Alors que Facebook interdit aux éditeurs d'applications de transmettre des informations sur leurs utilisateurs à des tiers, le Wall Street Journal rapporte que la plupart des applications les plus populaires envoient aux annonceurs l'identifiant des utilisateurs qui cliquent sur les publicités. Mais elles ne font que respecter les standards.

Le Wall Street Journal rapporte ce lundi que la plupart des applications les plus populaires sur Facebook envoient des informations personnelles sur leurs utilisateurs aux publicitaires et à des agences spécialisées dans le profilage des internautes. La pratique, qui est interdite par les règles d’utilisation de Facebook, impacterait y compris les utilisateurs qui définissent dans leur profil les paramètres les plus restrictifs pour l’utilisation de leurs données privées.

La faille exploitée consciemment ou non par les éditeurs d’application leur permet de transmettre aux annonceurs l’identifiant de l’utilisateur sur le réseau social (« Facebook ID »). En soit ces ID ne permettent pas d’accéder aux informations privées de l’utilisateur, mais ils permettent aux publicitaires de savoir précisément qui s’intéresse à leurs publicités, et d’établir des profils à partir des données qui sont souvent publiques comme l’âge, le lieu de domicile, etc.

Selon le WSJ, les applications concernées seraient notamment les jeux Farmville, Texas HoldEm Poker et FrontierVille de l’éditeur Zynga. « Trois des 10 applications les plus populaires, y compris Farmville, ont aussi transmis des informations personnelles sur les amis d’un utilisateur à des sociétés extérieures« , écrit le quotidien américain. Il cite aussi des applications de LOLapps Media Inc. (Gift Creator, Quiz Creator, Colorful Butterflies, Best Friends Gifts…).

L’affaire est toutefois beaucoup moins grave que la diffusion cet été de 100 millions de profils Facebook sur BitTorrent. « Il n’est même pas sûr que les développeurs de beaucoup des applications qui transmettent les Facebook ID étaient au courant que leurs applications le faisaient« , nuance lui-même le journal. Il explique que l’identifiant était communiqué via le « referer » d’un lien hypertexte, donc par l’effet naturel des standards Web. A chaque fois qu’un utilisateur clique sur un lien, la page où figurait le lien est transmise par le navigateur. Y compris lorsqu’il s’agit d’une page d’un profil. En mai dernier, Facebook avait déjà été au centre de préoccupations (grotesques) pour ses URL qui laissent apparaître l’ID des utilisateurs.

Mais beaucoup plus que la négligence supposée de Facebook ou des éditeurs d’applications, ces affaires posent surtout la question de l’éthique des annonceurs et des agences. Le journal cite le cas de la société RapLeaf, spécialisée dans l’agrégation de données sur les internautes, qui aurait lié le Facebook ID envoyé par les applications à des profils d’internautes qu’il connaissait déjà. Il revendait ensuite ces bases de données, notamment à des annonceurs. A la fois la société et ses clients assurent qu’ils ne l’ont pas fait consciemment, et ne l’ont pas exploité. Ce qui n’engage que ceux qui les croient.

Partager sur les réseaux sociaux

Articles liés