Une nouvelle polémique est apparue concernant Facebook. Elle concerne des accords passés entre le réseau social et les constructeurs de smartphones pour leur donner accès à des données personnelles. Facebook assure que tout est légal.

Le temps passe et les controverses impliquant Facebook se succèdent. Alors que le scandale Cambridge Analytica est encore dans tous les esprits, voilà qu’une enquête du New York Times du 3 juin expose en plein jour l’existence d’accords passés entre le réseau social américain et au moins 60 constructeurs de smartphones au sujet du transfert de données personnelles.

Le journal américain a remarqué, en liant un compte Facebook à Hub, qui est le nom donné à l’application de messagerie unifiée présente notamment dans le BlackBerry Z10, que les échanges entre le réseau social et le téléphone n’incluaient pas que des renseignements sur son propriétaire : en réalité, le propriétaire du compte Facebook rattaché à Hub a aussi donné accès à tout son graphe social.

Blackberry Z10
Le BlackBerry Z10. CC BY-NC-ND photo4howi

Outre des données le concernant (informations de profil, identifiant d’utilisateur, nom, photo, page à propos, géolocalisation, adresse e-mail, numéro de téléphone, mais aussi des discussions en privé et les identifiants de ses contacts), le journaliste du New York Times a aussi repéré des requêtes portant sur ses amis mais aussi les amis de ses amis.

Pour les contacts immédiats du journaliste, les informations retournées incluent l’identifiant utilisateur, la date de naissance, le lieu de travail, le parcours scolaire, la situation sentimentale, les tendances religieuses et politiques, les événements auxquels il avait prévu d’assister et le statut, en ligne ou hors ligne. Bref, des éléments qui sont parfois très sensibles.

À partir d’un seul compte, celui du journaliste, des indications détaillées concernant ses 556 contacts ont été transférées de Facebook à BlackBerry, le constructeur du smartphone Z10. Ce n’est pas tout : des informations sur les amis des amis ont aussi pu être partagées, comme les identifiants uniques. Selon les comptes du journal, des données sur 294 258 personnes ont été envoyées.

Facebook NYT graphe social
Visualisation des données transférées.

Facebook en désaccord avec le New York Times

Ces accords de transferts ne concernent pas que BlackBerry. Sont aussi mentionnés des poids lourds comme Amazon, Apple, Microsoft et Samsung. Facebook n’a pas démenti l’existence de ces accords, mais le site a par contre contesté les problématiques qui sont développées dans cette enquête, estimant qu’il s’agissait avant tout de répondre à une fragmentation de l’écosystème mobile.

« Au début de l’ère du mobile, la demande pour Facebook dépassait notre capacité à créer des versions du produit qui fonctionnaient sur chaque téléphone ou système d’exploitation. C’est difficile de s’en souvenir maintenant, mais à l’époque, il n’y avait pas de magasins d’applications », explique le site dans un communiqué. L’App Store et Google Play (ex-Android Market) n’ont par exemple vu le jour qu’en 2008.

Il fallait donc, poursuit l’entreprise américaine, concevoir une application spécifique pour chaque système d’exploitation et chaque terminal, ce qui était interminable. Facebook, qui était alors dans une phase de croissance importante au milieu des années 2000, a choisi dès 2007 de mettre en place des canaux de données pour les fabricants d’appareils.

La version Android et les versions de Facebook produites pour BlackBerry, via l’API du réseau social

Facebook, en tout cas, l’assure : ce sujet n’a rien à voir avec Cambridge Analytica. « Ces développeurs tiers n’ont pas été autorisés à offrir des versions de Facebook aux gens ; au lieu de cela, ils ont utilisé les informations de Facebook que les gens partageaient avec eux pour construire des expériences complètement nouvelles ». Les finalités n’étaient pas les mêmes avec les constructeurs.

«  Ces partenaires ont signé des accords qui empêchaient que l’information issue de Facebook concernant des individus ne soit utilisée à d’autres fins que pour recréer des expériences semblables à Facebook. » Or, pour les recréer, il faut pouvoir afficher des informations de Facebook. Cela veut dire afficher les informations personnelles ou sensibles de ses contacts, si ceux-ci les ont renseignées sur leur profil.

Nous travaillons en étroite collaboration avec nos partenaires pour offrir aux gens d’autres façons d’utiliser Facebook

Le site assure en tout cas « avoir étroitement contrôlé dès le départ » les accès et les API mis à disposition des fabricants de smartphones désireux de recréer une expérience Facebook. Quant aux partenaires, ils avaient de toute façon besoin de l’autorisation de l’utilisateur pour intégrer certaines fonctionnalités en rapport avec l’utilisateur, comme la messagerie ou le carnet d’adresses.

D’après Facebook, cette situation est en train de se résorber simplement du fait du duopole qui s’est mis en place entre Android et iOS. Maintenant que ces deux systèmes d’exploitation dominent l’écosystème mobile, « moins de gens comptent sur ces API pour créer des expériences Facebook sur mesure. » 22 accords ont d’ailleurs été arrêtés, selon une annonce datant d’avril.

CC Stock Catalog

La légalité en question

Quant à la légalité, Facebook doit en principe obtenir le consentement explicite des utilisateurs avant de partager les données personnelles avec un tiers. C’est la conséquence d’un accord signé en 2011 avec l’agence américaine spécialisée dans le droit de la consommation (Federal Trade Commission). Toute la question est de savoir si ces partenariats sont en conformité avec ce cadre.

Naturellement,  les représentants de Facebook assurent que le partage de ces données est conforme à la politique de l’entreprise américaine en matière de protection de la vie privée, à l’accord passé avec le FTC et à ses engagements envers les utilisateurs. La raison ? Ses partenaires industriels sont ici « comme des extensions de Facebook », et donc pas tout à fait des tiers.

Ces « canaux de données privés n’ont pas violé l’accord parce que l’entreprise considérait ses partenaires matériels comme des fournisseurs de services  ». Or, selon l’accord, le site n’a justement « pas besoin de demander une autorisation supplémentaire pour partager des données sur les amis avec les fournisseurs de services ». Facebook serait donc dans une position tout à fait légale.

C’est en tout cas la posture que l’entreprise américaine entend défendre. Reste à savoir si ce type de message arrive encore à passer auprès du public — à supposer qu’il a pu passer un jour — à une époque où s’entrechoquent le scandale Cambridge Analytica, l’arrivée du Règlement général sur la protection des données dans l’Union européenne et les cas où les données sont piratées ou détournées de leurs finalités premières.

Partager sur les réseaux sociaux