Des partenariats ont été conclus entre Facebook et environ 150 entreprises tierces entre 2010 et 2018. Ces dernières avaient accès à des données personnelles, comme les messages privés des utilisateurs.

Ces derniers mois, les révélations sur l’utilisation des données personnelles par Facebook se sont multipliées. Après Cambridge Analytica, des failles de sécurité ou un bug donnant accès à nos photos à des applications, le New York Times a publié une nouvelle enquête édifiante sur ce sujet mardi 18 décembre. On y apprend, entre autres, que le réseau social a laissé à Netflix et Spotify la possibilité de lire les messages privés de ses utilisateurs, sans que ces derniers ne le sachent.

Des accès aux messages privés, listes d’amis et numéros de téléphone

Le média américain interrogé 50 anciens employés, et consulté des centaines de pages de documents internes à Facebook qui datent de 2017. Ces documents concernent les accords passés entre Facebook et des tiers sur des échanges de données, dont certains étaient publics, d’autres confidentiels.

Facebook a autorisé des entreprises tierces à accéder à certaines données personnelles. // Source : Facebook

Ils montrent d’abord que Facebook a autorisé le moteur de recherche Bing (qui appartient à Microsoft) et le média The Times à voir les listes de tous vos amis sur le réseau social, sans votre consentement. Netflix, Spotify et la Royal Bank of Canada, pouvaient quant à eux lire vos messages privés, en écrire ou même… en supprimer.

Des entreprises pouvaient obtenir des données sur des personnes dont les amis avaient accepté de partager des données avec elles. C’est le cas d’Amazon, Sony, Microsoft et Yahoo. Les trois premières pouvaient voir des informations de contacts (mail, et nom et numéro de téléphone dans le cas d’Amazon) des amis de ceux qui avaient consenti à lui fournir des données personnelles. Yahoo avait accès aux messages que ces derniers postaient sur la plateforme, sur leur mur.

Des données récoltées entre 2010 et 2018

En mars 2018, Facebook s’était retrouvé au cœur du scandale Cambridge Analytica. Cette affaire concernait la collecte de données sans le consentement des utilisateurs, et leur potentielle utilisation à des fins politiques. La société Cambridge Analytica avait pu recueillir des données grâce à un questionnaire proposé aux utilisateurs. Ceux qui acceptaient d’y répondre consentaient à partager leurs données. Parce que Facebook l’autorisait dans son API, l’entreprise avait pu ensuite récolter des informations personnelles sur les amis de ces personnes.

Après l’affaire Cambridge Analytica, Facebook avait annoncé que cette fonctionnalité proposée aux applications tierces avait été désactivée plusieurs mois auparavant. Pourtant, le New York Times raconte que Yahoo et Amazon ont pu en profiter pas plus tard que cet été pour récolter des données.

Le cas de Yahoo et Amazon est récent, mais d’autres sont plus anciens. Au total, le New York Times a eu accès à des accords sur les données personnelles bénéficiant à 150 entreprises. Des centaines de millions d’utilisateurs étaient concernés chaque mois par ces collectes non consenties, qui ont débuté en 2010 pour les plus anciennes. Toutes ces campagnes de collecte de données étaient toujours actives en 2017. Certaines ont duré jusqu’en 2018, mais ne semblent plus être d’actualité en ce mois de décembre.

Des données ont été utilisées de manière anonymisée, à des fins de recherche ou pour améliorer des services Facebook. D’autres accords passés avec des douzaines d’entreprises posent davantage problème en matière de respect de la vie privée.

Les entreprises se défendent d’avoir profité des accès offerts par Facebook

En 2011, Facebook avait signé avec la Commission fédérale du commerce (FTC) américaine un accord. Il stipulait que le réseau social ne partagerait pas de données personnelles sans le consentement explicite des utilisateurs concernés.

Steve Satterfield, directeur de la vie privée et des politiques publiques chez Facebook, a assuré dans un communiqué transmis à Numerama qu’aucun accord révélé par le média ne violait le pacte passé avec la FTC. Cela s’explique par le fait que les firmes « partenaires » (Netflix, Spotify et les autres) étaient considérées comme des fournisseurs de services sur Facebook, et non des tiers. De fait, elles pouvaient obtenir des données personnelles sans devoir s’assurer du consentement des utilisateurs – il leur était en revanche interdit de les utiliser à des fins commerciales.

ZuckerbergCongrès
Mark Zuckerberg devant le congrès américain. // Source : Capture d’écran YouTube

Steve Satterfield a ajouté que Facebook était malgré tout conscient que certaines utilisations de données pouvaient ne pas être suffisamment encadrées. C’est pour cette raison, dit-il, que le réseau social a entrepris de mettre fin progressivement aux partenariats susmentionnés.

Le New York Times s’est entretenu avec quatre anciens employés de la division dédiée à la protection des consommateurs de la FTC. Tous estiment que les accords entre Facebook et les entreprises ont probablement violé l’accord passé avec la FTC en 2011.

Dans un communiqué, Netflix a indiqué à Numerama qu’«  à aucun moment, [ils] n’ont eu accès aux messages privés des utilisateurs sur Facebook, ou demandé la possibilité de le faire ». Spotify a dit ne pas avoir été au courant qu’ils pouvaient consulter les messages privés, tandis que la Royal Bank of Canada a nié les faits. Amazon, Microsoft, Yahoo et d’autres ont affirmé avoir utilisé correctement les données. Le Times, l’un des 9 médias cités dans l’affaire, dit ne pas en avoir récolté.  Une porte-parole a expliqué au média américain qu’aucune preuve d’abus de la part des entreprises tierces concernées n’avait été trouvée en interne.

Le hashtag #DeleteFacebook de retour

Au printemps, la FTC a ouvert une enquête sur la gestion des données personnelles par Facebook. Le département de la justice américain mène également des investigations. En Europe, et plus précisément au Royaume-Uni, le réseau social a été condamné à payer une amende de 500 000 livres fin novembre. Bien que cela ne représente que 7 minutes de son chiffre d’affaires, Facebook a estimé qu’il n’avait pas à payer, et a donc fait appel de la décision de justice.

Suite à l’affaire Cambridge Analytica, un hashtag #DeleteFacebook (supprimez Facebook) avait été lancé. Les nouvelles révélations du New York Times l’ont fait resurgir, notamment sur Twitter. Facebook compte toujours 2,2 milliards d’utilisateurs à travers le monde, et ce chiffre a peu évolué malgré les scandales liés aux données personnelles.

Ces dernières restent au cœur du modèle économique de Facebook. Certes, l’entreprise ne les vend pas directement, mais elle consent à les partager avec des entreprises, par exemple à des fins de ciblage publicitaire. Ceci est légal, à condition de respecter des conditions, comme le consentement préalable des utilisateurs.

Contacté par Numerama, Facebook a ajouté via l’intermédiaire d’un porte-parole : « Nous avons construit notre politique de vie privée autour de la protection des informations personnelles (…) comme il est écrit dans notre accord passé avec la FTC ». L’entreprise assure que ses équipes travaillent activement sur la question.

Crédit photo de la une : Facebook / Numerama

Partager sur les réseaux sociaux