Fa­ce­book en­core moins prêt que les autres

La Tribune Hebdomadaire - - ÉDITO -

Nombre d’en­tre­prises risquent de ne pas être prêtes le 25 mai, quand va s’ap­pli­quer le RGPD. Par­mi elles, on peut comp­ter Fa­ce­book, comme l’a mon­tré une ex­pé­rience me­née par des cher­cheurs de l’uni­ver­si­té de Ma­drid.

On évoque tous les jours les en­tre­prises eu­ro­péennes qui ne sont pas prêtes pour le RGPD, le fa­meux rè­gle­ment pour la pro­tec­tion des don­nées pri­vées, qui en­cadre for­te­ment (avec une amende sa­lée à la clé) l’usage des don­nées à ca­rac­tère per­son­nel. Mais qu’en est-il des géants d’In­ter­net, contre qui ce RGPD est (un peu beau­coup) di­ri­gé? Sont-ils prêts ? Fa­ce­book ne se­rait nulle part, d’après l’uni­ver­si­té de Ma­drid qui a me­né une ex­pé­rience qui en dit long sur les pos­si­bi­li­tés de ma­ni­pu­la­tion du ré­seau. Ce ré­seau so­cial pro­fi­le­rait 73%, rien que ça, de ses uti­li­sa­teurs eu­ro­péens, à leur in­su (c’es­tà-dire sans consen­te­ment, pierre an­gu­laire du RGPD), sur la base de cri­tères très sen­sibles stric­te­ment in­ter­dits par le RGPD (orien­ta­tion sexuelle, po­li­tique ou re­li­gieuse, san­té). Ce pro­fi­lage est mis à dis­po­si­tion des an­non­ceurs qui peuvent, alors, choi­sir à qui en­voyer leurs pu­bli­ci­tés – sans pou­voir les iden­ti­fier in­di­vi­duel­le­ment, c’est vrai… sauf que les au­teurs dé­montrent le moyen d’y ar­ri­ver! C’est une mal­heu­reuse pu­bli­ci­té pour re­joindre une com­mu­nau­té gay, en­voyée à l’un des au­teurs de l’étude, qui a mis le feu aux poudres. Le cher­cheur en ques­tion n’avait pour­tant ja­mais rien men- tion­né ex­pli­ci­te­ment. Le groupe de re­cherche qu’il forme met au point une ex­ten­sion pour na­vi­ga­teur sur In­ter­net qui in­forme en temps réel les uti­li­sa­teurs de Fa­ce­book sur les pré­fé­rences as­si­gnées par ce der­nier sur base de leur com­por­te­ment en ligne. Cette ex­ten­sion es­time aus­si le re­ve­nu qu’on gé­nère pour Fa­ce­book sur la base de son pro­fil et du nombre de pubs vi­sua­li­sées.

ADS MA­NA­GER, À DOUBLE TRANCHANT

Ce qui a « pié­gé » Fa­ce­book, c’est son ou­til Ads Ma­na­ger qui per­met aux an­non­ceurs de ci­bler les uti­li­sa­teurs à qui en­voyer la pub. Les cri­tères sont larges : lo­ca­li­sa­tion, sexe, âge, langue, com­por­te­ment (uti­li­sen­tils leur mo­bile pour Fa­ce­book, Win­dows, Apple? Voyagent-ils beau­coup?…) mais aus­si leur in­té­rêt (voi­ture, nour­ri­ture, cos­mé­tique…). Ce der­nier cri­tère est im­pres­sion­nant par le choix of­fert : des mil­liers de com­bi­nai­sons sont pos­sibles et hié­rar­chi­sées. Tout est fait pour fa­ci­li­ter la tâche des an­non­ceurs : ils peuvent in­tro­duire un texte libre dé­cri­vant le groupe cible. Fa­ce­book pro­pose alors les pa­ra­mètres à sé­lec­tion­ner. Ce­ci dit, les uti­li­sa­teurs du ré­seau so­cial peuvent avoir ac­cès à leur pro­fi­lage et les mo­di­fier mais peu le savent. Les cher­cheurs ont pu dé­ter­mi­ner, avec leur ex­ten­sion de na­vi­ga­teur ins­tal­lée par quelques mil­liers de vo­lon­taires, sur quelle base le pro­fi­lage est réa­li­sé. Force est de consta­ter qu’il est mis au point sans le consen­te­ment de l’uti­li­sa­teur : sur ce qu’il a li­ké, vu comme pages ou pub, sur la base d’une app ins­tal­lée, des pages web vi­si­tées, des com­men­taires, des posts, des par­tages. Pas sûr que tous les uti­li­sa­teurs de Fa­ce­book aient don­né leur consen­te­ment ex­pli­cite, à moins de le de­man­der pour chaque clic. Fa­ce­book est en contra­dic­tion avec le RGPD, même si ce­lui-ci pré­voit des ex­cep­tions. Au­cune ne tient ici. Non, les in­for­ma­tions que re­cueille le ré­seau so­cial ne sont pas né­ces­saires pour les in­té­rêts vi­taux de ses uti­li­sa­teurs ; oui, ils sont ca­pables, phy­si­que­ment, de don­ner leur consen­te­ment. Non, les don­nées des uti­li­sa­teurs sur Fa­ce­book ne sont pas dé­jà pu­bliques. Ce pro­fi­lage ne pour­suit au­cun in­té­rêt pu­blic, autre ex­cep­tion pos­sible au consen­te­ment. En­fin, ce pro­fi­lage ne sert au­cun but scien­ti­fique ou sta­tis­tique. 4 577 uti­li­sa­teurs ont ins­tal­lé l’ex­ten­sion du na­vi­ga­teur à la base de l’étude. 3 166 sont si­tués dans l’UE. Les cher­cheurs ont éta­bli un en­semble de 126192 pré­fé­rences pour la pu­bli­ci­té ci­blée. Tout ce­la leur a per­mis de voir quelle pro­por­tion des uti­li­sa­teurs de Fa­ce­book en Eu­rope ont dans leur pro­fil des mots-clés se rap­por­tant à des cri­tères sen­sibles. Le ré­sul­tat est sans ap­pel : 73 % de ce pa­nel de 3 166 uti­li­sa­teurs. À l’aide de l’ou­til pour an­non­ceurs, ils ont en­suite éta­bli, par pays de l’Union, le nombre d’uti­li­sa­teurs qui tom­be­raient dans les ca­té­go­ries iden­ti­fiées comme sen­sibles. Il y a de grandes dif­fé­rences entre pays, le top 7 étant consti­tué de Malte, Chypre, la Suède, le Da­ne­mark, l’Ir­lande, le Por­tu­gal et la Grande-Bre­tagne. Les pays les moins af­fec­tés sont l’Al­le­magne, la Po­logne, la Let­to­nie, la Slo­va­quie et la Ré­pu­blique tchèque. Ce sont les jeunes adultes qui sont les plus re­pré­sen­tés dans ce groupe « sen­sible ». Pour ce qui est des cri­tères très sen­sibles re­trou­vés dans le pro­fil des uti­li­sa­teurs, on re­trouve la re­li­gion pour 20,8 %, la san­té pour 18,2 %, la sexua­li­té pour 1,5 % et l’ori­gine eth­nique pour 1,1%. Les cher­cheurs ont en­suite uti­li­sé l’ou­til pour an­non­ceurs afin de quan­ti­fier com­bien d’uti­li­sa­teurs sont concer­nés dans chaque pays eu­ro­péen. On reste un peu sans voix.

FA­CI­LE­MENT IDEN­TI­FIABLES

Jus­qu’ici, on se ras­su­rait en se di­sant que les an­non­ceurs n’ont pas ac­cès in­di­vi­duel­le­ment aux uti­li­sa­teurs fi­naux lors­qu’ils ma­ni­pulent le Ads Ma­na­ger. Mais en réa­li­té la pos­si­bi­li­té d’at­teindre des uti­li­sa­teurs fi­naux sur la base de cri­tères très sen­sibles per­met de les iden­ti­fier sans trop de mal. Et d’ima­gi­ner deux scé­na­rios. Il se­rait fa­cile pour une or­ga­ni­sa­tion néo­na­zie d’en­voyer une cam­pagne ci­blée et of­fen­sante vers les uti­li­sa­teurs avec dans leurs pré­fé­rences « ho­mo­sexuel » ou « juif », leurs cibles de pré­di­lec­tion! De fait, quel be­soin d’iden­ti­fier in­di­vi­duel­le­ment les usa­gers de Fa­ce­book si le but est at­teint? Les cher­cheurs ont si­mu­lé cette stra­té­gie, sans al­ler jus­qu’à bout évi­dem­ment : pour moins de 35 eu­ros, ils pou­vaient at­teindre 26000 uti­li­sa­teurs! C’est là qu’on com­prend aus­si com­ment les Russes ont pu si fa­ci­le­ment in­fluen­cer les élec­tions amé­ri­caines! Autre scénario, plus sub­til en­core. Pour iden­ti­fier les uti­li­sa­teurs fi­naux, lan­cer une at­taque de phi­shing, c’est-à-dire en­voyer une cam­pagne ci­blée de­man­dant aux uti­li­sa­teurs de don­ner des in­fos sur eux pour ob­te­nir qui, un prix, qui, un iP­hone ou un bon d’achat. Il y en a tou­jours qui tombent dans le pan­neau et c’est tou­jours au­tant d’uti­li­sa­teurs iden­ti­fiés. Les cy­be­rat­taques dites d’iden­ti­fi­ca­tion, ce n’est pas un ha­sard, gagnent en po­pu­la­ri­té. Ce n’est pas pour rien que Fa­ce­book a an­non­cé que ja­mais un pro­jet, le RGPD, n’a mo­bi­li­sé une si grande équipe en in­terne. Il en a be­soin!

73 % des uti­li­sa­teurs eu­ro­péens se­raient pro­fi­lés

Des uti­li­sa­teurs sont ci­blés par des an­non­ceurs à par­tir de cri­tères très sen­sibles : orien­ta­tion sexuelle, po­li­tique ou re­li­gieuse, san­té.

PAR CHARLES CUVELLIEZ ET JEAN-MI­CHEL DRICOT ÉCOLE POLYTECHNI­QUE DE BRUXELLES, UNI­VER­SI­TÉ LIBRE DE BRUXELLES

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.