Site icon Sophos News

Partage de données personnelles sans le consentement des utilisateurs : Facebook dément

partage de donnees

Cette semaine, Facebook a contre-attaqué suite à des articles parus dans la presse qui évoquaient l’existence d’un réseau, plutôt étendu, de partenariats privilégiés visant à permettre le partage des données entre la plateforme sociale et d’autres grandes entreprises.

Ces relations bilatérales ont permis à des entreprises telles qu’Amazon, Netflix, Microsoft et Spotify d’échanger des données utilisateur, ce qui les a aidées, ainsi que Facebook, à en savoir davantage sur leurs utilisateurs, souvent sans que ces derniers en soient informés. Cet accès a également été offert à des entreprises d’autres secteurs, allant de la finance à l’industrie automobile.

Le New York Times a expliqué qu’il existait plus de 150 partenariats de ce type, à tel point que le géant des réseaux sociaux a eu besoin d’un outil technologique pour pouvoir assurer un suivi adéquat de ces derniers. Certaines des transactions ont soulevé des problèmes de confidentialité en raison des données personnelles échangées, a indiqué le journal.

Le partage de données s’est fait dans les deux sens. Les partenaires pouvaient non seulement consulter des données comprenant les coordonnées des amis des utilisateurs en question et certains messages privés, mais Facebook recevait également des données sur les individus en provenance de ces mêmes entreprises :

Parmi les informations révélées, Facebook a obtenu des données de la part de plusieurs partenaires pour alimenter un outil de suggestion d’amis, très controversé, et appelé “Vous pouvez connaissez peut-être …”.  

Cette histoire met en lumière un modèle de mise en relation que Facebook avait déjà annoncé en 2010 lors de la conférence F8. Appelée “personnalisation instantanée”, elle permettait le partage de données des utilisateurs de Facebook avec d’autres sites web pour aider ces derniers à personnaliser l’expérience d’un internaute, lorsque celui-ci visitait ces sites en question. L’entreprise a stoppé la fonctionnalité de personnalisation instantanée, qui partageait des données publiques, mais cette dernière histoire relatée par le New York Times met en évidence l’un des nombreux liens documentés et existants entre Facebook et certaines entreprises, et ce bien au-delà de cette simple fonctionnalité.

Dans certains cas, ces relations ont persisté jusqu’à cette année. En juin dernier, Reuters a révélé des partenariats au niveau du partage de données entre Facebook et quatre entreprises, dont Huawei, que le gouvernement américain considère représenter un risque en matière de sécurité.

Dans son article de blog, répondant à l’article en question, Facebook a affirmé qu’il ne révélait aucune information qu’il n’était pas autorisée à partager :

Pour être plus clair : aucun de ces partenariats ou de ces fonctionnalités n’a donné aux entreprises l’accès à des données sans la permission des intéressés, ni n’a violé notre accord passé en 2012 avec la FTC.  

Le décret de consentement découle d’une affaire initiée par la FTC, datant de 2011, visant Facebook et l’accusant de partager des informations que des utilisateurs avaient considérées comme privées. L’accord en question exigeait la fourniture par Facebook d’une …

… notification claire et visible visant à obtenir le consentement exprès des utilisateurs avant que leurs données ne soient partagées au-delà des paramètres de confidentialité qu’ils avaient eux-mêmes définis.  

Selon le Times, les dirigeants de Facebook estiment que ces partenariats ne font pas partie de l’accord. En effet, cet accord considère ces entreprises comme des fournisseurs de services et donc constituent une extension du réseau social. Cependant, le Times a également cité d’anciens responsables de la FTC qui avaient contesté cette idée et avaient estimé que l’entreprise avait sans doute violé l’accord.

La personnalisation instantanée aurait été activée par défaut en 2010, signifiant ainsi que les utilisateurs devaient explicitement la désactiver en se rendant dans les paramètres de confidentialité de la plateforme. Facebook a également expliqué ce qu’il faisait, en des termes d’ailleurs relativement vagues, dans sa politique en matière de données. En janvier 2013, après avoir obtenu son décret de consentement avec la FTC, la politique indiquait que :

Nous utilisons les informations que nous recevons à votre sujet en relation avec les services et fonctionnalités que nous vous fournissons, ainsi qu’à d’autres utilisateurs tels que vos amis, nos partenaires, les annonceurs qui achètent des annonces sur le site et les développeurs qui développent les jeux, les applications et les sites web que vous utilisez. 

La plateforme sociale a mis à jour sa politique en avril, ce qui coïncidait avec la décision de limiter l’accès des développeurs à ses API. La politique clarifie désormais les définitions des entreprises avec lesquelles elle partage des données, ainsi que des données qu’elle partage. L’Entreprise indique également qu’elle prend des mesures supplémentaires pour renforcer l’accès des tiers aux données des utilisateurs.

Hier, dans un autre article de blog, Facebook contestait une autre affirmation, à savoir que les entreprises avaient été en mesure de lire les messages privés des utilisateurs à leur insu. Faux, a déclaré la plateforme sociale. Elle a donné à quatre partenaires, Spotify, Netflix, Dropbox et la Banque Royale du Canada, un accès en lecture/écriture aux messages des internautes, bien sûr, mais uniquement pour pouvoir utiliser Facebook Messenger et indiquer aux utilisateurs ce qu’ils écoutaient sur Spotify, regardaient sur Netflix, envoyaient sous forme de liens vers des dossiers sur Dropbox ou encore la prise en compte de leurs virements bancaires.

Le réseau social a déclaré :

Ces expériences ont été discutées publiquement. Et elles étaient transparentes pour les utilisateurs et disponibles uniquement lorsque ces derniers se connectaient aux services de Facebook en question. 

En dépit des explications fournies selon lesquelles la plateforme ne violait aucun accord juridique ni aucun droit d’utilisateur, Facebook a, néanmoins, fait son mea culpa dans son premier article de blog :

Nous reconnaissons toutefois que nous avons besoin d’une gestion plus stricte de la manière dont les partenaires et les développeurs peuvent accéder aux informations à l’aide de nos API. Nous sommes déjà en train de passer en revue toutes nos API et tous les partenaires qui peuvent y accéder.  

Facebook a ajouté :

Nous n’aurions pas dû laisser les API en place après avoir arrêté la personnalisation instantanée.  

Pour résumer de manière simple : Facebook a un très long chemin à parcourir s’il espère regagner la confiance de nombreux utilisateurs !


Billet inspiré de Facebook denies sharing private messages without user knowledge, sur Sophos nakedsecurity.

Exit mobile version