Si Facebook doit payer une amende à la Federal Trade Commission pour le scandale des données de Cambridge Analytica, elle rejoindra une très courte liste d'entreprises à l'avoir fait.
Sur 91 cas impliquant des problèmes de confidentialité en ligne, la Federal Trade Commission a porté depuis le premier en 1998, seulement deux entreprises ont payé des sanctions civiles spécifiquement pour avoir violé la vie privée des utilisateurs adultes, une analyse USA TODAY des données FTC montre.
Ils sont Google, qui a payé 22,5 millions de dollars en 2012 et Upromise, qui a payé 500 $, 000 en 2017.
Les chiffres ne sont pas surprenants pour les experts en raison des contraintes imposées à la FTC lorsqu'il s'agit de contrôler les droits à la vie privée des consommateurs.
Promesses non tenues
Les États-Unis n'ont pas de loi spécifique contre les atteintes à la vie privée. La FTC, une agence gouvernementale de surveillance, ne peut intenter une action contre une entreprise que si elle a promis de protéger la vie privée des clients et n'a pas tenu sa promesse, ou si l'entreprise a enfreint des règles spécifiques protégeant la vie privée des enfants ou les rapports de crédit. Dans quelques cas, il a également demandé aux entreprises de rembourser l'argent obtenu frauduleusement.
Lorsque les enfants ou les rapports de crédit ne sont pas impliqués, il ne peut pas imposer de sanctions pécuniaires à moins qu'une entreprise n'ait déjà conclu un accord avec la commission pour violation des promesses de confidentialité, puis constate que l'entreprise a violé le règlement. Si une entreprise refusait de parvenir à un règlement, la FTC pourrait intenter une action en justice et éventuellement exiger des sanctions immédiatement.
Parce qu'il fait déjà l'objet d'un règlement FTC, Facebook risque de devenir l'un des rares cas où une entreprise se voit infliger des sanctions pécuniaires, un rap qui pourrait totaliser des millions de dollars.
Il a eu sa "première grève" en 2011 lorsque la FTC a découvert qu'il avait trompé les consommateurs en leur disant qu'ils pouvaient garder leurs informations sur Facebook privées, puis a permis à plusieurs reprises qu'il soit partagé et rendu public, selon la FTC.
Il a accepté un décret de consentement lui interdisant de faire de fausses déclarations sur la confidentialité ou la sécurité des informations personnelles des consommateurs, l'obligeait à demander aux utilisateurs d'accepter avant d'adopter des modifications qui outrepassent leurs préférences de confidentialité et l'empêchait de permettre à quiconque d'accéder au matériel d'un utilisateur plus de 30 jours après que l'utilisateur a supprimé son compte.
En outre, Facebook était tenu d'établir et de maintenir un programme de confidentialité complet conçu pour faire face aux risques de confidentialité associés au développement et à la gestion de produits et services nouveaux et existants. Il devait aussi produire des indépendants, audits tiers de ce programme de protection de la vie privée tous les deux ans pendant les 20 prochaines années.
Cambridge Analytica déclenche une sonde
Le mois dernier, à la veille de deux enquêtes de presse explosives, Facebook a révélé qu'il savait en 2015 que près de 300, 000 utilisateurs de Facebook qui avaient téléchargé une application de quiz de personnalité appelée This Is Your Digital Life ont vu leurs informations partagées avec Cambridge Analytica. Facebook n'a pas alerté les utilisateurs individuels que leurs données avaient été collectées de manière incorrecte jusqu'à ce mois-ci.
La FTC enquête actuellement sur la possibilité d'autoriser l'accès aux informations personnelles de 87 millions d'utilisateurs par la société de ciblage des publicités politiques Cambridge Analytica, sans leur consentement, constitue une violation de ce décret. Si la FTC trouve que oui, pouvant entraîner des sanctions civiles pouvant aller jusqu'à 16 $, 000 pour chaque violation de l'ordre.
Le PDG de Facebook, Mark Zuckerberg, ne pense pas que l'on en arrivera là.
Dans son témoignage devant le Congrès la semaine dernière, il a dit "il semble certainement que nous aurions dû être conscients que ce développeur d'applications a soumis un terme qui était en conflit avec les règles de la plate-forme."
Mais lorsqu'on lui a demandé si l'incident constituait une violation du règlement de la FTC, Zuckerberg a dit non.
"D'après ce que j'ai compris, n'est-ce pas qu'il s'agissait d'une violation du décret de consentement, " il a dit.
La pénalité de 22,5 millions de dollars de Google
Si Facebook finit par payer, elle deviendra la troisième entreprise coupable de ce genre de violation à être contrainte de le faire. Dans la majorité des cas que la FTC a intentés contre des entreprises pour des problèmes de confidentialité en ligne (49 sur 91), la commission n'a pas pu demander d'argent. Au lieu de cela, il a conclu un accord de règlement non monétaire avec les entreprises, essentiellement une "première frappe". Si ces entreprises obtiennent une deuxième grève, ils pourraient être passibles d'une sanction pécuniaire, mais pas avant.
Les règlements les obligent à mettre en œuvre un programme complet de protection de la vie privée et à obtenir généralement des audit indépendant. Habituellement, l'entreprise doit déposer un rapport tous les deux ans pendant 20 ans après le règlement, comme Facebook l'a été.
L'argent des sanctions civiles n'entre en jeu que lorsqu'une entreprise a violé son accord de règlement de « première grève », ce que Google et Upromise ont fait. À ce stade, la FTC peut infliger des pénalités à l'entreprise.
Google a payé le plus gros montant jusqu'à présent, 22,5 millions de dollars, d'une commission de 2012 concluant que la société a fait une fausse déclaration aux utilisateurs du navigateur Internet Safari qu'elle ne placerait pas de « cookies » de suivi ou ne diffuserait pas de publicités ciblées à ces utilisateurs.
Cela a violé une ordonnance de règlement de 2011 que la FTC avait avec la société sur le réseau social Buzz de Google qui faisait partie de Gmail. Google avait fait croire aux utilisateurs de Gmail qu'ils pouvaient choisir s'ils voulaient ou non rejoindre le réseau, mais les options pour refuser ou quitter le réseau social n'ont pas pleinement fonctionné.
Dans l'affaire Upromise, qui lui a coûté 500 $, 000, la FTC a découvert en 2017 que l'entreprise n'avait pas divulgué aux consommateurs l'intégralité des données qu'elle avait collectées à leur sujet ni comment elle utilisait ces données.
Cela a violé un accord de 2012 que la FTC avait avec le service de récompense des membres, qui visait les consommateurs essayant d'économiser de l'argent pour l'université. Il avait utilisé une barre d'outils de navigateur Web pour recueillir des renseignements personnels sur les consommateurs sans divulguer adéquatement l'étendue des renseignements qu'il recueillait.
Il y a eu un cas dans lequel une deuxième grève apparente n'a pas abouti à un paiement. La semaine dernière, la FTC a renforcé son accord avec Uber au sujet d'une violation de 2016 au cours de laquelle des dizaines de millions de passagers et de données de chauffeurs Uber ont été consultés, sans ajouter de sanctions civiles.
Cependant, le règlement de 2017 avec Uber n'avait pas encore été finalisé. Les plaintes et ordonnances administratives doivent être soumises aux commentaires du public et doivent obtenir l'approbation finale de la Commission après la période de commentaires. Parce que ce n'était pas encore arrivé, il n'y avait aucune raison de demander des sanctions civiles à Uber.
Les utilisateurs ont-ils été trompés ?
Dans le cas de Facebook, Les commissaires de la FTC devront maintenant déterminer si elle a effectivement violé les termes de son règlement. Les experts ne sont pas d'accord sur ce que pourrait être ce résultat.
"Il faut faire valoir que les consommateurs ont été trompés sur le partage d'informations entre amis, et c'est un point difficile à prouver, " a déclaré Chris Hoofnagle, professeur de droit à l'Université de Californie à Berkeley et auteur de Federal Trade Commission Privacy Law and Policy.
D'autres disent qu'il ne fait aucun doute que Facebook sera sonné.
"Ce doit être à peu près le cas le plus simple jamais présenté à la FTC, " a déclaré Marc Rotenberg, directeur exécutif de l'Electronic Privacy Information Center à but non lucratif à Washington D.C. EPIC a poussé la FTC à inclure la confidentialité dans sa compétence en 1995 et a poursuivi l'agence en 2012 pour ne pas avoir appliqué l'ordonnance contre Facebook.
Il s'attend à ce que la pénalité de Facebook se situe entre 100 et 200 millions de dollars et qu'elle prenne entre trois mois et un an pour être émise.
De plusieurs façons, l'argent sera le cadet des soucis de Facebook, dit William Kovacic, professeur de droit et expert en protection de la vie privée à l'Université George Washington.
Avec une capitalisation boursière de 485 milliards de dollars, même des centaines de millions de dollars ne sont qu'une erreur d'arrondi pour Facebook. Bien plus dommageable pourrait être un nouveau règlement que la FTC pourrait engager contre l'entreprise, celui qui impose des conditions encore plus strictes sur la façon dont il peut traiter les données des utilisateurs et en tirer de l'argent à l'avenir.
Dans son témoignage devant le Congrès la semaine dernière, Le PDG de Facebook, Zuckerberg, a déclaré :"Nous devons avoir une vision plus large de notre responsabilité en matière de confidentialité que ce qui est mandaté dans la loi actuelle."
"La FTC pourrait dire, 'Tu ferais mieux de le croire, '", a déclaré Kovacic, qui a présidé la FTC de 2008 à 2009.
Comme la FTC maîtrise mieux l'étendue de la collecte et de l'utilisation des données par ces sites, il pourrait commencer à faire plus sur le respect de la vie privée qu'il ne l'a fait par le passé.
"Je pense que ce n'est que le début d'un débat long et animé sur la vie privée, " a déclaré Stephen Calkins, professeur de droit à la Wayne State University Law School. Il a été conseiller juridique de la Federal Trade Commission de 1995 à 1997.
©2018 États-Unis aujourd'hui
Distribué par Tribune Content Agency, LLC.
