Action de groupe contre les GAFAM
Les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) nous font payer leurs services avec nos libertés.

Notre liberté de conscience, les laissant accéder aux détails de notre esprit pour nous manipuler de façon individualisée et automatisée. Notre vie privée et notre intimité, sans laquelle nous ne pouvons plus nous construire nous-mêmes.

Ce contrat est illicite : en démocratie, personne ne peut vendre ses libertés fondamentales. Ainsi, le droit interdit désormais qu'un service soit rémunéré par des données personnelles.

Pour récupérer nos libertés, le 25 mai, La Quadrature du Net engagera une action collective contre chacun des GAFAM.
Rejoindre la procédure
Action de groupe contre Google Rejoindre la procédure
Action de groupe contre Facebook
Alors que la nouvelle loi européenne entre très prochainement en application, Facebook campe sur ses positions et défend son modèle économique, annonçant que ses services resteraient inaccessibles aux utilisateurs refusant d'être ciblés.

C'est ce contrat illégal, cet échange de « service contre libertés », dont Facebook est l'illustration la plus flagrante, qui est au cœur de nos actions de groupe.

Au delà de l'illégalité de son modèle, revenons sur les conséquences concrètes de son activités sur nos libertés.

L'entreprise Facebook

Facebook a été créé il y a 14 ans, notamment par Mark Zuckerberg, son actuel directeur général, et emploie 25 000 salariés. Son chiffre d'affaire de 30 milliards d'euros repose à 98 % sur l'affichage publicitaire, proposé à 2,2 milliards d'utilisateurs actifs. Le site Facebook serait le 3ème site Internet le plus visité (classement Alexa), mais l'entreprise détient également WhatsApp et Messenger (services de messageries), ainsi qu'Instagram (réseau de partage de photos et de vidéos, 17ème site Internet le plus visité).

L'entreprise explique sans pudeur son fonctionnement : des personnes qui souhaitent diffuser un message (une publicité, un article, un événement, etc.) désignent à Facebook un public cible, selon certains critères sociaux, économiques ou de comportement, et paient l'entreprise pour qu'elle diffuse ce message à ce public, dans les meilleures conditions.

Ce fonctionnement implique deux choses : connaître chaque utilisateur, puis afficher les messages devant être diffusés, au bon moment et sous le bon format, pour influencer au mieux les personnes ciblées.

Détaillons la façon dont Facebook s'y prend.

Ce que Facebook analyse

Facebook explique dans sa Politique d'utilisation des données qu'il analyse les informations suivantes :
  • les contenus publics (texte, image, vidéo) que l'on diffuse sur la plateforme (c'est le plus évident, mais loin d'être le plus utile à analyser pour l'entreprise) ;
  • les messages privés envoyés sur Messenger (qui dit quoi, à qui, quand, à quelle fréquence) ;
  • la liste des personnes, pages et groupes que l'on suit ou « aime », ainsi que la manière dont on interagit avec ;
  • la façon dont on utilise le service et accède aux contenus (les articles, photos et vidéos qu'on lit, commente ou « aime », à quel moment, à quelle fréquence et pendant combien de temps) ;
  • des informations sur l'appareil depuis lequel on accède au service (adresse IP, identifiant publicitaire de l'appareil, nom des applications, fichiers et plugins présents sur l'appareil, mouvements de la souris, points d’accès Wi-Fi et tours de télécommunication à proximité, accès à la localisation GPS et à l'appareil photo).
L'entreprise explique, toujours sans pudeur, analyser ces données pour nous proposer les contenus payés de la façon la plus « adaptée » (comprendre : de la façon la plus subtile, pour passer notre attention).

Comme on le voit, la majorité des données analysées par Facebook ne sont pas celles que l'on publie spontanément, mais celles qui ressortent de nos activités.

De l'analyse de toutes ces données résulte un nouveau jeu d'informations, qui sont les plus importantes pour Facebook et au sujet desquelles l'entreprise ne nous laisse aucun contrôle : l'ensemble des caractéristiques sociales, économiques et comportementales que le réseau associe à chaque utilisateur afin de mieux le cibler.

Ce que Facebook sait de nous

En 2013, l'université de Cambridge a conduit l'étude suivante : 58 000 personnes ont répondu à un test de personnalité, puis ce test a été recoupé à tous leurs « j'aime » laissés sur Facebook. En repartant de leurs seuls « j'aime », l'université a ensuite pu estimer leur couleur de peau (avec 95 % de certitude), leurs orientations politique (85 %) et sexuelle (80 %), leur confession religieuse (82 %), s'ils fumaient (73 %), buvaient (70 %) ou consommaient de la drogue (65 %).

Cette démonstration a permis de mettre en lumière le fonctionnement profond de l'analyse de masse : quand beaucoup d'informations peuvent être recoupées s'agissant d'un très grand nombre de personnes (plus de 2 milliards pour Facebook, rappelons-le), de très nombreuses corrélations apparaissent, donnant l'espoir, fondé ou non, de révéler automatiquement (sans analyse humaine) le détail de la personnalité de chaque individu.

Aujourd'hui, Michal Kosinski, le chercheur ayant dirigé cette étude, continue de dénoncer les dangers de l'analyse de masse automatisée : il explique (EN) que, par une telle analyse de masse, de simples photos pourraient révéler l'orientation sexuelle d'une personne, ses opinions politiques, son QI ou ses prédispositions criminelles. Qu'importe la pertinence des corrélations résultant de telles analyses de masse, c'est bien cette méthode qui a été à la source du fonctionnement de Cambridge Analytica, dont les conséquences politiques sont, elles, bien certaines.

Une application aussi révélatrice qu'inquiétante de telles méthodes est l'ambition (EN) affichée par Facebook de détecter automatiquement les personnes présentant des tendances suicidaires. En dehors de cette initiative discutable (car aucun rôle d'aide sociale ne lui a été confié - il est avant tout un vendeur de publicité), Facebook révèle ici l'ampleur et le détail des informations nous concernant qu'il espère déduire des analyses de masse qu'il conduit.

Comment Facebook nous influence

Une fois que l'entreprise s'est faite une idée si précise de qui nous sommes, de nos envies, de nos craintes, de notre mode de vie et de nos faiblesses, la route est libre pour nous proposer ses messages au bon moment et sous le bon format, quand ils seront les plus à même d'influencer notre volonté.

L'entreprise s'est elle-même vantée de l'ampleur de cette emprise. En 2012, elle a soumis 700 000 utilisateurs à une expérience (sans leur demander leur consentement ni les informer). Facebook modifiait le fil d'actualité de ces personnes de sorte qu'étaient mis en avant certains contenus qui influenceraient leur humeur, espérant les rendre plus joyeuse pour certaines et plus tristes pour d'autres. L'étude concluait que « les utilisateurs ciblés commençaient à utiliser davantage de mots négatifs ou positifs selon l'ampleur des contenus auxquels ils avaient été “exposés” ».

Cette expérience ne fait que révéler le fonctionnement normal de Facebook : afin de nous influencer, il hiérarchise les informations que nous pouvons consulter sur ses services (le « fil d'actualité » ne représente qu'une faible partie des contenus diffusés par les personnes que nous suivons, car ces contenus sont sélectionnés et triés par Facebook).

Cette hiérarchisation de l'information ne se contente pas d'écraser notre liberté de conscience personnelle : elle a aussi pour effet de distordre entièrement le débat public, selon des critères purement économiques et opaques, ce dont la sur-diffusion de « fakenews » n'est qu'un des nombreux symptômes.

Dans son étude annuelle de 2017, le Conseil d'État mettait en garde contre la prétendue neutralité des algorithmes dans la mise en œuvre du tri : les algorithmes sont au service de la maximisation du profit des plateformes et sont dès lors conçus pour favoriser les revenus au détriment de la qualité de l'information.

Pourquoi c'est illégal ?

Dans ses toutes nouvelles conditions d'utilisation, revues pour l'entrée en application du RGPD, Facebook explique qu'il considère être autorisé à surveiller et influencer les utilisateurs au motif que ceux-ci auraient consenti à un contrat qui le prévoirait. Or, en droit, ce contrat ne suffit en aucun cas à rendre légale ces pratiques.

Le RGPD prévoit que notre consentement n'est pas valide, car non-libre, « si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat » (article 7, §4, et considérant 43 du RGPD, interprétés par le groupe de l'article 29).

Cette exigence d'un consentement libre se répercute sur la validité des dispositions qui, dans le contrat passé avec Facebook, autoriseraient ce dernier à nous surveiller et nous influencer.

En 2017, la CNIL a condamné Facebook à 150 000 euros d'amende pour avoir réalisé ses traitements sans base légale. Elle considérait alors que « l’objet principal du service est la fourniture d’un réseau social [...], que la combinaison des données des utilisateurs à des fins de ciblage publicitaire ne correspond ni à l’objet principal du contrat ni aux attentes raisonnables des utilisateurs [et qu'il incombe donc à Facebook] de veiller à ce que les droits des personnes concernées soient respectés et notamment à ce que l’exécution d’un contrat ne les conduise pas à y renoncer ». Ainsi, la CNIL « estime que les sociétés ne peuvent se prévaloir du recueil du consentement des utilisateurs [ni] de la nécessité liée à l’exécution d’un contrat ».

Puisque le contrat passé avec Facebook n'autorise pas la surveillance décrite ci-dessus, celle-ci est illicite - c'est le cœur de nos actions de groupe ! Malheureusement, les méfaits de Facebook dépassent son propre site.

Comment Facebook collabore avec des tiers

Facebook ne cache plus son activité de traçage un peu partout sur le Web, même s'agissant de personnes n'ayant pas de compte Facebook (qui se voient alors créé un « profil fantôme »).

Les méthodes de pistage sont nombreuses :
  • des cookies (fichiers enregistrés sur votre appareil permettant à Facebook de vous identifier d'un site à l'autre) ;
  • des boutons « J'aime » ou « Partager » affichés sur de nombreux sites (ces boutons, hébergés sur les serveurs de Facebook, sont directement téléchargés par l'utilisateur, indiquant ainsi automatiquement à Facebook leur adresse IP, la configuration unique de leur navigateur et l'URL de la page visitée) ;
  • des pixels invisibles (images transparentes de 1x1 pixel) fonctionnant comme les boutons, dont le seul but est d'être téléchargés pour transmettre à Facebook les informations de connexion ;
  • Facebook Login, que certains sites ou applications (Tinder, typiquement) utilisent comme outil pour authentifier leurs utilisateurs.
Les personnes ciblées en sont rarement informées ou leur consentement n'est pas obtenu. Facebook se dédouane de cette responsabilité en la faisant peser sur les sites et applications ayant integré ses traçeurs. Bien que ces sites et applications soient bien responsables juridiquement, Facebook l'est tout autant, l'entreprise étant régulièrement condamnée pour ce pistage illicite, sans pour autant y mettre un terme :
  • en 2015 puis 2018, la CNIL puis la justice belge lui ont demandé d'y mettre un terme, avec une astreinte de 250 000 € par jour ;
  • en 2017, la CNIL française l'a condamné à 150 000 € d'amende (montant maximum, à l'époque) ;
  • en 2017, la CNIL espagnole l'a condamné à 1 200 000 € d'amende.

Facebook trace également sur smartphone

L'entreprise ne s'intéresse pas seulement aux habitudes de navigation des internautes. Les applications sur téléphone mobile sont également une cible. En fournissant une série d'outils aux développeurs d'applications, Facebook va s'incruster dans ce nouveau monde. Dès qu'une application veut se connecter à Facebook, pour une raison ou une autre, un certain nombre de données personnelles sont transmises, souvent sans lien direct avec le but initial de l'application et, souvent aussi, sans que l'utilisateur n'en soit même informé.

L'association Exodus Privacy a mis en évidence l'omniprésence de ces traqueurs dans les applications mobiles. Si certains traqueurs affichent leurs intentions (cibler les utilisateurs à des fins publicitaires), d'autres ont un fonctionnement parfaitement opaque. Ainsi, nous avons pu observer que l'application Pregnancy + récolte les informations privées de l'enfant à naître (afin d'accompagner les parents dans la naissance) et les transmet à Facebook (semaine de grossesse et mois de naissance attendu). Sur son site, l'application explique simplement transmettre à des tiers certaines données pour assurer le bon fonctionnement du service... Grâce à Pregnancy +, votre enfant a déjà son compte Facebook avant même d'être né !

Autre exemple flagrant : en analysant les données émises par l'application Diabetes:M, on constate qu'elle envoie à Facebook l'« advertising ID » de l'utilisateur, donnant ainsi à Facebook une liste de personnes atteintes de diabète. Sur son site, l'application se contente d'expliquer travailler avec des réseaux publicitaires, sans autre détail...

WhatsApp et Instagram

Évidemment, la surveillance exercée par Facebook va s'étendre à ses deux grandes filliales : sa messagerie, WhatsApp, et le réseau social d'image et de vidéo, Instagram.

Le rachat de WhatsApp a mis en lumière le comportement de sa maison mère. La Commission européenne a d'abord sanctionné Facebook d'une amende de 110 millions d'euros sur le plan du droit de la concurrence, puis la CNIL française s'est prononcée sur le plan des données personnelles. En décembre dernier, elle a mis en demeure Facebook d'arrêter d'imposer aux utilisateurs de WhatsApp d'accepter que leurs informations soient transférées au réseau social.

Encore une fois, c'est le consentement libre qui faisait défaut : WhatsApp ne pouvait pas être utilisé sans donner son consentement à des mesures purement publicitaires. Ceci est désormais clairement interdit.

Comment Facebook peut-il survivre s'il ne peut plus se financer sur nos données ?

Le modèle économique de Facebook est en train d'être drastiquement remis en cause. Il n'est plus permis de rémunérer un service en contrepartie de libertés fondamentales. Facebook ne va pas forcément disparaître, mais ne pourra plus continuer à se rémunérer de la même façon.

Mais qu'importe : nous n'avons pas besoin de Facebook pour pouvoir continuer d'utiliser des services gratuits et de qualité. Il existe déjà de nombreuses alternatives aux services des GAFAM qui sont réellement gratuites (c'est-à-dire qui n'impliquent pas de « monnayer » nos libertés), car leur financement repose sur le modèle originel d'Internet : la décentralisation, qui permet la mutualisation des coûts en stockage, en calcul et en bande passante.

Par exemple, La Quadrature du Net fournit à plus de 9 000 personnes l'accès au réseau Mastodon, une alternative libre et décentralisée à Twitter. Nous fournissons cet accès sur Mamot.fr, qui n'est qu'un des milliers de nœuds du réseau, chaque nœud étant interconnecté avec les autres. Ceci permet de répartir les coûts entre de très nombreux acteurs qui peuvent ainsi plus facilement les supporter (sans avoir à se financer par la surveillance de masse).

Rejoindre collectivement ces alternatives est bien l'objectif final de nos actions, mais nous pensons pouvoir n'y parvenir qu'une fois chacun et chacune libérée de l'emprise des GAFAM. Nous pourrons alors construire l'Internet de nos rêves, libre et décentralisé, que notre alliée Framasoft construit déjà chaque jour ardemment !


Rejoindre la procédure
Rejoindre la procédure
Les services des GAFAM ne peuvent s'accaparer nos données qu'avec notre consentement libre et explicite. Il n'est pas libre s'il nous est imposé de le donner pour accéder à leurs services. Or, c'est bien ce qu'ils font.

Je ne souhaite plus subir cette surveillance illicite quand j'utilise ces services.

Pour mettre fin à la violation de mes droits, je donne mandat à La Quadrature du Net pour saisir la CNIL en mon nom contre les responsables des services suivants :



(version préinstallée par les constructeurs)






(messagerie, comprend Hotmail, Live et MSN)



Cette action n'implique aucun risque légal pour les plaignants ni aucune démarche supplémentaire, ne coûte et ne rapporte pas d'argent.

Mandat de représentation

En application de l'article 80 du règlement général sur la protection des données (RGPD), je mandate La Quadrature du Net (association de loi 1901 déclarée en préfécture le 5 février 2013 et située au 60 rue des Orteaux, 75020 Paris) pour qu'elle exerce en mon nom et gratuitement les droits qui me sont conférés à l'article 77 du RGPD.

À cette fin, je lui demande d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) contre les responsables des services que je lui ai indiqués afin de mettre fin à la violation de mes droits décrite ci-dessous (sans toutefois demander réparation du préjudice causé par cette violation).

En droit

L'article 6, §1, du RGPD liste les six cas dans lesquels des données personnelles peuvent être traitées de façon licite. L'un de ces six cas est celui où la personne concernée par ces données a consenti audit traitement.

L'article 4, §11, du RGPD exige que, pour être valide, ce consentement soit une « manifestation de volonté, libre, spécifique, éclairée et univoque ».

Le considérant 32 du RGPD précise que, le consentement étant un « acte positif », « il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité ».

De plus, l'article 7, §4, du RGPD précise que, « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat ».

Le « groupe de l'article 29 » (G29, institution réunissant les autorités de protection des données de l'ensemble des États membres de l'UE) a clairement précisé le sens de ces dispositions : « le RGPD prévoit que si la personne concernée n'a pas un véritable choix, se sent contrainte de consentir ou subira des conséquences négatives si elle ne consent pas, alors son consentement n'est pas valide » (voir ses lignes directrices adoptées le 24 janvier 2018).

En conséquence, le G29 rappelle que « le RGPD garantit que le traitement de données personnelles pour lequel le consentement est demandé ne peut pas devenir, directement ou indirectement, la contrepartie d'un contrat ».

Cette interprétation reprend la position que le Parlement européen a clairement établie par deux fois :
  • « nul utilisateur ne peut se voir refuser l’accès à un service [...] au motif qu’il n’a pas consenti [...] à un traitement de ses données à caractère personnel [...] non nécessaire à la fourniture du service » (article 8, paragraphe 1 bis, de la version du règlement « ePrivacy » adoptée le 23 octobre 2017) ;

  • il ne faut pas que le droit européen « légitimise ou encourage une pratique consistant à monétiser les données à caractère personnel, celles-ci ne pouvant être comparées à un prix ni considérées comme une marchandise » (considérant 13 de la version de la directive « contenus numériques » adoptée le 21 novembre 2017).
Enfin, le G29 précise que, « en application du RGPD, le responsable de traitement qui demande le consentement de la personne concernée pour utiliser des données personnelles ne peut pas se reposer sur une des autres bases légales de l'article 6 comme solution de secours au cas où il ne pourrait pas démontrer que le consentement a été obtenu de façon valide » (voir lignes directrices citées ci-dessus).

Dans mon cas

Les responsables des services concernés annoncent dans leur « Politique de confidentialité », ou autre texte similaire, traiter des données personnelles me concernant pour des finalités qui ne sont pas nécessaires à l'exécution du service qu'ils me fournissent. Ils prétendent que ce traitement serait licite du fait que que j'y aurais consenti.

Pourtant, ce prétendu consentement n'aurait été obtenu que de deux façons :
  • en le déduisant de mon « silence » lors de l'utilisation du service, sans que je n'exprime ma volonté par un « acte positif » ; ou

  • au moyen d'un « acte positif » (cliquer sur un bouton, cocher un case...) que j'ai réalisé sous la contrainte de ne pas pouvoir accéder au service.

En conséquence

Ces traitements se fondent sur un consentement non valide, car non explicite ou non libre. Puisque ces traitements ne peuvent se fonder sur aucune autre base légale, ils sont illicites.

Pour mettre fin à cette violation de mes droits, je mandate La Quadrature du Net à agir devant la CNIL comme précisé ci-dessus.

Je mandate également La Quadrature du Net à agir en mon nom devant l'autorité judiciaire en cessation du manquement ci-dessus décrit (en exercice des droits que me confère l'article 79 du RGPD) ainsi que devant le Conseil d'État, la Cour de justice de l'Union européenne ou toute autre institution qui aurait à connaître des suites des réclamations introduites en mon nom conformément au présent mandat.

Les plaignants individuels n'auront à assumer aucun des frais que pourraient provoquer ces procédures et ne risquent aucune conséquence juridique - La Quadrature du Net les assumera en son nom.



Ce mandat ne sera pas public, seule la CNIL recevra la liste des mandataires.

Utilisation de vos données

Afin de poursuivre les démarches pour lesquelles vous la mandatez ici, La Quadrature du Net utilisera le prénom, le nom et la liste des services que vous avez indiqués.

Elle n'utilisera ces informations pour aucune autre finalité.

Afin de vous permettre de confirmer et de modifier votre mandat, et pour vous tenir informé-e de l'avancement de ces démarches si vous avez indiqué le souhaiter, La Quadrature du Net utilisera l'adresse email que vous avez fournie.

Elle n'utilisera cette information pour aucune autre finalité.

Vour pourrez demander d'arrêter d'être informé-e via un lien présent dans chacun des messages d'information que vous recevrez.

Enfin, toutes vos données seront supprimées au terme des démarches pour lesquelles vous mandatez La Quadrature du Net ou si vous souhaitez révoquer votre mandat (voir comment modifier son mandat).



Seules les personnes résidentes en France peuvent donner ce mandat

Modification du mandat

Si vous avez déjà donné un mandat à La Quadrature du Net et souhaitez le modifier, envoyez un nouveau mandat (via le présent formulaire) en indiquant la même adresse que vous aviez indiqué la première fois.

Si vous souhaitez révoquer votre mandat, écrivez à gafam@laquadrature.net à partir de cette même adresse. Vos informations seront alors toutes supprimées.



Partagez
Dans la presse