données utilisateurs
Produits et Services PRODUITS & SERVICES

Facebook : des progrès concernant l’utilisation des données utilisateurs ?

L’utilisation des données utilisateurs par Facebook a toujours été au centre des débats. Il semble que l’introduction en bourse ait permis d’améliorer la politique de protection des données mais...? L'ancien responsable de la confidentialité de Facebook et directeur des opérations, Sandy Parakilas s'est exprimé sur ce sujet.

Jusqu’en septembre 2017, lorsque Facebook a remis au Congrès des informations sur des milliers d’annonces de propagande propagées par une ferme à trolls russe, pour semer un chaos politique, le CEO Mark Zuckerberg a rejeté l’idée que des fake news sur Facebook avaient influencé l’élection de l’an dernier. C’est “une idée assez folle”, avait-il déclaré, moqueur.

Oui, car il dirait certainement que, selon l’ancien responsable des problèmes de confidentialité de Facebook et directeur des opérations, Sandy Parakilas : Facebook se moque de la protection de ses utilisateurs contre les potentiels abus.

Ce qui l’intéresse, c’est la collecte de données utilisateurs qu’il peut vendre aux annonceurs, a-t-il déclaré dans un article d’opinion cinglant publié par le New York Times lundi dernier.

De l’intérieur, j’ai vu une entreprise qui avait défini comme priorité la collecte de données utilisateurs, et non la protection de ces derniers contre les abus. Alors que le monde s’interroge sur les suites à donner concernant Facebook et son rôle dans les ingérences électorales en Russie, il faudrait plutôt prendre en compte le passé. Les législateurs ne devraient pas permettre à Facebook de s’autoréguler, car il ne le fera jamais.  

L’éditorial s’intitulait “Nous ne pouvons pas faire confiance dans la capacité d’autorégulation de Facebook” et résumait l’opinion de Parakilas : à savoir une opinion forgée par la gestion des efforts déployés par Facebook, pour résoudre les problèmes de confidentialité sur sa plateforme de développement en 2011 et 2012, ayant abouti à son introduction en bourse en 2012.

Vous ne payez pas pour votre compte Facebook, du moins pas d’un point de vue financier, mais bien sûr, vous payez lorsque vous interagissez avec lui : c’est à ce moment-là que vous devenez le produit qui est vendu aux marketers. Selon M. Parakilas, Facebook compte plus d’un milliard de visiteurs par jour : il n’est pas étonnant qu’il se soit transformé en un monstre de 500 milliards de dollars au cours des cinq dernières années, depuis son introduction en bourse.

Etant donné que ce modèle est alimenté par des données utilisateurs pour gagner de l’argent, à moins de voir les régulateurs réagir ou une foule d’utilisateurs en colère brandir des torches enflammées et des gros titres outrageants, Facebook ne se souciera jamais de vos données. Il a déclaré :

Plus le réseau social offre des données, plus il crée de la valeur pour les annonceurs. En résumé, il n’a aucun intérêt à contrôler la collecte ou l’utilisation de ces données utilisateurs, sauf lorsque la presse ou les régulateurs sont impliqués. Facebook est libre de faire presque tout ce qu’il veut avec vos informations personnelles, et n’a aucune raison de mettre en place des protections.  

Parakilas mentionne l’âge d’or des jeux sociaux addictifs qui ont prospéré sur la plateforme développeurs de Facebook : pensez à Farmville et Candy Crush (rappelez-vous toutes ces invitations exaspérantes et incessantes en provenance d’amis, qui vous ont donné envie de jeter votre ordinateur dans un bain moussant avec le cordon d’alimentation ? Oui, ces années-là !).

Les utilisateurs n’ont pas eu à payer pour ces jeux addictifs, sauf avec leurs données, bien sûr !

Le problème était qu’il n’existait aucune protection autour de ces données, déclare Paralikas. Les données utilisateurs ont circulé via Facebook jusqu’aux mains avides des développeurs, et Facebook n’a pas fait grand-chose pour empêcher tout abus qui aurait pu se produire par la suite. Non rien, jusqu’à ce que l’introduction en bourse se rapproche et que les médias commencent à se plaindre sur la façon dont les données étaient “mal-utilisées”, a déclaré Paralikas. C’est à ce moment qu’il a été obligé de traiter le problème.

Il a conclu que le problème, dirons-nous, n’était pas suffisamment sur le devant de la scène. En fait, personne chez Facebook ne contrôlait les développeurs. Paralikas déclare qu’à un moment donné, il semblait qu’un développeur utilisait des données Facebook pour générer des profils d’enfants, sans leur consentement. La réponse du développeur de l’application : nous ne violons pas les politiques de Facebook sur l’utilisation des données ! La découverte de Paralikas : il s’agissait d’une revendication invérifiable, parce que personne ne contrôlait les développeurs et comment ils utilisaient les données. “Nous n’avions aucun moyen de confirmer si cela était vrai”, a-t-il déclaré.

Une fois que les données avaient été transmises de la plateforme vers un développeur, Facebook n’avait aucune vision sur les données, ni aucun contrôle sur ces dernières. Dans d’autres cas, les développeurs avaient demandé la permission d’obtenir des données utilisateurs dont leurs applications n’avaient manifestement pas besoin, comme un jeu social exigeant toutes vos photos et messages. Les utilisateurs lisent rarement les formulaires de demande d’autorisation, autorisant ainsi souvent l’accès à des informations sensibles sans s’en rendre compte.  

L’attitude de Facebook à l’égard de la protection de la vie privée s’est-elle améliorée depuis que Parakilas y a travaillé, et que l’entreprise a été introduite en bourse ?

Peut-être, mais en septembre 2017, Facebook a été condamné à payer une amende pour atteinte à la vie privée en raison de ses faux pas.

L’Espagne a condamné Facebook à hauteur de 1,2 million d’euros pour violation de la vie privée : l’autorité de régulation espagnole, AEPD, a déclaré que le géant des réseaux sociaux n’avait pas obtenu le consentement de l’utilisateur pour la collecte, le stockage et l’utilisation des données publicitaires, et avait découvert 2 infractions sérieuses et une infraction très sérieuse.

L’amende totale de 1,2 million d’euros était composée de 600 000 euros pour l’infraction très sérieuse plus deux amendes de 300 000 euros pour les deux autres infractions.

L’AEPD a indiqué que Facebook avait gardé les informations pendant plus de 17 mois après la fermeture des comptes et que “le réseau social utilisait des données spécifiquement protégées à des fins publicitaires, entre autres, et ce sans obtenir le consentement des utilisateurs, comme l’exige la loi sur la protection des données, donc une infraction grave”.

En résumé, quelle est la situation aujourd’hui ? Facebook est-il aussi mauvais qu’en 2011?

Indépendamment des progrès réalisés ou non, Paralikas a-t-il raison de dire que l’on ne peut pas faire confiance à Facebook pour s’autoréguler, afin que la Russie ne l’utilise pas comme rampe de lancement pour diffuser des fake news ?

Quel est votre opinion à ce sujet ?


Billet inspiré de Ex-Facebook privacy manager dishes the dirt on your data, sur Sophos nakedsecurity.