Le 25 octobre 2018, le Parlement européen a voté une résolution sur l’exploitation des données des utilisateurs de Facebook par Cambridge Analytica et les conséquences en matière de protection des données.
Le Parlement fait le constat que le journalisme d’investigation a mis au jour d’importantes fuites de données appartenant à des utilisateurs de Facebook après que la plateforme en a accordé l’accès à des applications tierces et que ces données ont été utilisées à mauvais escient dans le cadre de campagnes politiques, et que d’autres violations de données à caractère personnel collectées par les grands médias sociaux ont été rendues publiques par la suite.
Les députés remarquent que ces violations de données à caractère personnel ont touché des individus dans le monde entier, y compris des citoyens européens, et que ces violations de données à caractère personnel se sont produites sur une période prolongée en infraction avec le droit européen alors applicable en matière de protection des données, notamment la directive 95/46/CE et la directive 2002/58/CE. Il est à rappeler que l’utilisation abusive des données révélées dans le contexte du scandale Cambridge Analytica s’est produite avant l’entrée en vigueur du règlement général de l’Union sur la protection des données (RGPD).
Plus globalement, le Parlement souligne que les plateformes de médias sociaux ne sont pas uniquement des plateformes passives où le contenu est simplement généré par les groupes d’utilisateurs, mais que les avancées technologiques ont élargi l’influence et le rôle de ces entreprises, qui ont mis en place des algorithmes de publication de publicités et de contenus. Les députés considèrent que cette nouvelle fonction doit être prise en compte dans le domaine règlementaire.
De ce constat, le Parlement estime que la réaction initiale des entreprises concernées ne correspondait pas aux normes attendues et n’a pas permis aux autorités concernées de mener une enquête et un audit complets et indépendants, que ce soit au niveau national ou à l’échelle de l’Union. Se basant sur les travaux de la commission parlementaire britannique enquêtant sur cette affaire, les députés indiquent que les réseaux sociaux constituent pour les partis politiques et les pouvoirs publics une plateforme essentielle de communication avec les citoyens et que l’analyse des données et les algorithmes exercent une influence grandissante sur les informations rendues accessibles aux citoyens; que ces techniques, lorsqu’elles sont utilisées à mauvais escient, peuvent mettre en péril les droits fondamentaux à l’information ainsi que la liberté et la pluralité des médias.
Les députés estiment ainsi que la responsabilité et la transparence en matière d’algorithmes sont essentielles pour garantir que les individus disposent des connaissances adéquates et d’une bonne compréhension au sujet du traitement de leurs données personnelles et que cette responsabilité et cette transparence impliquent la mise en œuvre de mesures techniques et opérationnelles visant à assurer la transparence du processus automatisé.
En ce sens, le Parlement attend de toutes les plateformes en ligne qu’elles se conforment pleinement au droit européen en matière de protection des données, c’est-à-dire le RGPD et la directive2002/58/CE («vie privée et communications électroniques») et qu’elles aident les utilisateurs à comprendre la façon dont leurs informations personnelles sont traitées dans le modèle publicitaire visé et leur indiquent que des contrôles efficaces sont possibles.
En matière électorale, le PE estime qu’à l’ère du numérique, le droit électoral doit être adapté à cette nouvelle réalité, et suggère que des garde-fous électoraux traditionnels («hors ligne»), tels que des règles applicables aux communications politiques en période électorale, la transparence des dépenses électorales et des limites auxdites dépenses, le respect des périodes de silence électoral et l’égalité de traitement des candidats devraient également s’appliquer en ligne.
Les États membres devraient aussi mettre en place un système obligatoire d’empreintes numériques destinées aux campagnes électorales et publicitaires électroniques et appliquer la recommandation de la Commission visant à renforcer la transparence des campagnes et communications politiques payantes en ligne. Par ailleurs, les députés sont favorables à ce que toute forme de campagne politique soit assortie d’informations facilement accessibles et compréhensibles sur l’organisation à l’origine de cette campagne et qui est légalement responsable des dépenses, de façon à ce que l’entité qui sponsorise les campagnes soit toujours bien identifiée.
Sur le cas Facebook, le Parlement prend note des progrès effectués par l’entreprise en matière de confidentialité à la suite du scandale Facebook/Cambridge Analytica, mais rappelle que Facebook a promis de mener un audit interne complet, dont le Parlement européen n’a pas encore été informé, et recommande à Facebook de procéder à d’importantes modifications de sa plateforme pour garantir sa conformité avec le droit de l’Union en matière de protection des données. En ce sens, le législateur européen invite les autorités de protection des données aux niveaux national et européen à mener une enquête approfondie sur Facebook et ses pratiques actuelles, de façon à ce que le nouveau mécanisme de contrôle de la cohérence du RGPD puisse servir de base à une réponse adaptée et efficace de l’Europe en matière de mesures répressives.
Les députés invitent également la Commission à mettre à jour ses règles de concurrence pour les faire correspondre aux réalités numériques, et à se pencher sur le modèle commercial des plateformes de médias sociaux et sur leur possible monopole, en tenant compte du fait que ce dernier ne relève peut-être pas d’une situation de monopole traditionnelle, mais s’explique plutôt par la particularité de la marque et la quantité de données personnelles dont celle-ci dispose.
Pour assurer une réelle ambition politique, le Parlement est d’avis que la prochaine Commission européenne devrait confier à l’un de ses membres un portefeuille portant spécifiquement sur la protection de la vie privée et des données, afin de mobiliser pro-activement des partenaires à l’intérieur et à l’extérieur de l’Union et de veiller à ce que toutes les propositions législatives soient pleinement conformes à l’acquis juridique de l’Union en matière de protection de la vie privée et des données.
L’ensemble du texte de la résolution est accessible sur le site du Parlement européen.