La U.S. Federal Trade Commission (FTC), l’agence fédérale américaine indépendante en charge de la protection des consommateurs et de la concurrence, a signé un accord avec Facebook vendredi 12 juillet 2019, portant sur la mauvaise gestion des informations personnelles de ses abonnés.

En particulier, pour avoir autorisé la société Cambridge Analityca, une entreprise de conseil britannique ayant consulté pour la campagne présidentielle de Donald Trump, à collecter les informations personnelles de ses utilisateurs.

Une violation de l’accord de 2011 avec la FTC, signé après que l’entreprise fut accusée d’avoir trompé les gens sur la façon dont leurs données étaient traitées, et qui exigeait que l’entreprise corrige ses pratiques sur la vie privée.

L’accord, qui doit encore être validé par le ministère de la Justice dans les prochaines semaines, prévoit :

  • Une amende de 5 milliards de dollars (4,4 milliards d’euros), la plus grosse amende infligée à une entreprise de technologie par cette agence ;
  • Une supervision plus stricte des traitements des informations personnelles.

Aucune disposition ne prévoit toutefois d’imposer de strictes limites à la capacité de Facebook de collecter des données personnelles et de les partager avec des organisations tierces.

Ce qui expliquerait l’opposition des démocrates – l’accord a été voté par 3 voix contre 2.

Dans ces conditions, les critiques estiment que Facebook s’en tire trop bien, sans des exigeances suffisamment substantielles pour changer sa conduite, et que l’amende équivaut à une amende de stationnement.

Facebook engrange 5 milliards de profits en moins de trois mois, et dispose d’un trésor de guerre de 40 milliards de dollars (35,5 milliards d’euros).

Dans tous les cas, cette amende est bien plus élevée que les quelques nano-amendes qui lui ont été infligées en Europe, où l’inaction presque totale de la Data Protection Commission de l’Irlande empêche l’ensemble des Européens d’obtenir justice depuis plus de dix ans.

Dans ces conditions, il nous semble que la législation européenne, qui prévoit que l’agence de protection des données en charge d’un dossier pour toute l’Europe est celle de l’État membre dans lequel une filiale étrangère possède son siège social, devrait être changée.

Au bout d’une période d’inaction prédéfinie (1 an ?) le dossier devrait lui être retiré et confié à l’agence de protection des données d’un autre État membre, qui n’a pas de conflit d’intérêts avec une entreprise qui investit et qui paie la majeure partie de ses taxes pour ses activités en Europe.