, cet accord a néanmoins permis à la FTC d’intervenir avec force pour sanctionner cette deuxième violation.»
L’avenir nous dira s’il suffit à rendre Facebook à la raison.
A. B.
(*) Winston Maxwell, «Amende contre Facebook : comment la FTC américaine s’est transformée en ‘’super CNIL’’» The Conversziotn, 11 août 2019,
https://theconversation.com/amende-contre-facebook-comment-la-ftc-americaine-sest-transformee-en-super-cnil-120778?
(**) Arnold Vialfont, «Le droit de la concurrence et les procédures négociées», Revue internationale de droit économique 2007/2 (t. XXI, 2), pages 157 à 184.
Créée par le Congrès en 1934, la FTC est en charge de la régulation des télécommunications, avec un droit de regard sur les contenus des émissions de radio, télévision et Internet.
Le seul précédent qui pouvait présager l’intrusion de la FTC dans le Net est la décision par laquelle le Congrès donna en 1960 à une autre autorité de régulation, en charge de la communication, la Federal Communication Commission (FCC), le pouvoir de sanctionner les médias enfreignant la loi fédérale prohibant la diffusion de propos indécents, obscènes ou blasphématoires, pouvoir confirmé par la Cour suprême des Etats-Unis en 1978 dans l'arrêt Federal Communication Commission contre Pacifica Foundation.
C’est, toutefois, par un tout autre moyen qu’elle vient de négocier le tournant. Le biais par lequel la FTC a élargi ses prérogatives est assez singulier : elle s’est approprié un texte de 1914 sur la protection des consommateurs qui interdit toute pratique déloyale ou trompeuse dans le commerce. 1914, du temps de l’Exécutif Wilson Woodrow, est en effet la date de signature du Federal Trade Commission Act, le texte portant création de l’organe du même nom dont la mission principale est l'application du droit de la consommation et le contrôle des pratiques commerciales anticoncurrentielles telles que les monopoles déloyaux.
Winston Maxwell, directeur d'études, enseignant en «droit et numérique», à Télécom Paris – Institut Mines-Télécom, y voit une transformation de la FTC en «super CNIL»(*) – la Commission nationale de l'informatique et des libertés (CNIL) de France.
Cette dernière est une autorité indépendante chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
«Il n’était pas évident pour la FTC de transformer un texte général sur la protection des consommateurs en une loi sur la protection des données à caractère personnel. La FTC devait affronter deux obstacles. Premièrement, il fallait créer une doctrine suffisamment claire pour que les entreprises comprennent ce qu’est une pratique déloyale ou trompeuse en matière de données à caractère personnel. Ensuite il fallait trouver le moyen d’imposer des sanctions financières, car le FTC Act de 1914 n’en prévoyait pas», relève fort à propos Winston Maxwell.
La nouvelle doctrine de l’instance en charge des télécommunications relatives aux pratiques trompeuses en matière de données à caractère personnel, punit toute entreprise qui «ne tient pas ses promesses» en la matière.
Ce n’est pas la première fois qu’elle le fait : «La FTC avait commencé une première procédure contre Facebook en 2011 en l’accusant de pratiques trompeuses en raison du décalage entre ce que Facebook a dit aux consommateurs, et ce qu’elle a fait. Pour détecter une pratique trompeuse, la FTC va scruter chaque phrase de la politique de confidentialité pour déceler une promesse, même implicite, qui ne serait pas tenue.»
La nuance se veut de taille ici entre une pratique déloyale et une pratique trompeuse : «Une pratique déloyale est plus délicate à démontrer qu’une pratique trompeuse, ce qui explique pourquoi la FTC préfère s’appuyer sur le concept de « pratique trompeuse» plutôt que celui de pratique déloyale. La FTC considère comme pratique déloyale toute pratique qui surprendrait le consommateur moyen et ne pourrait être facilement évitée par lui.»
Il restait à l’autorité de régulation de surmonter un autre écueil, d’ordre procédurier : «Le FTC Act ne permet pas à la FTC d’imposer une sanction financière directement. Elle doit demander au Département de la justice américain d’intenter un procès. Pour contourner cette difficulté, la FTC privilégie la conclusion d’accords transactionnels. Le FTC Act permet au régulateur d’imposer des sanctions directement en cas de violation de ces accords. Le tout est de faire signer un accord lors de la première violation par l’entreprise. En cas de deuxième infraction, la FTC est en position de force. La nouvelle affaire Facebook s’inscrit dans cette logique.»
Aux États-Unis, le procédé, courant, d’accords négociés avec le gouvernement est une forme de négociation sous contrainte. En Europe, les accords transactionnels n’existent pas pour les violations de données à caractère personnel, mais sont fréquents en droit de la concurrence.
«Les procédures de négociation de sanction regroupent la clémence, la non-contestation des griefs et la procédure d’engagements. Elles ont été introduites dans un contexte d’encombrement des affaires, et dans le but de le résorber en accélérant le temps des procédures, en ce qu’elles sont de nature à faciliter l’obtention de la preuve. Elles reposent en effet sur un schéma incitatif de réduction de sanction et, dans un souci de lutte contre les infractions ainsi détectées, imposent aux contrevenants des engagements pour l’avenir. Ceux-ci deviennent partie intégrante de la décision et sont revêtus, dès lors, de l’autorité de la chose jugée », résume Arnold Vialfont.(**)
Les accords transactionnels permettent ainsi aux entreprises qui les signent d’éviter un procès : «Outre le coût du procès et le mauvais effet sur l’image de l’entreprise, un procès perdu contre le gouvernement américain peut ouvrir la porte à d’autres procès et notamment des class actions de consommateurs. Les entreprises craignent l’effet boule de neige. Par contre, un accord transactionnel avec la FTC ne crée pas de précédent car l’entreprise n’admet pas sa culpabilité dans l’accord. L’entreprise garde ainsi les mains libres pour clamer son innocence lors d’autres procédures. En plus d’augmenter les pouvoirs de sanction de la FTC, les accords transactionnels permettent à la FTC d’imposer des obligations détaillées en matière de protection des données personnelles. Un accord transactionnel avec la FTC peut devenir un mini-RGPD qui lie l’entreprise pendant 20 ans, la durée habituelle de ces accords.»
En l’espèce, Facebook s’engage à obtenir le consentement explicite de l’utilisateur avant toute utilisation de ses données de reconnaissance faciale, ou de tout partage de son numéro mobile avec des tiers.
«Même si l’accord transactionnel de 2012 n’a pas empêché Facebook de franchir la ligne rouge dans l’affaire Cambridge Analytica, cet accord a néanmoins permis à la FTC d’intervenir avec force pour sanctionner cette deuxième violation.»
L’avenir nous dira s’il suffit à rendre Facebook à la raison.
A. B.
(*) Winston Maxwell, «Amende contre Facebook : comment la FTC américaine s’est transformée en ‘’super CNIL’’» The Conversziotn, 11 août 2019,
https://theconversation.com/amende-contre-facebook-comment-la-ftc-americaine-sest-transformee-en-super-cnil-120778?
(**) Arnold Vialfont, «Le droit de la concurrence et les procédures négociées», Revue internationale de droit économique 2007/2 (t. XXI, 2), pages 157 à 184.
