Procédure : 2018/2855(RSP)
Cycle de vie en séance
Cycle relatif au document : B8-0480/2018

Textes déposés :

B8-0480/2018

Débats :

PV 23/10/2018 - 3
CRE 23/10/2018 - 3

Votes :

PV 25/10/2018 - 13.17
CRE 25/10/2018 - 13.17
Explications de votes

Textes adoptés :

P8_TA(2018)0433

PROPOSITION DE RÉSOLUTION
PDF 315kWORD 61k
16.10.2018
PE624.169v01-00
 
B8-0480/2018

déposée à la suite d'une déclaration de la Commission

conformément à l’article 123, paragraphe 2, du règlement intérieur


sur l’exploitation des données des utilisateurs de Facebook par Cambridge Analytica et les conséquences en matière de protection des données (2018/2855(RSP))


Claude Moraes au nom de la commission des libertés civiles, de la justice et des affaires intérieures

Résolution du Parlement européen sur l’utilisation des données des utilisateurs de Facebook par Cambridge Analytica et ses répercussions sur la protection des données (2018/2855(RSP))  
B8-0480/2018

Le Parlement européen,

–  vu le traité sur l’Union européenne (traité UE), le traité sur le fonctionnement de l’Union européenne (traité FUE), la charte des droits fondamentaux de l’Union européenne, et notamment ses articles 7, 8, 11, 12, 39, 40, 47 et 52, la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, et notamment ses articles 8, 9, 10, 11, 13, 16 et 17, et le protocole additionnel à la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, et notamment son article 3,

–  vu le Pacte international relatif aux droits civils et politiques, et notamment ses articles 2, 17, 19, 20 et 25,

–  vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)(1) et la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil(2),

–  vu la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son protocole additionnel,

–  vu l’enquête de la Chambre des communes au sujet des infox et le cinquième rapport intermédiaire de sa commission du numérique, de la culture, des médias et du sport sur la désinformation et les infox,

–  vu les auditions organisées par la commission de l’énergie et du commerce de la Chambre des représentants américaine,

–  vu la décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis(3),

–  vu sa résolution du 5 juillet 2018 sur l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis(4);

–  vu l’arrêt rendu par la Cour de justice de l’Union européenne (CJUE) le 6 octobre 2015 dans l’affaire C-362/14, Maximillian Schrems contre Data Protection Commissioner(5),

–  vu l’arrêt rendu par la CJUE le 25 janvier 2018 dans l’affaire C-498/16, Maximillian Schrems contre Facebook Ireland Limited(6),

–  vu l’arrêt rendu par la CJUE le 5 juin 2018 dans l’affaire C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH(7),

–  vu la demande officielle adressée par David Caroll à Cambridge Analytica en vue de récupérer ses informations personnelles et de révéler leur source,

–  vu l’avis nº 3/2018 du Contrôleur européen de la protection des données (CEPD) du 19 mars 2018 sur la manipulation en ligne et les données à caractère personnel(8),

–  vu les lignes directrices du groupe de travail «article 29» du 3 octobre 2017 sur la décision individuelle automatisée et le profilage aux fins du règlement (UE) 2016/679(9),

–  vu les deux séries de réponses écrites aux questions restées sans réponse lors de la réunion des présidents des groupes politiques du Parlement européen avec le président-directeur général de Facebook Mark Zuckerberg publiées par Facebook le 23 mai 2018(10) et le 4 juin 2018 respectivement(11),

–  vu la recommandation (UE) 2018/234 de la Commission du 14 février 2018 visant à renforcer le caractère européen des élections au Parlement européen de 2019 et à rendre leur conduite plus efficace(12), la recommandation de la Commission du 12 septembre 2018 sur les réseaux de coopération électorale, la transparence en ligne, la protection contre les incidents de cybersécurité et la lutte contre les campagnes de désinformation à l’occasion des élections au Parlement européen, et la communication de la Commission du 12 septembre 2018 intitulée «Assurer des élections européennes libres et équitables» (COM(2018)0637),

–  vu la proposition de règlement du Parlement européen et du Conseil modifiant le règlement (UE, Euratom) nº 1141/2014 en ce qui concerne une procédure de vérification relative aux infractions aux règles en matière de protection des données à caractère personnel dans le contexte des élections au Parlement européen, présentée par la Commission le 12 septembre 2018 (COM(2018)0636),

–  vu les orientations de la Commission du 12 septembre 2018 relatives à l’application du droit de l’UE en matière de protection des données dans le contexte électoral (COM(2018)0638),

–  vu les auditions approfondies menées par la commission des libertés civiles, de la justice et des affaires intérieures, mandatée par le Parlement européen, sur l’utilisation des données des utilisateurs de Facebook par Cambridge Analytica et ses répercussions sur la protection des données,

–  vu les rapports de l’autorité britannique de protection des données (Information Commissioner’s Office) sur l’enquête au sujet de l’utilisation des données analytiques et les campagnes politiques, ainsi que le rapport intitulé «La démocratie en péril»(13),

–  vu le témoignage du Bureau européen des unions de consommateurs (BEUC) présenté le 25 juin 2018(14),

–  vu la recommandation de la Commission du 23 octobre 2018,

–  vu la proposition de la Commission des libertés civiles, de la justice et des affaires intérieures,

–  vu l’article 123, paragraphe 2, de son règlement intérieur,

A.  considérant que le journalisme d’investigation a mis au jour d’importantes fuites de données appartenant à des utilisateurs de Facebook après que la plateforme en a accordé l’accès à des applications tierces et que ces données ont été utilisées à mauvais escient dans le cadre de campagnes politiques, et que d’autres violations de données à caractère personnel collectées par les grands médias sociaux ont été rendues publiques par la suite;

B.  considérant que ces violations de données à caractère personnel ont touché des individus dans le monde entier, y compris des citoyens européens ou des individus résidant sur le territoire de l’Union sans en avoir la citoyenneté; considérant que plusieurs parlements nationaux ont mené des auditions et des enquêtes, dont les résultats ont été publiés par la suite;

C.  considérant que ces violations de données à caractère personnel se sont produites sur une période prolongée; que les entreprises concernées étaient en infraction avec le droit européen alors applicable en matière de protection des données, et notamment la directive 95/46/CE et la directive 2002/58/CE;

D.  considérant que l’utilisation abusive des données révélées dans le contexte du scandale Cambridge Analytica s’est produite avant l’entrée en vigueur du règlement général de l’Union sur la protection des données (RGPD);

E.  considérant que Facebook a affirmé ne pas avoir accordé à Cambridge Analytica d’accès à des informations relatives à des comptes ou cartes bancaires ou à des informations relevant de l’identité nationale;

F.  considérant que Cambridge Analytica a affirmé que le traitement des données était officiellement effectué à des fins de recherche, mais que les données collectées ont par la suite été utilisées à des fins politiques ou commerciales;

G.  considérant que la réaction initiale des entreprises concernées ne correspondait pas aux normes attendues et n’a pas permis aux autorités concernées de mener une enquête et un audit complets et indépendants, que ce soit au niveau national ou à l’échelle de l’Union;

H.  considérant que les présidents des groupes politiques du Parlement européen ont organisé un premier échange de vues à huis clos avec Mark Zuckerberg, président-directeur général et fondateur de Facebook, le 22 mai 2018, et qu’à la suite de cette rencontre, la Conférence des présidents a prié la commission des libertés civiles, de la justice et des affaires intérieures, en association avec la commission des affaires constitutionnelles, d’organiser de nouvelles auditions, plus approfondies;

I.  considérant que trois auditions concernant les répercussions de l’affaire Facebook/Cambridge Analytica sur la protection des données, les procédures électorales, les infox et la position commerciale des médias sociaux se sont tenues le 4 juin, le 25 juin et le 2 juillet 2018, avec la participation des commissaires européens concernés, le directeur exécutif de l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA), le CEPD, la présidente du comité européen de la protection des données, l’autorité britannique de protection des données, la directrice exécutive de la commission électorale britannique, les individus concernés et Facebook;

J.  considérant que Facebook a refusé de dépêcher aux auditions des salariés correspondant aux exigences des présidents des commissions concernées en termes d’expertise et de connaissances techniques et de responsabilité, et a préféré mandater des membres de son équipe «Politiques publiques»; considérant que les informations fournies par les représentants de Facebook lors des auditions n’apportaient pas d’éléments précis concernant les mesures concrètes et spécifiques prises pour garantir une pleine conformité avec le droit de l’Union en matière de protection des données, et se résumaient plutôt à des généralités;

K.  considérant que, dans son avis nº 3/2018, le CEPD évoque plusieurs problèmes concernant les questions liées à la manipulation en ligne et aux données à caractère personnel; que le CEPD fait également valoir que le droit de la concurrence joue un rôle essentiel en ce qu’il garantit que les acteurs qui dominent le marché doivent rendre des comptes et qu’il protège la démocratie des pouvoirs de marché excessifs; que les intérêts des particuliers seraient mieux préservés par l’analyse des abus de pouvoir potentiels ou de la concentration des entreprises, qui peuvent avoir accumulé un important pouvoir d’information;

L.  considérant que, dans son avis du 3 octobre 2017, le groupe de travail «article 29» a déclaré que le profilage et la prise de décision automatique comportaient des risques non négligeables pour les droits et les libertés des individus, et que des mesures de protection appropriées étaient nécessaires;

M.  considérant que la présidente du comité européen de la protection des données a souligné que l’affaire Facebook/Cambridge Analytica s’était déroulée avant l’entrée en vigueur du RGPD, que le système d’autorité de contrôle chef de file au titre du RGPD ne s’appliquait donc pas; que les enquêtes ont été menées par l’autorité britannique de protection des données;

N.  considérant que Facebook a reconnu avoir signé un contrat avec un développeur d’applications sans avoir au préalable vérifié les conditions de ce dernier qui lui réservaient le droit de divulguer des données à caractère personnel à des tiers; que cette omission a eu de graves conséquences et que cette pratique contrevenait déjà à la législation en matière de protection des données applicable à l’époque;

O.  considérant que les négociations sur le règlement «vie privée et communications électroniques» sont en cours;

P.  considérant que le comité européen de la protection des données a indiqué qu’environ 100 différends transfrontaliers étaient traités au titre du mécanisme de contrôle de la cohérence prévu par le RGPD; que ce mécanisme coordonne les actions des autorités nationales de protection des données afin de garantir une approche commune dans l’exécution de la législation européenne de protection des données;

Q.  considérant que Facebook, signataire du bouclier de protection des données, a confirmé que l’utilisation abusive de données par le consultant politique Cambridge Analytica concerne jusqu’à 2,7 millions de citoyens européens;

R.  considérant que, le 28 septembre 2015, Facebook a révélé qu’une entité extérieure avait attaqué ses systèmes et exploité une faille ouvrant l’accès aux clés de sécurité de 50 millions de comptes Facebook, et que la commission irlandaise de protection des données, avec d’autres autorités de protection des données, a ouvert une enquête à ce sujet pour s’assurer du respect du droit européen en matière de protection des données;

S.  considérant que la commission américaine du commerce (Federal Trade Commission) mène actuellement une enquête visant à déterminer si Facebook a failli à ses promesses en matière de confidentialité, y compris son engagement à se conformer au bouclier de protection des données, ou si elle a pris part à des actes ayant entraîné un préjudice important pour les consommateurs en violation de la loi établissant la commission américaine du commerce et de l’ancien accord signé entre celle-ci et Facebook en 2011;

T.  considérant que quatre associations de consommateurs belge, italienne, espagnole et portugaise ont déposé un recours collectif contre Facebook, demandant à ce qu’une compensation financière soit versée aux utilisateurs de Facebook touchés dans leur pays respectif;

U.  considérant que le BEUC a déclaré, dans son témoignage présenté le 25 juin 2018, que la plateforme devait être tenue responsable de l’accès de tiers à des informations à caractère personnel; que le BEUC affirme également, dans son témoignage, que les entreprises devaient fournir des efforts plus conséquents et mettre en place des structures solides qui garantissent l’obligation de rendre des comptes lorsqu’un partenaire accède à des données à caractère personnel et les exploite par la suite;

V.  considérant que l’enquête menée par l’autorité britannique de protection des données s’est également intéressée aux liens qui unissent Cambridge Analytica, sa société mère, SCL Elections Limited, et Aggregate IQ, et rapporte que des données à caractère personnel obtenues par l’intermédiaire de Facebook pourraient avoir été utilisées à mauvais escient lors du référendum britannique sur l’appartenance à l’Union, et pourraient avoir servi à cibler des électeurs dans le cadre de la campagne pour les élections américaines de 2016; que cette enquête a été conduite, en grande partie, au titre de la loi britannique de protection des données de 1998 et du règlement sur les communications électroniques de 2003, tout en faisant référence au RGPD lorsque c’était nécessaire;

W.  considérant que la commission d’enquête sur le numérique, la culture, les médias et le sport de la Chambre des communes britannique a eu connaissance de preuves au sujet d’une interférence russe dans les procédures électorale européennes, et invite instamment les autorités nationales compétentes à enquêter sur ces allégations; considérant qu’aux États-Unis, un conseiller juridique spécial a été nommé en mai 2017 afin d’enquêter sur les interférences russes dans les élections présidentielles de 2016 et sur des sujets connexes, et que cette enquête est en cours;

X.  considérant que l’autorité britannique de protection des données a adressé à Facebook un avis d’intention de prononcer une amende de 500 000 livres sterling pour manque de transparence et incident de sécurité relatif à la collecte de données en violation des premier et septième principes de la loi de protection des données de 1998;

Y.  considérant que l’autorité britannique de protection des données a déjà adressé, le 23 février 2018, 23 avis pour information à 17 organisations et particuliers, y compris à Facebook, demandant aux destinataires des informations structurées; que Facebook a confirmé, le 18 mai 2018, qu’Aggregate IQ a conçu et, dans certains cas, diffusé du contenu favorable à la campagnes «Vote to leave», organisée par le Parti unioniste démocrate nord-irlandais (DUP), «Vote Leave», «BeLeave» et «Veterans for Britain»;

Z.  considérant que l’autorité britannique de protection des données a exprimé son inquiétude au sujet de la formulation des informations accessibles aux utilisateurs sur les sources des données et la possibilité et la transparence des contrôles qui leur sont proposés; que l’autorité britannique de protection des données a également déclaré que les informations et les contrôles en matière de confidentialité générale proposés par Facebook n’informaient pas clairement les utilisateurs de l’utilisation probable de leurs données à caractère personnel; que l’autorité britannique de protection des données soupçonne que certaines données soient collectées sur Facebook puis utilisées à des fins auxquelles elles n’étaient pas destinées ou qui n’étaient pas raisonnablement envisageables par les utilisateurs concernés;

AA.  considérant que le chiffres établis par la commission électorale britannique montrent que les partis politiques du Royaume-Uni ont dépensé 3,2 millions de livres sterlings en publicités directement diffusées par Facebook en vue des élections générales de 2017;

AB.  considérant que les réseaux sociaux constituent pour les partis politiques et les pouvoirs publics une plateforme essentielle de communication avec les citoyens;

AC.  considérant que les plateformes en ligne mondialisées rencontrent des difficultés à contrer les infox de façon efficace en raison de la diversité des risques et des paysages médiatiques entre les différents pays et régions;

AD.  considérant que l’analyse des données et les algorithmes exercent une influence grandissante sur les informations rendues accessibles aux citoyens; que ces techniques, lorsqu’elles sont utilisées à mauvais escient, peuvent mettre en péril les droits fondamentaux à l’information ainsi que la liberté et la pluralité des médias;

AE.  considérant que la responsabilité et la transparence en matière d’algorithmes sont essentielles pour garantir que les individus disposent des connaissances adéquates et d’une bonne compréhension au sujet du traitement de leurs données personnelles; que cette responsabilité et cette transparence impliquent la mise en œuvre de mesures techniques et opérationnelles visant à assurer la transparence et le caractère non discriminatoire de la prise de décisions automatisée ainsi que le processus de calcul de la probabilité du comportement individuel; que la transparence devrait permettre aux particuliers de disposer d’informations utiles concernant la logique sous-jacente, les enjeux ainsi que les conséquences envisagées; que cela devrait inclure des informations sur les données utilisées pour la formation en matière d’analyse de mégadonnées et permettre aux personnes d’appréhender et de contrôler les décisions qui les concernent;

AF.  considérant que Facebook s’est engagée, à l’occasion d’une rencontre avec les commissaires européens le 2 juillet 2018, à coopérer et à accorder à des chercheurs indépendants l’accès aux données concernant les allégations de manipulation des votes;

1.  attend de toutes les plateformes en ligne qu’elles se conforment pleinement au droit européen en matière de protection des données, c’est-à-dire le RGPD et la directive 2002/58/CE («vie privée et communications électroniques») et qu’elles aident les utilisateurs à comprendre la façon dont leurs informations personnelles sont traitées dans le modèle publicitaire visé et leur indiquent que des contrôles efficaces sont possibles, notamment en veillant à ce que les différentes finalités du traitement fassent l’objet d’une approbation distincte, et grâce à une meilleure transparence des paramètres de confidentialité, et par la conception et la valorisation des déclarations de confidentialité;

2.  souligne que l’argument de la dérogation aux fins de la recherche en vertu du droit européen en matière de protection des données ne peut pas constituer une faille juridique permettant l’utilisation abusive des données;

3.  prend note de la déclaration de Facebook selon laquelle la plateforme utilise les données des personnes qui n’utilisent pas ses services exclusivement pour créer des bases de données agrégées dont elle tire des conclusions sur la manière dont le service est utilisé;

4.  insiste sur la nécessité d’une responsabilité et d’une transparence nettement plus grandes dans le traitement et l’analyse des données par les secteurs privé et public ou tout autre acteur ayant recours à l’analyse de données, cette transparence étant essentielle pour garantir que les citoyens soient dûment informés à propos du traitement de leurs données à caractère personnel;

5.  estime qu’à l’ère du numérique, le droit électoral doit être adapté à cette nouvelle réalité, et suggère que des garde-fous électoraux traditionnels («hors ligne»), tels que des règles applicables aux communications politiques en période électorale, la transparence des dépenses électorales et des limites auxdites dépenses, le respect des périodes de silence électoral et l’égalité de traitement des candidats devraient également s’appliquer en ligne; estime que les États membres devraient mettre en place un système obligatoire d’empreintes numériques destinées aux campagnes électorales et publicitaires électroniques et appliquer la recommandation de la Commission visant à renforcer la transparence des campagnes et communications politiques payantes en ligne; souligne que toute forme de campagne politique devrait être assortie d’informations facilement accessibles et compréhensibles sur l’organisation à l’origine de cette campagne et qui est légalement responsable des dépenses, de façon à ce que l’entité qui sponsorise les campagnes soit toujours bien identifiée, dans la lignée de l’obligation, déjà appliquée par certains États membres, de préciser ces informations sur les supports papier des campagnes; insiste sur le fait que les citoyens de l’Union devraient être en mesure de reconnaître aisément les campagnes et communications politiques payantes en ligne ainsi que le parti, la fondation ou l’organisation derrière ces publicités et communications; insiste également sur le fait que la transparence devrait également comprendre la fourniture d’informations complètes sur les critères utilisés pour choisir le groupe cible d’une campagne politique donnée et l’ampleur attendue du groupe cible en question;

6.  constate que Facebook a mis à jour ses paramètres de confidentialité pour permettre aux utilisateurs de refuser le ciblage, y compris le visionnage de publicités sélectionnées à partir d’informations obtenues par des tiers, et l’utilisation de leurs informations personnelles collectées par Facebook en vue de leur proposer des publicités sur d’autres sites internet ou plateformes;

7.  recommande à toutes les plateformes en ligne de distinguer les utilisations à des fins politiques de leurs produits publicitaires en ligne de leurs utilisations commerciales; rappelle que le traitement de données à caractère personnel à des fins de campagne politique requiert une base juridique distincte de celle requise pour la publicité commerciale;

8.  estime que l’obligation de vérifier l’identité et la position géographique des sponsors des campagnes politiques récemment introduite par Facebook aux États-Unis est une bonne initiative, qui renforcera la transparence et contribuera à la lutte contre la manipulation électorale par des acteurs étrangers; invite instamment Facebook à mettre en place des exigences similaires en Europe; demande aux États membres d’ajuster leur droit électoral à cet effet;

9.  est d’avis que le profilage à des fins politiques et électorales ainsi que le profilage fondé sur le comportement en ligne susceptibles de révéler les préférences politiques, comme l’interaction avec des contenus politiques, dans la mesure où, selon le droit européen en matière de protection des données, ils s’attachent aux opinions politiques ou philosophiques, devraient être interdits, et estime que les plateformes de médias sociaux devraient être vigilantes vis-à-vis de ces comportements et, s’ils se produisaient, en informer immédiatement les autorités; estime également que le profilage fondé sur d’autres données, comme les facteurs socioéconomiques ou démographiques, à des fins politiques et électorales, devrait être interdit; demande aux partis politiques et autres acteurs participant aux élections de s’abstenir d’utiliser le profilage à des fins politiques et électorales; invite les partis politiques à être transparents en ce qui concerne l’utilisation qu’ils font des plateformes et données en ligne;

10.  rappelle les mesures proposées par la Commission pour garantir des élections européennes libres et équitables, en particulier l’amendement législatif visant à rendre plus strictes les règles en matière de financement des partis politiques européens en instaurant la possibilité d’imposer des sanctions financières en cas de violation des règles en matière de protection des données visant à influer délibérément sur le résultat des élections européennes; rappelle que le traitement de données à caractère personnel par les partis politiques dans l’Union européenne est soumis aux dispositions du RGPD et que la violation des principes, droits et obligations prévus par cet acte législatif entraînera des amendes et sanctions supplémentaires;

11.  considère que l’existence d’interférences dans les élections constitue un grand risque pour la démocratie, et que l’élimination de ces interférences nécessite un effort commun entre les fournisseurs de services, les législateurs et les acteurs et partis politiques;

12.  salue le train de mesures présenté par la Commission le 12 septembre 2018 relatif aux préparatifs des élections européennes;

13.  rappelle à Facebook sa promesse d’accorder à des chercheurs indépendants l’accès aux données concernant les allégations de manipulation des votes, et espère être informé, avant la fin de l’année 2018, des principales conclusions de cette enquête et des solutions proposées;

14.  prend note des actions mises en œuvre par Facebook pour lutter contre l’utilisation abusive des données, y compris le blocage ou la suppression des applications soupçonnées d’avoir utilisé les données des utilisateurs à mauvais escient; attend de Facebook qu’elle prenne rapidement des mesures lorsqu’elle reçoit des signalements concernant des applications suspectes ou abusives et qu’elle empêche purement et simplement la présence de ces applications sur la plateforme;

15.  souligne que les plateformes de médias sociaux ne sont pas uniquement des plateformes passives où le contenu est simplement généré par les groupes d’utilisateurs, mais que les avancées technologiques ont élargi l’influence et le rôle de ces entreprises, qui ont mis en place des algorithmes de publication de publicités et de contenus; considère que cette nouvelle fonction doit être prise en compte dans le domaine règlementaire;

16.  déplore le fait que Facebook n’a pas souhaité dépêcher aux auditions de salariés d’un niveau suffisant en matière de compétences techniques et de responsabilité sociale des entreprises, et fait valoir que cette attitude nuit à la confiance des citoyens européens dans les médias sociaux; déplore le fait que Mark Zuckerberg n’a pas souhaité participer à une audition publique en compagnie de députés européens;

17.  constate que Facebook a non seulement trahi la confiance des citoyens de l’Union, mais aussi enfreint le droit de l’Union et rappelle qu’au cours des auditions, un représentant de Facebook a confirmé que Facebook savait que les conditions de l’application «This is your digital life» stipulaient que les données collectées par l’application pouvaient être transmises à des tiers; en conclut que Facebook a signé, en toute connaissance de cause, un contrat avec un développeur d’applications qui avait ouvertement annoncé qu’il se réservait le droit de divulguer des données à caractère personnel à des tiers; en conclut en outre que Facebook est le responsable du traitement des données à caractère personnel et engage donc sa responsabilité juridique lorsqu’il signe un contrat avec un sous-traitant qui enfreint le droit de l’Union en matière de protection des données;

18.  prend note des progrès effectués par Facebook en matière de confidentialité à la suite du scandale Facebook/Cambridge Analytica, mais rappelle que Facebook a promis de mener un audit interne complet, dont le Parlement européen n’a pas encore été informé, et recommande à Facebook de procéder à d’importantes modifications de sa plateforme pour garantir sa conformité avec le droit de l’Union en matière de protection des données;

19.  invite instamment Facebook à autoriser l’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et le comité européen de la protection des données à mener, dans les limites de leurs mandats respectifs, un audit complet et indépendant de sa plateforme et à présenter les conclusions de cet audit à la Commission, au Parlement européen et aux parlements nationaux; estime que les autres grandes plateformes en ligne devraient faire l’objet d’audits similaires;

20.  invite instamment les plateformes de médias sociaux à identifier le contenu qui est partagé par les bots et, à cet égard, à suivre des règles transparentes; les exhorte en outre à accélérer le processus de suppression des faux comptes et à respecter les décisions de justice qui exigent des détails sur les auteurs du contenu fallacieux et diffamatoire;

21.  invite toutes les plateformes en ligne qui fournissent des services publicitaires à des partis politiques et à des campagnes à recruter, au sein de leurs équipes de vente, des experts à même d’apporter des conseils précis aux partis politiques et aux responsables de campagnes sur la transparence et la responsabilité afin d’empêcher que des données à caractère personnel soient utilisées pour cibler les utilisateurs; demande à toutes les plateformes en ligne qui permettent aux acheteurs d’espaces publicitaires de faire certaines sélections de fournir des conseils juridiques sur les responsabilités de ces acheteurs en tant que coresponsables du traitement des données, conformément à l’arrêt de la Cour de justice de l’Union européenne dans l’affaire C-210/16;

22.  invite les plateformes en ligne à mettre en place de toute urgence des fonctionnalités renforçant la transparence en matière de publicité politique, et à permettre la consultation et l’évaluation de ces outils par les autorités nationales chargées de l’observation et du contrôle électoraux; insiste sur le fait que ces campagnes politiques et électorales ne devraient pas être effectuées sur la base de profils d’utilisateurs individuels;

23.  demande aux États membres d’adapter les règles électorales aux campagnes en ligne, y compris en ce qui concerne la transparence en matière de financement, les périodes de silence électoral et le rôle des médias et de la désinformation;

24.  recommande de rendre obligatoire la réalisation d’audits par des tiers après des campagnes en vue de référendums, afin de s’assurer que les données personnelles enregistrées dans le cadre de la campagne sont supprimées ou, si ces données ont été diffusées, que cette diffusion a fait l’objet d’un consentement adapté;

25.  invite Facebook à être plus transparente et à permettre à ses utilisateurs de comprendre comment et pourquoi un parti politique ou les responsables d’une campagne pourraient les cibler;

26.  estime que les autorités de protection des données devraient être dotées du financement adéquat pour constituer une expertise technique équivalente à celle des organisations placées sous leur surveillance; demande aux États membres de veiller à ce que les autorités de protection des données soient dotées des ressources humaines, techniques et financières nécessaires au bon exercice de leurs missions et des pouvoirs dont elles sont investies, comme en dispose l’article 52 du RGPD; invite instamment la Commission à surveiller de près que les États membres respectent bien leur obligation de mettre ces ressources à disposition et, si nécessaire, à lancer des procédures d’infraction;

27.  rappelle que Facebook est une entité autocertifiée au titre du bouclier de protection des données UE-États-Unis et, à ce titre, a bénéficié de la décision d’adéquation comme base juridique pour le transfert, en vue du traitement ultérieur, de données à caractère personnel de l'Union européenne vers les États-Unis;

28.  rappelle sa résolution du 5 juillet 2018 sur l’adéquation de la protection offerte par le bouclier de protection des données UE-États-Unis et, étant donné que Facebook a reconnu que d’importantes atteintes à la vie privée ont eu lieu, invite les autorités américaines chargées de faire respecter le bouclier de protection des données à réagir à ces révélations sans délai et dans le plein respect des assurances et engagements donnés pour maintenir dans sa forme actuelle le bouclier de protection des données et, le cas échéant, à retirer ces entreprises de la liste du bouclier de protection des données; salue, dans ce contexte, l’exclusion de Cambridge Analytica en juin 2018; demande également aux autorités de l’Union européenne en charge de la protection des données d’enquêter sur ces révélations et, le cas échéant, de suspendre ou d’interdire les transferts de données au titre du bouclier de protection des données; attend de la commission américaine du commerce, qui est l’autorité compétente aux États-Unis, qu’elle fournisse à la Commission un résumé détaillé des conclusions de son enquête sur les violations de données impliquant Facebook et Cambridge Analytica et prenne les mesures répressives nécessaires à l’encontre des entreprises impliquées;

29.  déplore que le délai au terme duquel les États-Unis devaient s’être conformés pleinement au bouclier de protection des données, et qui était fixé au 1er septembre 2018, n’ait pas été respecté; estime dès lors que la Commission a manqué à son obligation d’agir conformément à l’article 45, paragraphe 5, du RGPD; demande dès lors instamment à la Commission de suspendre le bouclier de protection des données jusqu’à ce que les autorités des États-Unis respectent les dispositions de l’accord, conformément à la résolution du Parlement européen du 5 juillet 2018 sur l’adéquation de la protection offerte par le bouclier de protection des données UE-États-Unis;

30.  constate que l’utilisation abusive des données à caractère personnel bafoue les droits fondamentaux de milliards de personnes dans le monde; estime que le RGPD et la directive «vie privée et communications électroniques» offrent les meilleures normes de protection possibles; déplore le fait que Facebook a décidé d’exclure 1,5 million d’utilisateurs non européens du champ d’application du RGPD et de la directive «vie privée et communications électroniques»; s’interroge sur la légalité d’une telle démarche; invite instamment toutes les plateformes en ligne à appliquer les normes du RGPD (et de la directive) à l’ensemble de leurs services, indépendamment de l’endroit où ils sont fournis, étant donné que l’adoption de normes exigeantes en matière de protection des données personnelles constitue, de plus en plus, un avantage concurrentiel majeur;

31.  invite la Commission à mettre à jour ses règles de concurrence pour les faire correspondre aux réalités numériques, et à se pencher sur le modèle commercial des plateformes de médias sociaux et sur leur possible monopole, en tenant compte du fait que ce dernier ne relève peut-être pas d’une situation de monopole traditionnelle, mais s’explique plutôt par la particularité de la marque et la quantité de données personnelles dont celle-ci dispose, et l’invite également à prendre les mesures qui s’imposent; demande à la Commission de proposer des modifications du code des communications électroniques européen afin d’exiger également des prestataires de services de communication par contournement qu’ils s’interconnectent entre eux afin de surmonter l’effet de verrouillage que subissent leurs utilisateurs;

32.  demande au Parlement européen, à la Commission, au Conseil et à toutes les autres institutions, agences et organes de l’Union de vérifier que les pages des médias sociaux et les outils d’analyse et de marketing utilisés sur leurs sites internet respectifs ne comportent aucun risque pour les données personnelles des citoyens; leur propose d’évaluer leurs politiques de communication actuelles dans cette perspective, ce qui pourrait les amener à clôturer leurs comptes Facebook afin de garantir la protection des données personnelles des individus qui les contacteraient; charge son propre service de communication de respecter strictement les lignes directrices du Contrôleur européen de la protection des données sur la protection des données à caractère personnel traitées par les services web fournis par les institutions de l’Union(15);

33.  invite instamment le Conseil à faire cesser l’impasse au sujet du règlement «vie privée et communications électroniques» et à parvenir à un accord avec le Parlement sans abaisser le niveau de protection accordé actuellement par la directive «vie privée et communications électroniques» de façon à ce que les droits des citoyens, notamment en ce qui concerne la protection des utilisateurs contre le ciblage, soient protégés;

34.  demande à la Commission d’auditer les activités du secteur publicitaire sur les médias sociaux et de proposer une législation dans l’éventualité où le secteur et les parties concernées ne parviendraient pas à s’accorder sur un code de déontologie volontaire, avec des mesures dissuasives;

35.  invite les autorités de protection des données aux niveaux national et européen à mener une enquête approfondie sur Facebook et ses pratiques actuelles, de façon à ce que le nouveau mécanisme de contrôle de la cohérence du RGPD puisse servir de base à une réponse adaptée et efficace de l’Europe en matière de mesures répressives;

36.  demande aux États membres de prendre des mesures afin de pallier les risques pour la sécurité des réseaux et des systèmes d’information utilisés pour l’organisation des élections;

37.  estime que les États membres devraient mener, en coopération avec des tiers, y compris les médias, les plateformes en ligne et les fournisseurs de technologies de l’information, des activités de sensibilisation visant à renforcer la transparence des élections et à susciter la confiance dans les processus électoraux;

38.  estime que les États membres devraient mener de toute urgence, avec le soutien d’Eurojust, si nécessaire, des enquêtes sur les allégations d’utilisation abusive de l’espace politique en ligne par des puissances étrangères;

39.  charge son Président de transmettre la présente résolution au Conseil, à la Commission et aux gouvernements et parlements des États membres et des États-Unis d’Amérique, au Conseil de l’Europe et au président-directeur général de Facebook.

 

 

(1)

JO L 119 du 4.5.2016, p. 1.

(2)

JO L 119 du 4.5.2016, p. 89.

(3)

JO L 207 du 1.8.2016, p. 1.

(4)

Textes adoptés de cette date, P8_TA(2018)0315.

(5)

ECLI:EU:C:2015:650.

(6)

ECLI:EU:C:2018:37.

(7)

ECLI:EU:C:2018:388.

(8)

https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf

(9)

http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053

(10)

http://www.europarl.europa.eu/the-president/en/newsroom/answers-from-facebook-to-questions-asked-during-mark-zuckerberg-meeting

(11)

http://www.europarl.europa.eu/resources/library/media/20180604RES04911/20180604RES04911.pdf

(12)

JO L 45 du 17.2.2018, p. 40.

(13)

https://ico.org.uk/media/action-weve-taken/2259369/democracy-disrupted-110718.pdf

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/07/findings-recommendations-and-actions-from-ico-investigation-into-data-analytics-in-political-campaigns/

(14)

://www.beuc.eu/publications/beuc-x-2018-067_ep_hearing_facebook-cambridge_analytica.pdfhttp

(15)

https://edps.europa.eu/sites/edp/files/publication/16-11-07_guidelines_web_services_en.pdf

Dernière mise à jour: 22 octobre 2018Avis juridique