Facebook encore moins prêt que les autres
Nombre d’entreprises risquent de ne pas être prêtes le 25 mai, quand va s’appliquer le RGPD. Parmi elles, on peut compter Facebook, comme l’a montré une expérience menée par des chercheurs de l’université de Madrid.
On évoque tous les jours les entreprises européennes qui ne sont pas prêtes pour le RGPD, le fameux règlement pour la protection des données privées, qui encadre fortement (avec une amende salée à la clé) l’usage des données à caractère personnel. Mais qu’en est-il des géants d’Internet, contre qui ce RGPD est (un peu beaucoup) dirigé? Sont-ils prêts ? Facebook ne serait nulle part, d’après l’université de Madrid qui a mené une expérience qui en dit long sur les possibilités de manipulation du réseau. Ce réseau social profilerait 73%, rien que ça, de ses utilisateurs européens, à leur insu (c’està-dire sans consentement, pierre angulaire du RGPD), sur la base de critères très sensibles strictement interdits par le RGPD (orientation sexuelle, politique ou religieuse, santé). Ce profilage est mis à disposition des annonceurs qui peuvent, alors, choisir à qui envoyer leurs publicités – sans pouvoir les identifier individuellement, c’est vrai… sauf que les auteurs démontrent le moyen d’y arriver! C’est une malheureuse publicité pour rejoindre une communauté gay, envoyée à l’un des auteurs de l’étude, qui a mis le feu aux poudres. Le chercheur en question n’avait pourtant jamais rien men- tionné explicitement. Le groupe de recherche qu’il forme met au point une extension pour navigateur sur Internet qui informe en temps réel les utilisateurs de Facebook sur les préférences assignées par ce dernier sur base de leur comportement en ligne. Cette extension estime aussi le revenu qu’on génère pour Facebook sur la base de son profil et du nombre de pubs visualisées.
ADS MANAGER, À DOUBLE TRANCHANT
Ce qui a « piégé » Facebook, c’est son outil Ads Manager qui permet aux annonceurs de cibler les utilisateurs à qui envoyer la pub. Les critères sont larges : localisation, sexe, âge, langue, comportement (utilisentils leur mobile pour Facebook, Windows, Apple? Voyagent-ils beaucoup?…) mais aussi leur intérêt (voiture, nourriture, cosmétique…). Ce dernier critère est impressionnant par le choix offert : des milliers de combinaisons sont possibles et hiérarchisées. Tout est fait pour faciliter la tâche des annonceurs : ils peuvent introduire un texte libre décrivant le groupe cible. Facebook propose alors les paramètres à sélectionner. Ceci dit, les utilisateurs du réseau social peuvent avoir accès à leur profilage et les modifier mais peu le savent. Les chercheurs ont pu déterminer, avec leur extension de navigateur installée par quelques milliers de volontaires, sur quelle base le profilage est réalisé. Force est de constater qu’il est mis au point sans le consentement de l’utilisateur : sur ce qu’il a liké, vu comme pages ou pub, sur la base d’une app installée, des pages web visitées, des commentaires, des posts, des partages. Pas sûr que tous les utilisateurs de Facebook aient donné leur consentement explicite, à moins de le demander pour chaque clic. Facebook est en contradiction avec le RGPD, même si celui-ci prévoit des exceptions. Aucune ne tient ici. Non, les informations que recueille le réseau social ne sont pas nécessaires pour les intérêts vitaux de ses utilisateurs ; oui, ils sont capables, physiquement, de donner leur consentement. Non, les données des utilisateurs sur Facebook ne sont pas déjà publiques. Ce profilage ne poursuit aucun intérêt public, autre exception possible au consentement. Enfin, ce profilage ne sert aucun but scientifique ou statistique. 4 577 utilisateurs ont installé l’extension du navigateur à la base de l’étude. 3 166 sont situés dans l’UE. Les chercheurs ont établi un ensemble de 126192 préférences pour la publicité ciblée. Tout cela leur a permis de voir quelle proportion des utilisateurs de Facebook en Europe ont dans leur profil des mots-clés se rapportant à des critères sensibles. Le résultat est sans appel : 73 % de ce panel de 3 166 utilisateurs. À l’aide de l’outil pour annonceurs, ils ont ensuite établi, par pays de l’Union, le nombre d’utilisateurs qui tomberaient dans les catégories identifiées comme sensibles. Il y a de grandes différences entre pays, le top 7 étant constitué de Malte, Chypre, la Suède, le Danemark, l’Irlande, le Portugal et la Grande-Bretagne. Les pays les moins affectés sont l’Allemagne, la Pologne, la Lettonie, la Slovaquie et la République tchèque. Ce sont les jeunes adultes qui sont les plus représentés dans ce groupe « sensible ». Pour ce qui est des critères très sensibles retrouvés dans le profil des utilisateurs, on retrouve la religion pour 20,8 %, la santé pour 18,2 %, la sexualité pour 1,5 % et l’origine ethnique pour 1,1%. Les chercheurs ont ensuite utilisé l’outil pour annonceurs afin de quantifier combien d’utilisateurs sont concernés dans chaque pays européen. On reste un peu sans voix.
FACILEMENT IDENTIFIABLES
Jusqu’ici, on se rassurait en se disant que les annonceurs n’ont pas accès individuellement aux utilisateurs finaux lorsqu’ils manipulent le Ads Manager. Mais en réalité la possibilité d’atteindre des utilisateurs finaux sur la base de critères très sensibles permet de les identifier sans trop de mal. Et d’imaginer deux scénarios. Il serait facile pour une organisation néonazie d’envoyer une campagne ciblée et offensante vers les utilisateurs avec dans leurs préférences « homosexuel » ou « juif », leurs cibles de prédilection! De fait, quel besoin d’identifier individuellement les usagers de Facebook si le but est atteint? Les chercheurs ont simulé cette stratégie, sans aller jusqu’à bout évidemment : pour moins de 35 euros, ils pouvaient atteindre 26000 utilisateurs! C’est là qu’on comprend aussi comment les Russes ont pu si facilement influencer les élections américaines! Autre scénario, plus subtil encore. Pour identifier les utilisateurs finaux, lancer une attaque de phishing, c’est-à-dire envoyer une campagne ciblée demandant aux utilisateurs de donner des infos sur eux pour obtenir qui, un prix, qui, un iPhone ou un bon d’achat. Il y en a toujours qui tombent dans le panneau et c’est toujours autant d’utilisateurs identifiés. Les cyberattaques dites d’identification, ce n’est pas un hasard, gagnent en popularité. Ce n’est pas pour rien que Facebook a annoncé que jamais un projet, le RGPD, n’a mobilisé une si grande équipe en interne. Il en a besoin!
73 % des utilisateurs européens seraient profilés