Facebook et l’extraterritorialité

Des individus du monde entier utilisent quotidiennement les sites Web tels que Facebook, MySpace, Twitter, Dailymotion, etc. Ces derniers sont également utiles aux entreprises pouvant y promouvoir leurs produits, comme dans le cas de Facebook et du service Ads permettant la création de publicités ciblées au travers du réseau social.

Des individus du monde entier utilisent quotidiennement les sites Web tels que Facebook, MySpace, Twitter, Dailymotion, etc. Ces derniers sont également utiles aux entreprises pouvant y promouvoir leurs produits, comme dans le cas de Facebook et du service Ads permettant la création de publicités ciblées au travers du réseau social.

Plusieurs réseaux sociaux – dont Facebook – sont offerts par des sociétés américaines établies en Californie. Ce qui, d’un point de vue juridique, n’est pas sans signification au niveau du droit applicable et, concrètement, de “l’état d’esprit” des fournisseurs de ces réseaux, habitués à une culture juridique parfois substantiellement différente de la nôtre (e.g. en matière de protection des données).

Le cas Facebook est un “laboratoire” intéressant pour étudier la protection des données dans un contexte international – Directive 95/46 en droit communautaire, loi “vie privée” en Belgique. Des traitements de données à caractère personnel y sont en effet massivement réalisés en permanence. Or, la question du droit applicable à la société Facebook en cette matière se pose avec une certaine acuité. A priori, les utilisateurs du réseau lui communiquant spontanément de telles données, Facebook semble soumise au régime des flux transfrontières de données à caractère personnel. Elle a d’ailleurs volontairement adhéré aux Safe Harbor Principles (droit américain) et arbore le label de TrustE, organisme privé veillant au respect des engagements de Facebook en matière de privacy. La société Facebook entend donc être soumise au droit américain.

Toutefois, l’article 4 de la Directive 95/46 commande de se demander dans quelle mesure les offices européens de Facebook ne peuvent pas entraîner l’applicabilité intégrale (1) du droit national de certains Etats membres à certains traitements de données à caractère personnel dont la société Facebook est responsable. La Directive commande en effet à un Etat membre d’appliquer son droit national de protection des données lorsque le traitement de données a lieu dans le contexte des activités menées par un “établissement” du responsable dudit traitement situé sur le territoire de cet Etat-membre. Ce concept d’établissement nécessite la réunion de moyens (humains et techniques) et l’exercice effectif d’une activité économique au moyen d’une implantation stable, pour une durée indéterminée. Par contre, sa forme juridique est sans importance, un simple bureau géré par le propre personnel du responsable de traitement étant suffisant. Or, il apparaît que les bureaux parisien, londonien, suédois et italien de Facebook soient engagés dans le support à l’activité publicitaire du site tandis que l’implantation de Dublin paraît plus impliquée dans le fonctionnement technique du réseau social. Dans tous les cas, rien ne semble s’opposer à leur qualification comme ‘établissement’ de Facebook Inc.

Par rapport à un traitement de données dont Facebook est responsable – pensons aux traitements réalisés aux fins de publicité ciblée -, il faut donc préciser dans quelle mesure celui-ci pourrait avoir lieu dans le contexte des activités d’un des bureaux précités afin de déterminer si la législation d’un Etat membre s’y applique. Cela nécessiterait le cas échéant – et non sans difficultés – d’établir une distinction entre les activités desdits établissements et celles de la société Facebook Inc. Le traitement de données réalisé dans le contexte des activités du bureau londonien – données des clients s’adressant à ce bureau, du personnel, etc.- sera par exemple soumis à la réglementation anglaise transposant la Directive 95/46.

La problématique se pose de manière similaire en prenant en compte les “moyens” (serveurs, ….) qui seraient utilisés sur le territoire communautaire aux fins d’un traitement de données, auquel l’Etat-membre concerné doit appliquer sa réglementation audit traitement. Les établissements de Facebook pourraient être considérés comme de tels “moyens”. Mais, une fois encore, il faudrait identifier leur implication dans le traitement de données en cause. Les traitements réalisés via certains cookies pourraient également être soumis à l’intégralité du droit d’un Etat-membre. Notons qu’en cas d’application de cette disposition, Facebook devrait désigner un représentant établi sur le territoire de l’Etat-membre concerné.

Jean-Philippe MoinyAspirant du F.R.S. – FNRS, CRID, FUNDP.La présente “Opinion” est une formulation quelque peu vulgarisée d’une partie d’un article plus juridique, à paraître en 2010 dans la Revue Européenne de Droit de la Consommation (R.E.D.C.). Jean-Philippe Moiny y traite d’autres aspects intéressant la présence et les activités de Facebook en Europe, notamment de la responsabilité en matière de traitements ultérieurs des données à caractère personnel transférées par les utilisateurs du réseau social eux-mêmes, ainsi que de l’éventuelle soumission des utilisateurs de Facebook au champ d’application de la Directive.