Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Alexandra Ruiz et Vincent Hinderer, consultants sécurité chez Lexsi : Facebook, je t’aime moi non plus !

juin 2014 par Alexandra Ruiz et Vincent Hinderer, consultants sécurité chez Lexsi

En 10 ans, Facebook est devenu plus qu’un simple réseau social. C’est un outil dont beaucoup de personnes ne peuvent aujourd’hui plus se passer. L’importance du réseau se manifeste tous les jours. Un exemple parmi d’autres : le cofondateur de Vimeo, Zach Klein, ayant oublié sa carte d’identité alors qu’il allait prendre vol interne aux Etats-Unis, a montré son profil Facebook pour justifier de son identité [1].

La conservation (et propriété !) par Facebook d’une quantité phénoménale d’informations précises sur les membres du réseau inquiète en revanche de plus en plus d’utilisateurs (et d’autorités).

Max Schrems : David contre Goliath des temps modernes

Max Schrems, étudiant en droit autrichien de 27 ans, a décidé de se battre contre le géant américain. Il a déposé pas moins de 22 plaintes auprès de la « CNIL irlandaise ».

En 2011, il a demandé l’historique de son profil Facebook et a reçu un PDF de 1222 pages contenant toutes ses informations, y compris celles supprimées.

En juillet 2013, le Commissaire à la Protection des Données de l’Irlande a rejeté le recours intenté par Schrems contre Facebook et Apple, dans le cadre de l’affaire PRISM. Ces entreprises étant certifiées « Safe Harbor », elles ne peuvent être contraires à la directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Mais Schrems a porté l’affaire devant la cour suprême et le verdict sur le refus d’investiguer plus avant le cas par la « CNIL irlandaise » est tombé hier. Et la justice irlandaise renvoie la balle vers la Cour de Justice européenne, car elle estime que la question doit être traitée au niveau communautaire [2].

Dans les données que conserve le réseau Facebook se trouvent aussi les données de géolocalisation. En effet, un utilisateur non averti n’enlèvera pas souvent la géolocalisation effectuée par son application et laisse donc Facebook prendre connaissance de ses déplacements. De même, tout ce qui a été écrit (même si non publié) est conservé [3]…

Faire supprimer un contenu préjudiciable : Oui mais…

Vu qu’un artiste danois a été temporairement exclu de Facebook pour avoir publié le tableau « L’origine du Monde » de Courbet et, de fait, avoir enfreint les règles du réseau social sur la nudité, on pourrait penser que Facebook était un réseau très sûr où l’on peut naviguer sans jamais rencontrer de contenu choquant . Mais ce n’est pas vraiment le cas… Un grand nombre de groupes / profils / pages restent actifs avec des contenus beaucoup plus controversés.

Les contenus supprimés le sont, en général, suite à une dénonciation. En revanche, la liste des contenus interdits est plutôt réduite [4]. Toutefois, Facebook a passé des accords autorisant le réseau, sans attendre l’intervention d’un juge, à livrer certaines informations concernant les profils ou messages pouvant représenter un danger pour la vie humaine. De plus, le réseau facilite l’intervention des autorités par la suppression plus rapide des contenus litigieux et l’identification de leurs auteurs.

Outre les contenus « prohibés », il est impossible de faire supprimer des photos de soi ou des messages déplaisants. En effet, Facebook propose de ne plus afficher la publication dans le fil d’actualité, d’envoyer un message à la personne auteur de la publication ou de retirer la personne de sa liste d’amis. Mais dans tous les cas, la publication ne sera pas supprimée. La personne « victime » ne pourra même plus voir ce qui est dit sur lui ni si d’autres atteintes à sa réputation sont perpétrées [5].

Il existe aussi un formulaire de signalement pour les personnes ne disposant pas d’un compte Facebook, mais il est précisé « Si vous ne pouvez pas voir le contenu que vous souhaitez signaler, vous pouvez demander à un(e) ami(e) de le retrouver. » Après le 50/50 qui cache juste pour l’individu les contenus qu’il ne veut pas voir, l’appel à un ami…

D’ailleurs, même si vous n’avez pas de compte Facebook, eux disposent potentiellement d’un « profil » sur vous [6] (par exemple à des fins de suggestions entre vos amis communs ou pour le jour où vous succomberez aux sirènes du réseau ;-).

Une action en référé contre un contenu non désiré ou illicite peut néanmoins être envisagée pour faire cesser une atteinte. L’avocat n’est ici pas obligatoire, mais il est judicieux d’obtenir les conseils de spécialistes. La constitution d’un dossier de preuves peut nécessiter de faire appel à des experts définissant si l’atteinte est réelle ou non et donnant les conseils adaptés. Bien que les juges français se soient octroyés la compétence de juger des affaires concernant Facebook [7], aucune sanction n’a encore été prononcée à son encontre pour des cas de suppression abusive.

Et dans l’entreprise ?

Il peut être utile de rappeler en préambule que les conditions d’utilisation de Facebook imposent aux entreprises de créer des Pages et pas des Profils sous peine de voir ces derniers être supprimés purement et simplement. Donc attention notamment à ne pas exploiter un Profil Facebook comme une plateforme de démarchage ou un réseau social d’entreprise à la « Yammer » : le réveil pourrait être brutal (même si peu d’interventions ont été identifiées de la part de Facebook à ce stade).

Par ailleurs, il faut désormais un Profil pour créer une Page, donc attention à ne pas utiliser pour ce faire un compte personnel déjà existant d’un salarié, mais plutôt de recréer un nouveau Profil dédié à la gestion des Pages et bien maîtrisé par la société.

Vous vous amusez bien à ce que je vois…

Les recruteurs ainsi que les employeurs regardent les profils sur les réseaux sociaux. Cette évidence est confortée par une étude du site américain Jobvite.com. Les cinq éléments qui rebutent le plus les recruteurs sont :

§ Référence aux drogues : 78%

§ Message à connotation sexuelle : 66%

§ Jurons et insultes : 61%

§ Fautes d’orthographe et de langue : 54%

§ Consommations excessives d’alcool : 47%

Tous ces éléments peuvent être disponibles avec une simple recherche de profil. Les profils personnels sont bien trop souvent mal configurés et laissent aux yeux de tous des informations peu élogieuses.

Aux Etats Unis, les employeurs ont trouvé encore plus simple pour surveiller leurs salariés. Ils leur demandent directement leur mot de passe. Des députés ont cherché à faire interdire cette pratique, mais les membres de la Chambre des représentants ont rejeté l’amendement visant à l’interdire [8].

Outre les embauches ratées, on constate également des licenciements dus aux réseaux sociaux. Le plus célèbre est celui de Kevin Colvin. Ce jeune anglais avait prétexté une urgence familiale pour s’absenter. Malheureusement, une photo de lui à une soirée d’Halloween publiée sur Facebook aura eu raison de son emploi.

De plus, la connexion trop fréquente à des sites communautaires pendant les heures de travail peut justifier un licenciement. C’est ce qu’a déclaré la Cour d’Appel de Pau le 13 juin 2013 en confirmant le licenciement d’un salarié se connectant quasi quotidiennement à ces sites.

Bonne nouvelle, Facebook a quand même pu venir en aide à des employés licenciés. Ce fut le cas d’une vendeuse licenciée qui a prouvé l’existence de son contrat de travail grâce à des messages publiés sur le profil de son employeur la qualifiant de « sa vendeuse ». [9]

… Et tout ce que vous postez pourra être retenu contre vous

Les cas de licenciement à cause de propos tenus par des salariés sur Facebook ont alimenté l’actualité dès 2010, puis sont devenu plus discrets sans pour autant totalement disparaitre. Le caractère nouveau du réseau social s’est atténué, mais pas les dérives.

Dans un arrêt du 10 avril 2013, la Chambre civile de la Cour de cassation a cassé l’arrêt de la cour d’appel de Paris en déclarant que les propos diffusés sur les comptes Facebook et MSN de l’ex-salariée, « n’étaient accessibles qu’aux seules personnes agréées par l’intéressée, en nombre très restreint ». La Cour reprend donc la distinction entre espace public et privé. Pour elle, il faut que les propos ne soient accessibles qu’aux personnes que le salarié a ajouté et que leur nombre soit restreint. Deux conditions qui permettent de supposer d’une « communauté d’intérêt » et d’exclure l’injure publique (sanctionnée de 12 000€ d’amende).

Cependant, s’il n’y a pas injure publique, les propos peuvent être sanctionnés par l’infraction d’injure non publique, punie d’une amende… de 38 €

Pour les Pages, les juges ne se posent pas souvent la question de leur caractère public ou non, puisque l’accès à ces pages l’est généralement. Dans un arrêt rendu le 17 janvier 2012 par le Tribunal Correctionnel de Paris, un salarié a été condamné pour injures publiques à l’égard de son employeur, suite à des propos publiés sur le mur Facebook de son syndicat. Les juges ont considéré que les « expressions utilisées excédaient les limites de la critique admissible, y compris lorsqu’elle s’exerce dans un cadre syndical par l’utilisation de mots ou de termes insultants ou injurieux voire vexatoires ».

Pour sa défense, le salarié expliquait que ces propos avaient été postés dans un contexte tendu, un jour après le suicide à son domicile d’une collègue de travail sur lequel la société avait refusé d’ouvrir une enquête pour rechercher des causes professionnelles. Bien que la condamnation ai été clémente (amende de 500€ avec sursis et 1€ symbolique de dommages et intérêts), cet arrêt précise les limites de la liberté d’expression et trace en partie la ligne de partage entre communication publique et correspondance privée.

La vie du département juridique de Facebook n’est en tout cas pas un long fleuve tranquille, puisque de nombreuses plaintes et/ou actions en nom collectif sont régulièrement initiées. Celles-ci ont par le passé forcé le réseau à stopper des pratiques commerciales, changé des règles de protection des données voire payé des amendes ou règlements à l’amiable salés [10].


[1].http://au.ibtimes.com/articles/531780/20131226/facebook-profile-airline-travel-tsa-zach-klein.htm#.U6FHHY1_sWk

[2].http://europe-v-facebook.org/EN/en.html

[3].http://datanews.levif.be/ict/actualite/facebook-conserve-tout-ce-que-vous-tapez-meme-si-vous-ne-le-publiez-pas/article-4000476030661.htm

[4].https://fr-fr.facebook.com/communitystandards

[5].http://fr-fr.facebook.com/help/212722115425932

[6].http://europe-v-facebook.org/Compalint_02_Shadow_Profiles.pdf

[7].http://www.numerama.com/magazine/22290-facebook-juge-en-france-pour-la-fermeture-d-un-compte.html

[8].http://www.huffingtonpost.fr/2013/04/22/mot-de-passe-facebook-amendement-cispa_n_3130503.html

[9].http://tabaka.blogspot.fr/2013/02/facebook-nouvelle-modalite-de-preuve.html

[10].http://www.zdnet.com/facebook-turns-user-tracking-bug-into-data-mining-feature-for-advertisers-7000030603/


Voir les articles précédents

    

Voir les articles suivants