Ces derniers temps, FaceApp se retrouve (malgré lui ?) sous les feux des projecteurs … RGPD ou pas ? Arnaque ou pas ? danger ?
FaceApp ?
FaceApp propose des filtres divers et variés pour customiser vos photos ; plus jeune, plus vieux, plus homme, plus femme, plus blanc, plus européen (filtres condamnés et depuis retirés). Pour cela, l’application télécharge vos photos sur des serveurs en Russie en utilisant les infrastructures « cloud » d’Amazon (AWS) et de Google (eh oui ![1]). Contrairement à ce qu’ont affirmé certains internautes inquiets, FaceApp ne peut pas accéder à l’intégralité des images contenues dans les smartphones et les transférer vers ses serveurs. L’application requiert le consentement de l’utilisateur à accéder à ses albums photo et ne télécharge que celle(s) que l’utilisateur lui donne.
FaceApp et RGPD ?
Pourquoi donc l’application n’est-elle pas en conformité alors ?
Le couac se situerait sur le devenir des photos utilisées. FaceApp explique que « la plupart des images stockées sur les serveurs sont supprimées dans les quarante-huit heures suivant leur envoi ». La plupart… Voilà le souci. En Europe, pour être conforme au RGDP, des procédures claires d’archivage et de suppression doivent (entre autres) être définies, ce n’est pas le cas ici. Bien plus, si un utilisateur voulait faire valoir ses droits (en cas de contestation ou de réclamation), le siège de FaceApp est situé actuellement à Saint-Pétersbourg, ce qui complique évidemment vos demandes d’accès. Enfin, le devenir de ces photos (délibérément envoyées par les utilisateurs) est incertain… FaceApp indique qu’en tant qu’utilisateur, vous lui cédez de fait une licence d’utilisation « perpétuelle, irrévocable, non-exclusive, hors-taxe, mondiale, gratuite et transférable » de votre photo. Cela signifie que ce contenu pourra ensuite se retrouver sur des supports publicitaires ou commerciaux, entre autres, sans que vous en soyez informés, puisque vous aurez, en amont, donné votre autorisation. [2]
Alors, nous nous interrogeons … Ceci justifie-t-il cette récente « chasse aux sorcières » ? Mes données sur les autres réseaux sociaux sont-elles davantage en sécurité ? Creusons davantage … Qu’en est-il ailleurs ? Chez les Grands ?
Facebook (et ses Entités que sont Facebook, Messenger, Instagram, Oculus et WhatsApp) s’est engagé pour la mise en conformité RGPD de toutes ses entités[3]. Les utilisateurs ont reçu une invitation à lire la nouvelle politique de vie privée et à personnaliser (ou vérifier) les paramètres de confidentialité. Super… Mais est-ce bien suffisant ? Qu’en est-il de leur responsabilité ?
Facebook & Entités et RGPD
En guise de réponse, deux mots peuvent être simplement tapés sur google pour avoir un état des lieux ; « Facebook+GDPR ». Depuis Mai 2018, les plaintes et les mises en demeure pleuvent ! Citons entre-autres ; Cambridge Analytica qui a capté de manière détournée, et sans consentement, les données personnelles de 87 millions d’utilisateurs Facebook à des fins politiques. Egalement, en septembre 2018 le piratage de 29 millions de comptes. Ou plus récemment, en février 2019 ; l’Autorité de la Concurrence Allemande [4]qui condamne Facebook pour avoir croisé les données de ses utilisateurs auprès d’applications tierces, comme Whatsapp (racheté par le géant en 2014 mais régit par une politique de confidentialité / sécurité différente) ou Instagram (en cours, Facebook ayant fait appel de la décision).
Si FaceApp notifie des conditions d’utilisations clairement non conformes, peut-on rappeler celles de Facebook (et donc de ses entités) en vigueur actuellement (et donc après leur mise en conformité) ? Le réseau social conserve une « licence d’utilisation » de vos données. Si « aucune modification ne peut être apportée » au contenu, il existe là aussi une « licence non exclusive, gratuite, transférable, sous-licenciable, et mondiale pour héberger, utiliser, distribuer, modifier, exécuter, copier, jouer ou présenter publiquement, traduire et créer des œuvres dérivées de votre contenu. Cela signifie, par exemple, que si vous partagez une photo sur Facebook, vous nous autorisez à l’enregistrer, à la copier et à la partager avec d’autres personnes (une nouvelle fois, conformément à vos paramètres) telles que des fournisseurs de service qui prennent en charge notre service ou les autres Produits Facebook que vous utilisez. »[5] Nous rajoutons que la politique précise « Vous nous autorisez à utiliser votre nom et votre photo de profil et les informations relatives aux actions que vous avez effectuées sur Facebook suite à, ou en rapport avec des publicités, des offres et d’autres contenus sponsorisés que nous affichons à travers nos Produits, sans vous verser aucune compensation. »[6]
WhatsApp non conforme ?
Enfin, propriété de Facebook, WhatsApp ne fait pas l’unanimité (rappelons le ‘différend actuel’ avec la CNIL et l’Autorité de Protection des Données [7] lié au transfert vers Facebook de données personnelles d’utilisateurs WhatsApp). En effet, pour exemple, l’entreprise Continental vient d’en interdire l’usage au départ des GSM professionnels de ces 240000 travailleurs dans le monde ; « Selon nous, ces services présentent des déficiences en terme de protection des données car ils accèdent aux données personnelles et potentiellement confidentielles de l’utilisateur, comme ses contacts, qui eux, en tant que tiers, ne sont pas consentants« , justifie l’entreprise allemande dans un communiqué.
Pour ne pas conclure …
Nous ne pouvons donc pas ‘simplement’ incriminer FaceApp sans aller voir ce que font les grands. Si Facebook offre plus de transparence à l’utilisateur final (préférences publicitaires), la gestion de l’ensemble des données dont il dispose (et les plaintes / procédures en cours) nous oblige à conclure qu’aucune de ces plateformes ne peut garantir une conformité totale et absolue. Il en revient donc à l’utilisateur d’agir de manière prudente et responsable…
Il pourrait être intéressant de conclure que partager sa vie
sur la toile (qu’elle qu’en soit la confidentialité choisie dans les
paramètres)… c’est d’office prendre le risque de la rendre publique et que si
l’utilisation d’un outil est gratuit, il n’est pas impossible que vous en
soyez, de loin en loin, également le produit …
[1] Le Monde 17/07/2019 FaceApp : « Pourquoi il faut se méfier de l’application et de son filtre à selfie pour se voir vieux ?»
[2] https://www.lci.fr/population/donnees-personnelles-faut-il-davantage-se-mefier-de-faceapp-que-des-autres-applications-instagram-facebook-2127338.html
[3] Facebook https://www.facebook.com/business/gdpr
[4] https://www.zdnet.fr/actualites/rgpd-facebook-sanctionne-par-les-autorites-allemandes-39880365.htm
[5] Facebook : Politique de confidentialité https://www.facebook.com/terms
[6] Facebook : Politique de confidentialité https://www.facebook.com/terms
[7] https://www.autoriteprotectiondonnees.be/a-quoi-joue-whatsapp-les-nouvelles-conditions-dutilisation-soulevent-des-questions
