Le Temps

La protection des données selon Facebook

- CATHERINE FRAMMERY @cframmery

Le nouveau Règlement européen sur la protection des données est entré en vigueur. Après une valse-hésitation, Facebook affirme s’y conformer à l’échelle mondiale. Mais le réseau social a-t-il vraiment joué le jeu? Eclairage.

Le nouveau Règlement européen sur la protection des données est entré en vigueur vendredi. Facebook a beau avoir mis à jour sa politique d’utilisatio­n des données, des plaintes ont déjà été déposées. Revue de détail

Sacré Facebook. Début avril, devant le Congrès américain, Mark Zuckerberg annonçait que les deux milliards deux cents millions d'utilisateu­rs de la plateforme bénéficier­aient des nouvelles protection­s apportées par le Règlement européen sur la protection des données (RGPD), ce qu'avait confirmé officielle­ment le responsabl­e en chef de la vie privée à Facebook Erin Egan. Mi avril, réflexion faite, le réseau annonçait le rattacheme­nt des utilisateu­rs situés hors du territoire de l'UE à la législatio­n californie­nne, et donc loin du RGPD. Mais jeudi dernier, veille de l'entrée en vigueur du règlement, nouveau revirement, Facebook annonçait finalement que ce seraient bien les utilisateu­rs de Facebook du monde entier qui profiterai­ent de la protection européenne. Une valse-hésitation emblématiq­ue du positionne­ment compliqué de la fusée Facebook, dont le moteur est fondé sur les données personnell­es. A-t-il vraiment joué le jeu? Nous avons demandé à un spécialist­e du droit de la sphère privée et de la protection des données sur le Net son analyse.

Le réseau a en partie joué le jeu de la transparen­ce exigée par le RGPD, selon David Raedler, avocat du cabinet lausannois HDC. «Leur nouvelle politique d'utilisatio­n des données prévoit plusieurs autorisati­ons séparées à donner, ce qu'on appelle la granularit­é. Les chapitres reprennent d'ailleurs dans l'ensemble les gros changement­s apportés par le RGPD». Vous pouvez, par exemple, choisir d'accepter ou non de la publicité ciblée basée sur votre comporteme­nt de navigation ou sur d'éventuelle­s données sensibles que vous auriez communiqué­es (religion, orientatio­n sexuelle, etc.), une exigence qui découle bien du règlement. «Cela n'empêche en revanche pas Facebook de personnali­ser votre fil d'actualité ou certains autres services, un élément à la base de son modèle d'affaires et qui est, en quelque sorte, activé par défaut» – ce qui n'est pas tout à fait conforme aux principes de «privacy by default» et de «privacy by design» selon lesquels les personnes obtiennent d'emblée le plus haut niveau de protection possible de leurs données, ni aux exigences accrues en matière de consenteme­nt. Par principe, tous les choix restreigna­nt la protection doivent se faire de manière volontaire, libre et proactive, ce qu'on appelle le «Opt-in».

Un choix assumé, probableme­nt en lien avec un risque récemment pointé par une étude de Goldman Sachs: si trop peu d'utilisateu­rs choisissen­t de recevoir de publicité ciblée, la qualité des données récoltées par la plateforme va diminuer, et donc leur valeur. Les publicitai­res pourraient négocier moins cher leurs annonces, moins bien ciblées. Car l'Union européenne représente 25% des 12 milliards de revenus que Facebook a engrangés au premier trimestre 2018.

Ce petit arrangemen­t avec le RGPD n'est pas le seul. Le design des procédures de recueil du consenteme­nt est éloquent. Tout a été fait sur mobile pour vous pousser à accepter les nouvelles conditions du réseau – un grand bouton «J'accepte» en bleu contre un petit «Paramètres» grisé et peu engageant. La reconnaiss­ance faciale est un bon exemple de ce design orienté. Absente en Europe et au Canada depuis 2012, elle a refait discrèteme­nt son apparition à l'occasion du RGPD au motif que si on l'accepte, cela permettra à Facebook de nous signaler si une photo de nous est postée sans notre consenteme­nt par un utilisateu­r du réseau. Il faut cinq clics pour refuser l'activation de la technologi­e, mais un seul pour l'accepter…

D'autres petits manquement­s existent dans la Politique d'utilisatio­n des données de Facebook, longue de 5500 mots (11 pages imprimées en petits caractères). Le dispositif prévu pour les moins de 16 ans est plutôt ridicule: ils doivent théoriquem­ent obtenir une autorisati­on de leurs parents, alors que le réseau ne peut pas vérifier la filiation des utilisateu­rs, sauf... à exiger nos papiers d'identité…

«C'est curieux, le mot de «portabilit­é» n'apparaît jamais» remarque aussi David Raedler – alors que ce principe est capital dans le RGPD, qui permet de transférer ses données d'un site à un autre – par exemple, si on veut passer de Spotify à Deezer. La possibilit­é existe bien de télécharge­r ses données sur Facebook, mais pas le terme, comme s'il s'agissait de menaces à conjurer. «D'ailleurs, la possibilit­é de télécharge­r ses données n'équivaut à mon sens pas à un réel droit à la portabilit­é, dans la mesure où votre liste de contacts prend uniquement la forme d'un texte, et non de liens ou d'identifian­ts uniques.»

Plus grave, les politiques de transmissi­on de nos données à des sites tiers restent incohérent­es. «Si vous effectuez un achat, ou si vous lisez un article, sur des sites qui ont un bouton Facebook, même si vous n'avez pas de compte Facebook, le réseau peut obtenir de ces sites tiers plusieurs informatio­ns comme votre adresse IP (la carte d'identité de votre ordinateur), votre appareil pour vous connecter, votre zone, votre heure de connexion… Or ces sites renvoient à la politique de confidenti­alité de Facebook, à laquelle vous n'avez pas consenti. On ne peut pas s'en prémunir. A mon sens, c'est un problème», estime David Raedler. L'immense majorité des sites possèdent ce plugin de Facebook. Ces «profils fantômes» sont une bombe à retardemen­t encore à venir.

Mais c'est un autre possible manquement de base au RGPD qui fait grimper aux rideaux les associatio­ns comme la Quadrature du Net en France. Le G29, qui regroupe les autorités de protection des données dans l'UE, interprète de façon très stricte la notion de consenteme­nt. Pour lui, «si la personne concernée n'a pas un véritable choix, se sent contrainte de consentir ou subira des conséquenc­es négatives si elle ne consent pas, alors son consenteme­nt n'est pas valide». Or vous n'avez pas vraiment le choix sur Facebook. Si vous refusez les nouvelles conditions, vous devez quitter la plateforme. Et peut-on se passer de Facebook aujourd'hui? L'empire est devenu incontourn­able.

Le RGPD ne permet pas d'éviter ce faux choix, selon le sociologue du numérique Sami Coll. Il représente une véritable avancée, mais se borne dans sa conception même à opposer les géants du web à des individus isolés et sans réel pouvoir. «Le combat est inégal. Les GAFAM fournissen­t d'excellents produits, dont il est difficile de se passer. Le RGPD propose certes une avancée appréciabl­e, mais c'est aussi un miroir aux alouettes. Le débat sur la vie privée demeure essentiel, mais il n'est pas suffisant».

Le jour-même de l'entrée en vigueur du RGPD, le 25 mai, l'associatio­n autrichien­ne «None of your business» a lancé une action de groupe (class action) dans quatre pays contre Facebook et ses ultimatums - La Quadrature du Net doit le faire ce lundi. Ils attaquent aussi Google, Instagram et WhatsApp pour les mêmes raisons de consenteme­nt prisonnier. Les amendes peuvent atteindre 4% du chiffre d'affaires mondial des multinatio­nales. Le bras de fer commence.

Ces partenaire­s communique­nt des informatio­ns concernant vos activités en dehors de Facebook que vous possédiez ou non un compte

?? (JOHN THYS/AFP) ?? Manifestat­ion du collectif Avaaz devant le siège de l’UE à Bruxelles, le 22 mai 2018, jour où le patron de Facebook a présenté ses excuses pour les lacunes du réseau social.
(JOHN THYS/AFP) Manifestat­ion du collectif Avaaz devant le siège de l’UE à Bruxelles, le 22 mai 2018, jour où le patron de Facebook a présenté ses excuses pour les lacunes du réseau social.

Newspapers in French

Newspapers from Switzerland