Facebook et la protection des données personnelles : un chiffre et des annonces en pagaille
87 millions. C’est le nombre de personnes dont les données ont été collectées par Cambridge Analytica sur Facebook. Pour rappel, elles ont ensuite été utilisées par cette société britannique pour influencer le vote des électeurs lors des dernières élections présidentielles par de la publicité ciblée. L’affaire est devenue un scandale public suite aux dernières révélations du New York Times, du Guardian et de The Observer venant en partie du lanceur d’alerte Christopher Wylie. Dans leurs estimations les plus pessimistes, la presse avançait le chiffre de 50 millions de personnes touchées. Loin des 87 millions annoncés par Facebook même mercredi 4 avril.
Un chiffre qui doit être mis en perspective avec celui du nombre de personnes ayant téléchargé l’application qui a permis cette collecte de masse : 305 000 selon une source proche de l’entreprise. En France, le rapport est de 210 000 pour 76 (sachant que les premiers pouvaient être les amis d’autres personnes qui ont téléchargé l’application dans le monde entier).
Depuis que l’affaire a éclaté au grand jour, critiques, demandes d’audition de cadres de Facebook par des instances politiques et annonces de suppression de comptes se multiplient comme autant de réactions en chaîne alors que le titre de l’entreprise ne cesse de dévisser en Bourse. Pour éteindre l’incendie, Mark Zuckerberg donne de sa personne en donnant interviews sur interviews aux médias, lui qui est d’habitude si peu disert avec la presse. Aux côtés des messages d’excuses, une batterie de mesures a été annoncée pour mieux protéger les données personnelles des utilisateurs dans les mois à venir. Ceci n’est que le début.
Changements à venir dans l’API des applications de Facebook
Dans une interview (encore une!) donnée à la presse le 4 avril, le patron de Facebook a reconnu avoir donné trop de latitudes aux développeurs par le passé. Le temps est désormais aux restrictions. Un billet publié sur le blog de l’entreprise par Mike Schroepfer, directeur technique, le même jour liste toute une série de changements à venir concernant les développeurs d’applications et les données. Ainsi, ils ne pourront plus avoir accès à la liste d’invités d’un événement ou aux messages publiés sur le mur de ce dernier. À l’avenir, seules les applications obéissant aux strictes exigences de Facebook pourront utiliser l’interface de programmation des événements.
Il en est de même pour celle des groupes. Les applications tierces devront bientôt avoir l’aval de Facebook et de l’administrateur pour accéder à un groupe, sachant que la liste des membres et les informations personnelles attachées aux commentaires lui seront interdites. Pour les pages, seuls les développeurs fournissant des services utiles à la communauté auront accès à l’API (« application programming interface ») alors que jusqu’à présent elles étaient ouvertes à tous. Là encore, une autorisation de la plateforme sera obligatoire au préalable.
Deux grands changements affectent l’ouverture de session (« Facebook login »). Les services tiers l’utilisant auront accès aux données comme les likes, les photos ou les vidéos uniquement sur autorisation de Facebook. La modification est d’ores et déjà effective. Par contre, les données comme les convictions politiques, les croyances religieuses, le statut marital, les études ou encore le sport seront interdites aux applications.
Par ailleurs, Facebook s’attaque à deux points qui ont suscité la polémique suite à l’affaire Cambridge Analytica. Tout d’abord, il sera mis fin à l’annuaire inversé. Cette fonctionnalité permettait d’identifier une personne en rentrant son numéro de téléphone ou son adresse mail dans la barre de recherche de la plateforme. En outre, la fonctionnalité exploitant l’historique d’appels et de SMS sera réformée. Elle permet de mettre en avant sur Messenger les contacts avec lesquels vous vous connectez le plus souvent. Elle ne concerne que les utilisateurs d’Android. Facebook va désormais s’assurer que le contenu des messages ne soit pas enregistré. De plus, tous les registres vieux de plus d’un an seront supprimés. Seules les informations nécessaires à cette fonctionnalité seront disponibles sur les serveurs, ce qui exclut des données comme le temps d’appel.
Le billet de blog se termine par un rappel de deux annonces récentes : la suppression des catégories de partenaires et une meilleure visibilité des options permettant aux utilisateurs de contrôler les données partagées par leurs applications.
Des conditions d’utilisation plus accessibles
Dans la foulée de l’annonce de ces mesures, Facebook a mis en ligne des conditions d’utilisation plus claires. Souvent longues et peu compréhensibles pour le commun des mortels, elles sont validées par des usagers pressés qui ne savent pas vraiment à quoi ils ont consenti. Dorénavant, les services offerts par Facebook sont expliqués dans « un langage qui est plus facile à lire ». « C’est une des voies pour que les personnes puissent prendre des décisions éclairées à propos de leur vie privée », indiquent Erin Egan, chargée de la confidentialité chez Facebook, et Ashlie Beringer, responsable juridique. Parmi les nouveautés introduites dans le texte, on trouve des informations sur les fonctionnalités introduites récemment, l’expérience personnalisée, le partage ou encore la publicité. Le partage des services, de l’infrastructure et de l’information entre Facebook, WhatsApp et Oculus est rendu plus explicite. On rappelle que Messenger et Instagram appartiennent à Facebook et que ces services se voient appliquer la même politique de données. À cela s’ajoutent des précisions sur la collecte des données opérée quand vous synchronisez vos contacts depuis l’un de leurs produits. Dernier point : la manière dont Facebook lutte contre les comportements malveillants est mieux expliquée.
Si cette clarification fait suite au scandale Cambridge Analytica, elle intervient aussi quelques semaines avant l’entrée en vigueur du Règlement Général de Protection des Données (RGPD) qui impose notamment plus de transparence dans les pays de l’Union européenne. Dans son interview de mercredi, Zuckerberg a jugé ce texte « très positif ». La nouvelle politique de confidentialité ne concernera d’ailleurs pas que les Européens mais s’étendra au reste du monde même si celui-ci ne devrait pas bénéficier du même niveau de protection.
Article de Thierry Randretsa
