La protection des données selon Facebook
Le nouveau Règlement européen sur la protection des données est entré en vigueur. Après une valse-hésitation, Facebook affirme s’y conformer à l’échelle mondiale. Mais le réseau social a-t-il vraiment joué le jeu? Eclairage.
Le nouveau Règlement européen sur la protection des données est entré en vigueur vendredi. Facebook a beau avoir mis à jour sa politique d’utilisation des données, des plaintes ont déjà été déposées. Revue de détail
Sacré Facebook. Début avril, devant le Congrès américain, Mark Zuckerberg annonçait que les deux milliards deux cents millions d'utilisateurs de la plateforme bénéficieraient des nouvelles protections apportées par le Règlement européen sur la protection des données (RGPD), ce qu'avait confirmé officiellement le responsable en chef de la vie privée à Facebook Erin Egan. Mi avril, réflexion faite, le réseau annonçait le rattachement des utilisateurs situés hors du territoire de l'UE à la législation californienne, et donc loin du RGPD. Mais jeudi dernier, veille de l'entrée en vigueur du règlement, nouveau revirement, Facebook annonçait finalement que ce seraient bien les utilisateurs de Facebook du monde entier qui profiteraient de la protection européenne. Une valse-hésitation emblématique du positionnement compliqué de la fusée Facebook, dont le moteur est fondé sur les données personnelles. A-t-il vraiment joué le jeu? Nous avons demandé à un spécialiste du droit de la sphère privée et de la protection des données sur le Net son analyse.
Le réseau a en partie joué le jeu de la transparence exigée par le RGPD, selon David Raedler, avocat du cabinet lausannois HDC. «Leur nouvelle politique d'utilisation des données prévoit plusieurs autorisations séparées à donner, ce qu'on appelle la granularité. Les chapitres reprennent d'ailleurs dans l'ensemble les gros changements apportés par le RGPD». Vous pouvez, par exemple, choisir d'accepter ou non de la publicité ciblée basée sur votre comportement de navigation ou sur d'éventuelles données sensibles que vous auriez communiquées (religion, orientation sexuelle, etc.), une exigence qui découle bien du règlement. «Cela n'empêche en revanche pas Facebook de personnaliser votre fil d'actualité ou certains autres services, un élément à la base de son modèle d'affaires et qui est, en quelque sorte, activé par défaut» – ce qui n'est pas tout à fait conforme aux principes de «privacy by default» et de «privacy by design» selon lesquels les personnes obtiennent d'emblée le plus haut niveau de protection possible de leurs données, ni aux exigences accrues en matière de consentement. Par principe, tous les choix restreignant la protection doivent se faire de manière volontaire, libre et proactive, ce qu'on appelle le «Opt-in».
Un choix assumé, probablement en lien avec un risque récemment pointé par une étude de Goldman Sachs: si trop peu d'utilisateurs choisissent de recevoir de publicité ciblée, la qualité des données récoltées par la plateforme va diminuer, et donc leur valeur. Les publicitaires pourraient négocier moins cher leurs annonces, moins bien ciblées. Car l'Union européenne représente 25% des 12 milliards de revenus que Facebook a engrangés au premier trimestre 2018.
Ce petit arrangement avec le RGPD n'est pas le seul. Le design des procédures de recueil du consentement est éloquent. Tout a été fait sur mobile pour vous pousser à accepter les nouvelles conditions du réseau – un grand bouton «J'accepte» en bleu contre un petit «Paramètres» grisé et peu engageant. La reconnaissance faciale est un bon exemple de ce design orienté. Absente en Europe et au Canada depuis 2012, elle a refait discrètement son apparition à l'occasion du RGPD au motif que si on l'accepte, cela permettra à Facebook de nous signaler si une photo de nous est postée sans notre consentement par un utilisateur du réseau. Il faut cinq clics pour refuser l'activation de la technologie, mais un seul pour l'accepter…
D'autres petits manquements existent dans la Politique d'utilisation des données de Facebook, longue de 5500 mots (11 pages imprimées en petits caractères). Le dispositif prévu pour les moins de 16 ans est plutôt ridicule: ils doivent théoriquement obtenir une autorisation de leurs parents, alors que le réseau ne peut pas vérifier la filiation des utilisateurs, sauf... à exiger nos papiers d'identité…
«C'est curieux, le mot de «portabilité» n'apparaît jamais» remarque aussi David Raedler – alors que ce principe est capital dans le RGPD, qui permet de transférer ses données d'un site à un autre – par exemple, si on veut passer de Spotify à Deezer. La possibilité existe bien de télécharger ses données sur Facebook, mais pas le terme, comme s'il s'agissait de menaces à conjurer. «D'ailleurs, la possibilité de télécharger ses données n'équivaut à mon sens pas à un réel droit à la portabilité, dans la mesure où votre liste de contacts prend uniquement la forme d'un texte, et non de liens ou d'identifiants uniques.»
Plus grave, les politiques de transmission de nos données à des sites tiers restent incohérentes. «Si vous effectuez un achat, ou si vous lisez un article, sur des sites qui ont un bouton Facebook, même si vous n'avez pas de compte Facebook, le réseau peut obtenir de ces sites tiers plusieurs informations comme votre adresse IP (la carte d'identité de votre ordinateur), votre appareil pour vous connecter, votre zone, votre heure de connexion… Or ces sites renvoient à la politique de confidentialité de Facebook, à laquelle vous n'avez pas consenti. On ne peut pas s'en prémunir. A mon sens, c'est un problème», estime David Raedler. L'immense majorité des sites possèdent ce plugin de Facebook. Ces «profils fantômes» sont une bombe à retardement encore à venir.
Mais c'est un autre possible manquement de base au RGPD qui fait grimper aux rideaux les associations comme la Quadrature du Net en France. Le G29, qui regroupe les autorités de protection des données dans l'UE, interprète de façon très stricte la notion de consentement. Pour lui, «si la personne concernée n'a pas un véritable choix, se sent contrainte de consentir ou subira des conséquences négatives si elle ne consent pas, alors son consentement n'est pas valide». Or vous n'avez pas vraiment le choix sur Facebook. Si vous refusez les nouvelles conditions, vous devez quitter la plateforme. Et peut-on se passer de Facebook aujourd'hui? L'empire est devenu incontournable.
Le RGPD ne permet pas d'éviter ce faux choix, selon le sociologue du numérique Sami Coll. Il représente une véritable avancée, mais se borne dans sa conception même à opposer les géants du web à des individus isolés et sans réel pouvoir. «Le combat est inégal. Les GAFAM fournissent d'excellents produits, dont il est difficile de se passer. Le RGPD propose certes une avancée appréciable, mais c'est aussi un miroir aux alouettes. Le débat sur la vie privée demeure essentiel, mais il n'est pas suffisant».
Le jour-même de l'entrée en vigueur du RGPD, le 25 mai, l'association autrichienne «None of your business» a lancé une action de groupe (class action) dans quatre pays contre Facebook et ses ultimatums - La Quadrature du Net doit le faire ce lundi. Ils attaquent aussi Google, Instagram et WhatsApp pour les mêmes raisons de consentement prisonnier. Les amendes peuvent atteindre 4% du chiffre d'affaires mondial des multinationales. Le bras de fer commence.
Ces partenaires communiquent des informations concernant vos activités en dehors de Facebook que vous possédiez ou non un compte