Nathalie Devillier, Grenoble École de Management (GEM)

Alors que la société est dans la tourmente, l’affaire Cambridge Analytica en lien avec l’élection de Donald Trump révèle comment le premier réseau social du monde utilise les données des utilisateurs de son service gratuit.

Savoir quelles sont les données collectées (et surtout comment) peut permettre de limiter l’immixtion dans sa vie privée, mais l’ampleur de la collecte rend la poursuite de cet objectif bien illusoire, car c’est bien connu : « si c’est gratuit, c’est toi le produit ! »

Protéger ses données sur Facebook ? C’est aussi simple que pi.

Quelles sont réellement les données collectées par Facebook ?

La politique d’utilisation des données indique quelles sont les informations et activités qui sont collectées : informations liées au compte (nom, prénom, adresse e-mail, âge, sexe, localisation), contenus partagés, communication avec des amis, mais aussi lieu d’une photo, la date du fichier, la fréquence et la durée des activités, les photos de vous qui sont partagées, qui synchronise ou importe vos coordonnées, le carnet d’adresses, les données bancaires (numéro de CB et informations d’authentification).

Attention ! Toutes les informations publiées sur votre profil public peuvent être vues ou retrouvées à l’aide de moteurs de recherche en ligne, d’API et de médias hors ligne, tels que la télévision.

Ces informations sont collectées en continu sur toutes les interfaces de navigation utilisées (ordinateurs, tablettes, téléphones mobiles) ce qui génère la collecte des données suivantes : le système d’exploitation, la version du matériel, les paramètres de l’appareil, les noms et les types de fichier et de logiciel, le niveau de la batterie et l’intensité du signal, ainsi que les numéros d’identification de l’appareil ; les données d’emplacement de l’appareil, notamment les données d’emplacement géographique précises recueillies à travers les signaux GPS, Bluetooth ou wifi ; des informations de connexion telles que le nom de votre opérateur mobile ou de votre fournisseur d’accès à Internet, le type de navigateur que vous utilisez, votre langue et le fuseau horaire dans lequel vous vous situez, votre numéro de téléphone mobile et votre adresse IP.

Ce à quoi il faut aussi ajouter les données provenant de sites web et applications reliées à Facebook soit par un bouton « j’aime » soit par la fonction « se connecter avec Facebook », ce qui comprend toutes les informations sur les sites web et les applications que vous consultez en dehors de Facebook, votre utilisation des services Facebook sur ces sites web et applications, ainsi que les informations que le développeur ou l’éditeur de l’application ou du site web partage avec vous ou Facebook.

Par exemple, lorsque vous jouez à Candy Crush ou tout autre jeu avec vos amis sur le réseau ou utilisez le bouton « Commenter » ou « Partager » de Facebook sur un site web, le développeur ou le site web du jeu peut recevoir des informations sur vos activités dans le jeu ou sur ce commentaire ou un lien que vous partagez depuis leur site web sur Facebook.

Les informations proviennent aussi de partenaires tiers. Comment cela est-il possible ? Tout d’abord, Facebook reçoit toutes les informations sur vous et vos activités, sur et en dehors de Facebook, en provenance des partenaires (ou tiers qui ne sont pas identifiés !), telles que des informations provenant de partenaires avec qui Facebook collabore pour offrir un service, ou encore d’annonceurs au sujet de votre expérience ou de votre interaction. Réciproquement, lorsque vous téléchargez ou utilisez des services tiers, ces derniers ont la possibilité d’accéder à votre profil public Facebook sans que vous en ayez conscience y compris votre nom d’utilisateur, votre identifiant, votre tranche d’âge, votre pays/langue, votre liste d’amis ainsi que toutes les informations que vous partagez avec eux ! Or, ces partenaires commerciaux de Facebook ne sont pas clairement identifiés et appliquent leurs propres politiques de protection des données à caractère personnel donc les « partagent » de nouveau et ce toujours à votre insu.

Mais ce n’est pas fini ! La société reçoit toutes les informations vous concernant en provenance des sociétés qui lui appartiennent ou qu’elle exploite : Facebook Payments Inc., Atlas, Instagram LLC, Onavo, Moves, Oculus, WhatsApp Inc., Masquerade et CrowdTangle.

Cerise sur le gâteau, la société ajoute que certaines données peuvent être de provenance inconnue !

Comment limiter cette intrusion dans la vie privée des utilisateurs ?

Le système de « liste rouge » n’existe pas sur Facebook : c’est à l’utilisateur qu’il revient de maîtriser tous les paramètres : 1/de ses interfaces de navigation et 2/de toutes ses applications mobiles.

L’utilisateur doit d’abord comprendre que la confidentialité est gérée par des paramètres de partage ou d’autorisation qui sont accessibles depuis son interface de navigation. Donc si vous avez utilisé Facebook depuis vos deux ordinateurs, les trois tablettes de la maison mais aussi votre téléphone mobile, il faut tout d’abord vérifier les paramètres respectifs de ces six interfaces pour le partage de : l’agenda, l’appareil photo, les capteurs corporels, les contacts, le microphone, la position, les SMS, le stockage, le téléphone, la lecture de messages instantanés…

Ensuite, sur la page ou application du réseau social, il est possible d’agir sur plusieurs paramètres dont la confidentialité, la géolocalisation, les filtres publicitaires en fouillant les rubriques d’aide en ligne. Attention, car Facebook est présent sur une multitude d’applications mobiles (cliquer sur le triangle en haut à droite puis « Paramètres », et cliquer à gauche sur « Applications »). En effet, sur Facebook, votre nom, photo de profil, photo de couverture, genre, réseaux, nom et identifiant sont toujours accessibles par les personnes et les applications. Les applications ont aussi accès à votre liste d’amis et à toute information que vous choisissez de rendre publique. Pourquoi ? Et bien vous le saurez en lisant les sept pages de la « Politique d’utilisation des données » de Facebook qui renvoie fréquemment aux neuf pages de “Conditions d’utilisation”.

Enfin, il faut faire la même démarche pour chaque application mobile… !

En réalité, chaque utilisateur peut connaître l’ensemble des données à caractère personnel que Facebook collecte sur lui en exerçant son droit d’accès directement sur sa page : cliquer en haut à droite sur le triangle qui se trouve sur toutes les pages puis sur « Paramètres » et « Télécharger une copie de vos données » (tout en bas) et enfin « Créer mon archive ». Le site vous demande votre mot de passe pour vous authentifier et vous indique que vous recevrez vos données par e-mail (celui qui a servi à créer le compte). Une notification apparaît après quelques secondes selon laquelle « Your Facebook data is ready for download ». En cliquant dessus, l’espace assistance s’ouvre et fait apparaître un hyperlien pour télécharger l’archive ; le site vous demande de nouveau votre mot de passe tout en vous indiquant (non sans ironie) que vos données sont sensibles.

En réponse à ma demande faite le 21 mars, j’ai donc pu télécharger un fichier zip moins de cinq minutes après contenant 11 documents html : ads (publicités), apps, contacts, events, friends, messages, photos, pokes, security, timeline et videos.

En cliquant sur « Ads » j’obtiens la liste de mes thèmes publicitaires et la liste des « Annonceurs avec vos coordonnées » dont la liste est ci-dessous. Toutefois, aucune précision n’est donnée sur les coordonnées qui leur sont transmises, mais je ne me fais aucune illusion.

Liste des annonceurs avec mes coordonnées :

KLM Nigeria, Airbnb, KLM Finland, KLM Norge, KLM Dutch Caribbean, vente privee, KLM Panamá, KLM Polska, KLM Singapore, KLM Chile, HOP.com, KLM Philippines, KLM Russia, KLM México, KLM Royal Dutch Airlines, KLM Thailand, VeryChic, KLM Taiwan, KLM South Africa, KLM Hungary, KLM Korea, KLM Colombia, KLM Suriname, SFR, KLM Ghana, KLM Italia, KLM Denmark, KLM Portugal, KLM Indonesia, KLM Ecuador, L’OCCITANE en Provence, KLM UK, KLM Argentina, KLM Brasil, KLM Malaysia, KLM Japan, Mugler, KLM Peru, Airbnb (エアビーアンドビー), KLM Deutschland, KLM Czech Republic, KLM India, KLM España, KLM Romania, KLM Ukraine, KLM Canada, Zalando, Boulanger.

Non moins intéressant, le dossier « Apps » me donne la liste des applications présentes sur mon smartphone, y compris celles que j’ai désinstallées ! Le dossier « Contacts » me donne mon répertoire, avec toutes les informations de mes correspondants, tels qu’ils existaient lors de l’installation de Facebook sur mon premier iPhone il y a quelques années avec tous les ajouts que j’ai pu faire (mais les contacts supprimés subsistent !) puisque le site gère mon répertoire en mode dynamique. Le dossier « Security » liste systématiquement la date et l’heure de toutes mes interactions, avec mes adresses IP, interface de navigation et sa version, le cookie ayant récolté la donnée et ce pour :

  • les changements de statut de compte et de mots de passe ;
  • toutes mes sessions actives (voir ci-dessous la mention bizarre datée de 1970 !) ;
  • l’activité de mon compte (updates, login, fin de session web ou mobile) ;
  • les emails ajoutés ou supprimés ;
  • les « checkpoints cleared » et les « checkpoints flow started » ( ?) ;
  • toutes les machines reconnues ;
  • les données de protection des sessions : cookies, adresses IP et emplacements estimés à partir d’une adresse IP ;
  • les adresses IP (plusieurs kilomètres) ;
  • les informations de cookies d’identification DTR ;
  • les variables physiques ;
  • les données administratives (changement de mot de passe).

Exemple de session active

Créé : mardi 20 mars 2018, 18:27;UTC+01
Mis à jour : jeudi 1 janvier 1970;00:00UTC+01
Adresse IP : (masqué par moi)
Navigateur : FBAN/FB4A;FBAV/163.0.0.43.91;FBBV/
96845992;FBDM/{density=2.0,width=720,height=1280};
FBLC/fr_FR;FBRV/96845992;FBCR/SFR altice;FBMF/samsung;
FBBD/samsung; FBPN/com.Facebook.katana;FBDV/SM-A320FL;
FBSV/7.0;FBOP/1;FBCA/armeabi-v7a:armeabi;
Cookie :… HCP1

Le business des données et de tous vos contenus sans contrepartie

Je vous fais grâce des autres dossiers, mais je vous invite à télécharger votre copie de vos données à caractère personnel pour bien prendre la mesure de ce que nous offrons à Mark Zuckerberg qui lui, ne partage rien avec nous ; bien au contraire la déclaration des droits et responsabilités de Facebook laisse sans voix :

« Vous nous accordez une licence non exclusive, transférable, sous-licenciable, sans redevance et mondiale pour l’utilisation des contenus de propriété intellectuelle que vous publiez sur Facebook. »

Alors que toute licence universelle est illégale !

« Nous apprécions vos commentaires et vos suggestions concernant Facebook. Cependant, veuillez noter que nous pouvons les utiliser sans aucune obligation de rémunération (tout comme vous n’avez aucune obligation de nous les communiquer).

Nous requérons des applications qu’elles respectent la confidentialité de vos données, et c’est l’accord que vous donnez à une application qui détermine dans quelle mesure celle-ci est libre d’utiliser, de conserver et de transférer ces contenus et informations. »

De toute évidence, cet engagement n’a pas été tenu et Facebook ne s’est pas soucié de l’utilisation faite des données collectées par le test de personnalité développé par le Pr Kogan pour Cambridge Analytica (ou alors a été grassement rémunérée en contrepartie).

« Nous faisons tout notre possible pour faire de Facebook un service sûr, mais ne pouvons pas garantir la sécurité absolue. »

Effectivement, cette affaire nous le démontre, et aussi (en capitales dans les Conditions d’utilisation) :

« Nous essayons de fournir Facebook dans un environnement sans défaut et sûr, mais vous l’utilisez à votre propre risque. Nous fournissons Facebook « en l’état » sans garanties exprès ou implicites […] et vous dégagez Facebook […] de toute responsabilité […] l’agrégat total de notre responsabilité envers vous dans le cadre de cette déclaration ou de Facebook ne pourra dépasser le montant payé par vous au cours des douze mois précédents. » [c’est moi qui souligne]

Donc, en résumé, sachant que le service est gratuit, la responsabilité de Facebook s’élève à 12 fois zéro = zéro !

Si vous souhaitez supprimer votre compte, sachez enfin qu’« en raison de la technologie utilisée par le système Facebook, les contenus supprimés peuvent persister dans des copies de sauvegarde pendant une durée raisonnable (en règle générale, pendant 90 jours maximum après le début de la suppression, mais qu’ils ne sont pas disponibles aux autres utilisateurs pendant cette période). Nonobstant ce qui précède, si cela est exigé par la loi en vigueur, l’ordonnance d’un organisme gouvernemental ou d’une instance judiciaire, ou autre, nous pouvons conserver ces contenus dans toute mesure nécessaire à ces fins. »

Ce qui se passe aujourd’hui avec Facebook s’est certainement déjà produit pour d’autres réseaux sociaux et d’autres applications mobiles. La réutilisation des données des dresseurs du jeu Pokémon Go ! au sein du conglomérat Alphabet est-elle moins choquante ? La géolocalisation de 10 millions de Français à leur insu par Teemo pour des éditeurs de renom est-elle moins critiquable ?

Enfin chacun voit le mur qui borne son esprit !

The Conversation

Cette énième affaire Facebook ouvrira-t-elle les yeux des utilisateurs jusqu’à leur faire supprimer leurs comptes ?

Nathalie Devillier, Professeur de droit, Grenoble École de Management (GEM)

La version originale de cet article a été publiée sur The Conversation.

Un commentaire?