Partage de vos données à d'autres géants du web, accès à votre messagerie... : Facebook au coeur d'un nouveau scandale

Honnêtement, on ne vous en voudra pas de parfois perdre le fil des multiples errements, des promesses trahies et des fuites de données de Facebook. Nous même,  on s'y perd un peu parfois. Pourtant, le scandale du jour sort du lot, par son côté massif, et par les noms des géants du numérique qui en auraient bénéficié.

Ce sont nos confrères du New York Times qui ont levé le lièvre, en analysant des centaines de pages de documents internes à Facebook et en interviewant une soixantaine d'employés actuels ou passés de la société et de certains de ses partenaires. De quoi s'agit-il cette fois ? On essaye de synthétiser le dossier pour vous.

Le coeur de ce que  le journal a découvert, ce sont des accords de partage de données liant Facebook à 150 sociétés environ, pour l'essentiel des startups et certaines grandes plateformes, parmi lesquelles Microsoft, Yahoo, Amazon, Spotify ou Netflix. Comme le dit l'article, "alors qu'il érigeait un mur de protection de la vie privée (autour de ses utilisateurs - NDLR), Facebook y a creusé un trou pour certains géants de la Tech", au travers d'accords spécifiques qui libéraient ces derniers des règles habituelles d'accès aux données personnelles.

L'idée de ces partenariats, c'était un échange de données et des services plus personnalisés : l'utilisateur s'identifie auprès d'une application ou d'un service tiers avec son compte Facebook. Il peut en conséquence accéder à des informations plus proches de ses centres d'intérêts ou de ceux de ses amis. La fonction s'appelait "Instant Personalization", elle a existé de 2010 à 2014. Elle permettait, par exemple, sur un service comme Yelp, de voir directement les appréciations de ses amis Facebook sur les restaurants du quartier. De quoi offrir des informations sur mesure, des suggestions basées sur son réseau social. Bref, d'améliorer son expérience sur toutes sortes de sites. Et pour Facebook de garder un oeil sur vos activités hors du réseau social et affiner ainsi plus encore votre profil.

Oui, mais il y a un mais. Ce que la firme de Palo Alto a permis à certains de ses partenaires, notamment Spotify, c'est d'accéder à la messagerie de ses utilisateurs qui avaient utilisé ses services pour s'identifier auprès d'eux. Comme l'explique aujourd'hui Facebook, le but était de vous permettre d'envoyer des messages à vos contacts sans quitter l'application Spotify ou, par exemple, de permettre à l'application partenaire de partager une recommandation directement au travers de la messagerie Facebook. 

Pour autant, la fonction aurait aussi permis à tous ces services de lire vos messages. Tous ou presque ont expliqué au New York Times qu'ils n'avaient jamais abusé de cet accès aux messages privés, certains disent même qu'ils n'étaient pas au courant de cette possibilité, tel Netflix qui dans une réaction à l'article du New-York Times déclare que "À aucun moment, nous n'avons eu accès aux messages privés des abonnés Facebook ou n'avons demandé la possibilité de le faire." Sur le fond, le problème n'est pas du côté des services, mais bien dans le camp de Facebook :  difficile d'imaginer ouvrir un tel accès sans demander clairement à l'utilisateur de le valider.

Dans tous ces cas, Facebook se réfugie derrière l'autorisation que l'utilisateur lui aurait donné et aux services tiers d'accéder à ses données. Une autorisation contenue dans le simple fait d'utiliser Facebook pour s'identifier ou s'inscrire à des services et des sites tiers. C'est probablement écrit quelque part dans les conditions générales du site. Mais est-ce pour autant un consentement informé de la part des utilisateurs ? Savaient-ils qu'ils autorisaient expressément ce genre d'accès ? Avec le recul, on peut en douter. Aujourd'hui, du fait du règlement RGPD en Europe, rien de tout cela ne serait possible, tout accès aux données personnelles requiert le "consentement éclairé" de l'utilisateur.

"Nous ne vendons pas vos données !" répète Mark Zuckerberg à qui veut l'entendre. Et c'est vrai, sur Facebook, vos données servent à cibler la publicité au plus près de vos intentions, de vos activités et de vos centres d'intérêts. Certes, le réseau social permet aux annonceurs de choisir leurs cibles, mais les données elles-même ne quittent pas Facebook et ne sont pas vendues. Enfin presque... 

Ce que nous apprend cette histoire, c'est que Facebook n'a pas hésité à ouvrir certaines de ces données à ses partenaires, comme une monnaie d'échange pour à son tour pouvoir rassembler plus d'informations sur vos goûts, vos recherches et vos habitudes de consommation. On espère que ce pan de l'histoire de Facebook est bien clos, car cette pente-là est fort glissante.

Le plus fou dans cette histoire, c'est que Facebook a agi alors qu'il était sous le coup d'un sérieux avertissement de la Federal Trade Commission, le régulateur américain. En 2011, elle avait intimé au réseau social de mieux protéger les données de ses utilisateurs et d'être plus transparent sur ce qu'il faisait des données collectées. Difficile de plaider l'adéquate information des utilisateurs, d'autant qu'un audit de 2013 a révélé que la société ne faisait rien ou presque pour s'assurer de la sécurité des données partagées avec son réseau de partenaires. 

L'entreprise se défend aujourd'hui, expliquant que les partenariats étaient exclus de l'accord passé avec la FTC en 2011. Bref,  un "Oui mais c'est légal !" lancé comme un joker, qui pourrait éviter de graves conséquences judiciaires à Mark Zuckerberg, mais qui ne fera rien pour restaurer la confiance des utilisateurs face à Facebook, dans une spirale descendante. Au rythme des scandales, elle ne tardera pas à atteindre son degré zéro.