Facebook savait-il que les données fournies de manière consentie par ses utilisateurs à une application étaient revendues sans consentement à une firme d'analyse comportementale ? Comment le réseau social peut contrôler ces accès frauduleux ? Facebook esquisse ses premières réponses.

À l’heure où ces lignes sont écrites, Mark Zuckerberg ne s’est toujours pas exprimé sur l’affaire impliquant un détournement massif des données des utilisateurs de Facebook par la firme Cambridge Analytica. Cela n’a pourtant pas empêché des représentants du réseau social de communiquer. Numerama a eu accès à ces déclarations. On peut commencer à saisir dans ces textes un début de défense, qui sera probablement l’angle d’attaque de Facebook dans cette histoire où on peine à savoir à quel point le réseau social est coupable de ce laisser-faire.

Côté Facebook, c’est Paul Grewal, vice-président et avocat général de l’entreprise qui est le premier à prendre la parole. « Si les faits rapportés sont avérés, c’est un détournement grave de nos règles. Toutes les parties impliquées — SCL Group, Cambridge Analytica mais aussi Christopher Wylie [le lanceur d’alerte, ndlr] et Aleksandr Kogan [le chercheur qui a vendu ses données] — nous ont certifié que les données avaient été détruites. […] Nous prendrons les mesures nécessaires pour que ces données soient effectivement détruites une bonne fois pour toutes et nous agirons également contre tous les protagonistes qui n’étaient pas en règle ».

Mensonges et tromperie

Cette déclaration prudente ne dit pas grand-chose de plus que ce que nous savions déjà : Facebook a engagé une procédure pour enquêter sur Cambridge Analytica et a même engagé une firme d’enquêteurs privée pour mener cet audit. Plus intéressant, Grewal poursuit en estimant que dans l’histoire, Facebook a avant tout été victime d’un scam — l’échelle serait si grande qu’elle confirmerait que le seul rempart contre ce genre d’action reste la formation des internautes.

« Comme tous les développeurs, poursuit le juriste, Aleksandr Kogan a demandé et obtenu l’accès à des informations à des utilisateurs qui ont choisi d’utiliser son application — ils ont tous donné leur consentement. Les utilisateurs ont tous fourni leurs informations, aucun système n’a été infiltré, aucun mot de passe ni aucune information n’a été volé. Néanmoins, il s’agissait d’un scam. M. Kogan nous a bernés. Il a menti sur les usages réels de son application. Il n’a pas respecté nos contrats d’utilisation, notamment du côté des données ».

Facebook, tragiquement impuissant ?

Ce passage est beaucoup plus intéressant, car il montre tout à la fois que Facebook est victime, mais aussi que Facebook est tragiquement impuissant : bien évidemment que le réseau social ne peut pas surveiller chacune des millions d’applications qui sont créées et qui utilisent ses API (interfaces de programmation). Encore moins savoir quand les données recueillies avec le consentement des utilisateurs sont par la suite vendues à des tiers dans ce qui ressemble à une sorte de marché noir.

C’est l’acte même de fournir ses données personnelles à un tiers qui est remis en cause, mais il s’agit de l’usage principal des API — vous faites la même chose quand vous vous connectez avec Facebook sur Numerama et nous sommes tenus par les mêmes contrats d’utilisation (ou de non utilisation), autant que par la loi que nous respectons.

Cambridge Analytica, problème systémique

Mais au fond, combien d’entreprises ou de développeurs ne respectent pas ces lignes directrices et ne se soucient pas des lois en vigueur dans leur pays ? Pour le Guardian, un ancien administrateur de ces données utilisées par les développeurs estime que le marché noir de la donnée Facebook est un fait et que Facebook n’a aucun contrôle. Pour lui, Cambridge Analytica est la partie émergée de l’iceberg.

De son côté, Facebook estime que son travail est bien fait. Justin Osofsky, Vice-Président aux opérations internationales affirme : « Quand des développeurs créent des applications qui demandent des informations, nous faisons une revue des fonctionnalités qui pourraient être contraire à notre politique et nous déterminons si l’application a la légitimité de demander un accè!s aux données. Nous rejetons beaucoup d’applications. » Il finit sa déclaration en rappelant que les applications n’ont plus accès aux données des amis des personnes les utilisant depuis maintenant 3 ans.

Reste à savoir aujourd’hui dans quelle mesure Facebook est capable de contrôler l’accès aux données et de procéder à des audits fiables auprès des développeurs. Tout comme il est nécessaire de connaître les moyens dont Facebook dispose pour faire plier un développeur qui serait hors charte : une fois les données en-dehors du système, comment s’assurer qu’elles ne sont pas utilisées ou tout simplement détruites ? Autant d’inconnues qui entourent le dossier Cambridge Analytica.