Derniers changements dans les conditions générales de Facebook au 10 février 2011
Facebook a constamment une conciliation à effectuer entre sa volonté de conserver pour elle l’exploitation de la mine d’or de données que génère son utilisation et son intérêt à partager cette exploitation afin de motiver les développeurs à « œuvrer » avec Facebook (en créant des programmes destinés à l’environnement Facebook).

Cette note est destinée aux détenteurs et développeurs de Pages Facebook (“vous”) et tente de cerner le droit d’utilisation des données des utilisateurs qu’accorde Facebook, et notamment les principaux changements des Règles de la Plateforme Facebook dans ce domaine depuis septembre 2010.

Une partie des changements opère simplement une fusion de certaines stipulations disséminées entre, d’une part, (i) les Special Provisions Applicable to Developers/Operators of Applications and Websites et le Statement of Rights and Responsibilities et, d’autre part, (ii) les Règles de la Plateforme Facebook.

Les autres modifications apportent en revanche de nouvelles stipulations en faveur d’une souplesse d’utilisation des données, mais leur monétisation reste en principe fermée.

1. principal changement concernant l’utilisation des données
Les précédentes conditions générales de Facebook stipulaient déjà que :

- Vous devez obtenir le consentement explicite des utilisateurs :

o pour utiliser leurs données autres que les informations basiques du compte (sauf pour l’afficher en retour pour l’utilisateur sur votre application),

o pour conserver leurs données après fermeture de la Page/application (autres que les informations basiques du compte).

· Un nouvel article I. 7. b. (“Special provisions for apps on Pages”) est créé au sein des Règles de la Plateforme Facebook, apportant ainsi d’intéressantes précisions :

[...] I. 7. b. Quand un utilisateur visite votre Page, s’il n’a pas donné son consentement explicite an autorisant votre application Facebook app ou en fournissant directement des informations à votre Page, vous pouvez seulement utiliser les informations obtenues de Facebook et des interactions de l’utilisateur avec votre Page en connexion avec cette Page.
Par exemple, vous ne devez pas combiner des informations de toutes autres sources pour customiser l’expérience de l’utilisateur sur votre Page
et vous ne pouvez pas utiliser toute information sur les interactions de l’utilisateur sur votre Page dans tout autre contexte (tel que les analyses ou les customisations à travers d’autres Page ou sites web).

1.1 Les données sans consentement préalable 
Une interprétation a contrario de cet articme I. 7. B semble accorder un droit d’utilisation des “informations obtenues” de Facebook et des « interactions de l’utilisateur avec cette Page en connexion avec cette Page » sans qu’un consentement explicite soit requis.
Seule l’implication d’informations extérieures à Facebook, autres que des informations obtenues de Facebook, nécessite un consentement explicite.
Toutefois, reste à préciser ce qu’il faut entendre par « informations obtenues de Facebook ». En l’absence de précision, cela pourrait englober non seulement les informations basiques du compte (c’est à dire au 10 février 2011 : nom, email, sexe, date de naissance, ville de résidence, et photo du profil URL), mais également « toutes données obtenues de Facebook (c’est à dire « toutes données obtenues à travers l’usage de Facebook API, incluant les données agrégées, anonymes ou dérivées (article II 6).

Au regard du droit français (et de la plupart des autres droits) et des Règles de la Plateforme Facebook (II 3), vous devez informer l’utilisateur de l’utilisation projetée de ses données et obtenir sa permission en lui demandant de confirmer son acceptation des conditions de protection de la vie privée avant la collecte et l’utilisation de ses données.

Dès lors, pourquoi le nouvel article I. 7. b. des Règles de la Plateforme Facebook décharge le titulaire de la Page d’avoir à recueillir le consentement de l’utilisateur ?

Parce que l’utilisateur a déjà donnée son consentement en créant son compte Facebook et lorsqu’il a approuvé les options générées par Facebook en interagissant avec la Page pour autoriser la transmission de ses informations. Des pop-ups standardisés demandent à l’utilisateur son autorisation pour que le titulaire de la Page ait accès à ses informations collectées par Facebook et à toutes autres informations renseignées sur la Page. Il appartient à l’utilisateur de les accepter ou de renoncer à utiliser la Page.

1.2 Les données nécessitant un consentement préalable 
De plus, toujours a contrario, il semble possible de “combiner des informations de toute autre source pour customiser l’expérience de l’utilisateur sur votre Page et [...] utiliser toute information sur les interactions de l’utilisateur avec votre Page dans tout autre contexte (telle que analyses ou customisation à travers plusieurs Pages ou sites web) », à conditions d’avoir recueilli préalablement le consentement de l’utilisateur.

Par cette clause, Facebook autoriserait l’exploitation d’informations obtenues de la Page dans d’autres contextes que Facebook (analyses, customisation avec d’autres sites).

Il convient de passer au crible les restrictions stipulées dans les autres Règles de la Plateforme Facebook révisées. Celles-ci sont résumées ci-après.

2. Stipulations spéciales concernant L’utilisation des données 
2.1.1 10 règles Facebook sur l’exploitation des données
Les restrictions applicables aux Développeurs et opérateurs d’applications et sites web (« vous ») peuvent être relevées et résumées dans les 10 règles suivantes :

- Vous ne demanderez que les données dont vous avez besoin pour opérer votre application (II – 1).

- Vous ne vendrez aucune donnée. Si vous faites l’objet d’une acquisition ou d’une fusion par un tiers, vous pouvez continuer à utiliser les données au sein de votre application, mais vous ne pouvez transférer les données en dehors de votre application (II – 9).

- Vous ne transférerez aucune donnée reçue de Facebook (directement ou indirectement), y-inclus les données des utilisateurs ou la Facebook User ID, à – ou n’utiliserez ces données en relation avec – tout réseau de publicité, plateforme publicitaire, courtier de données, ou tout autre instrument de publicité ou de monétisation, même si un utilisateur consent à un tel transfert ou utilisation. Par toute donnée, il faut entendre toute donnée obtenue à travers l’usage de Facebook API, incluant les données agrégées, anonymes ou dérivées (II – 6).

- Vous devez obtenir le consentement explicite des utilisateurs pour :

o utiliser et conserver après fermeture de la Page/application leurs données autres que les informations basiques du compte [et les interactions de l’utilisateur avec votre Page en connexion avec cette Page (sauf pour l’afficher en retour pour l’utilisateur sur votre application)] (II 5 ; I 7 b).

o combiner des informations de toutes autres sources pour customiser l’expérience de l’utilisateur sur votre Page et utiliser toute information sur les interactions de l’utilisateur sur votre Page dans tout autre contexte (tel que les analyses ou les customisations à travers d’autres Page ou sites web) (I 7 b).

- Vous effacerez toutes les données que vous recevez de Facebook concernant un utilisateur si cet utilisateur vous le demande, et vous fournirez un mécanisme facilement accessible pour les utilisateurs pour faire une telle requête. Facebook peut vous demander de supprimer les données reçues de Facebook API si vous violez ses termes (II 12).

- Vous n’inclurez pas de données que vous recevez de Facebook concernant un utilisateur dans toute création publicitaire, même si l’utilisateur consent à cet usage (II 13).

- Vous pouvez conserver sur une mémoire « cache » les données que vous recevez à travers l’usage de Facebook API afin d’améliorer l’expérience de l’utilisateur de votre application (II 2).

- Vous n’utiliserez pas la Facebook User IDs pour tout autre but en dehors de votre application (à l’exception des intermédiaires techniques nécessaires au fonctionnement de l’application avec une obligation contractuelle de confidentialité) (nouvelle stipulation).

Si vous avez besoin d’un identifiant anonyme et unique pour partager en dehors de votre application avec des tiers tels que partenaires pour le contenu, publicistes, ou réseaux publicitaires, vous devez utiliser le mécanisme de Facebook. Vous ne devez jamais partager cet identifiant unique et anonyme avec un courtier publicitaire, courtier en information, ou tout autre service que Facebook pourrait définir comme tel à sa seule discrétion (nouvelle stipulation) (II 7).

Amis :

- Les données relatives aux amis des utilisateurs ne peuvent être utilisées que dans le contexte de l’expérience de l’utilisateur sur votre application (II 4).

- Vous ne pouvez pas utiliser une liste d’amis d’un utilisateur en dehors de votre application, même si l’utilisateur consent à cette utilisation,
mais vous pouvez utiliser des connexions entre les utilisateurs qui se sont chacun connectés à votre application (II 11).

Il est à relever également que, de plus, la clause suivante a été supprimée des conditions Facebook :

Vous ne devez pas utiliser des données d’utilisateur que vous recevez de notre part ou collectez à travers une publicité,y-inclus les informations que vous dérivez de votre critère cible (« including information you derive from your targeting criteria »), pour tout but hors de Facebook, sans le consentement explicite de l’utilisateur.

Cette suppression, sans remplacement ailleurs, semble confirmer plus avant que l’utilisation de données “hors de Facebook”, même avec le consentement de l’utilisateur, n’est pas permise.

Enfin, une règle nouvelle peut être citée : “les applications des Pages ne doivent pas héberger des media dont la lecture est automatique, sans l’interaction de l’utilisateur ” (art. I. 7. A).

2.2 Conclusion : que pouvez-vous faire en définitive avec les données des utilisateurs ?
En prenant en compte ces 10 règles Facebook destinées aux développeurs et annonceurs, l’interprétation correcte du nouvel art. I. 7. b. apparaît être confirmée :

- Sans consentement : Vous pouvez utiliser les données obtenues de Facebook et de l’intéraction de l’utilisateur avec votre Page en connexion avec cette Page pour customiser l’expérience de l’utilisateur sur votre Page.

- Avec consentement : Vous pouvez

o combiner des informations avec d’autres sources pour (customiser l’expérience de l’utilisateur sur votre Page) et

o utiliser une information sur toute interaction de l’utilisateur avec votre Page dans tout autre contexte (tel que analyses ou customisation à travers d’autres Pages ou sites web).

Cependant, vous ne pouvez directement monétiser ces informations. Si des contournements étaient imaginés, nul doute que de nouvelles stipulations de Facebook viendraient les empêcher.