Une entreprise a récupéré les données publiques, notamment de géolocalisation, de plusieurs millions d'utilisateurs d'Instagram. Le réseau social a pris des sanctions envers ce « partenaire de confiance ».

Facebook a dû prendre de nombreuses mesures pour protéger les données de ses utilisateurs ces derniers mois. L’entreprise a semble-t-il oublié d’appliquer certaines règles à Instagram, racheté en 2012. Une enquête de Business Insider publiée ce mercredi 7 août révèle qu’une société a pu collecter les données de géolocalisation de millions d’utilisateurs, ainsi que d’autres informations personnelles comme des stories.

L’entreprise en question s’appelle Hyp3r. C’est une startup américaine spécialisée dans le marketing. Elle a pu collecter des données de géolocalisation partagées par les utilisateurs — lorsque l’on s’identifie dans tel ou tel restaurant par exemple –, les bios des profils publics Instagram, listes d’abonnés et certaines stories qui contenait des géolocalisations. La quantité de données n’a pas été précisée. L’entreprise revendiquait cependant avoir « une base de données unique et de grande valeur de centaines de millions de consommateurs ». Plusieurs sources ont indiqué que 90 % de cette base provenait d’Instagram. Chaque mois, la firme aurait aspiré 1 millions de publications publiées sur le réseau social.

Des stories sur lesquelles figurait une géolocalisation ont été collectées. // Source : Montage Numerama

Ces données collectées durant un an ont été utilisées pour créer des profils d’utilisateurs précis (avec leurs déplacements et centres d’intérêts), que l’entreprise a pu utiliser à des fins de ciblage marketing.

Une méthode légale ?

Pour accéder aux données personnelles, Hyp3r a utilisé la méthode du scraping, qui permet de collecter un grand nombre de données publiques grâce à un logiciel.

Cette pratique n’est pas illégale en soi : elle peut être utilisée par des entreprises ou des journalistes, pour des travaux d’enquête ou de réalisation de base de données. Compiler des données publiques n’est pas interdit. Dans le cas présent, Instagram explique pourtant que la collecte massive est contraire à ses règles d’utilisation, durcies après le scandale Cambridge Analytica. Il est notamment interdit de garder les stories de personnes, supposées disparaître au bout de 24 heures de la plateforme. Récupérer les publications publiques (stories ou images) grâce à leur géolocalisation était en revanche autorisé. Tout le problème vient du fait que Hyp3r était un partenaire d’Instagram.

Carlos Garcia, le CEO d’Hyp3r, a indiqué que sa startup avait «  toujours été une entreprise de marketing authentique qui se conforme avec les règlements sur la vie privée des utlisateurs et les conditions d’utilisation des réseaux sociaux ». « Nous n’avons jamais [collecté] un contenu ou une information qui ne soit pas publique et accessible à n’importe qui en ligne », a-t-il ajouté.

Des sanctions prises contre la startup

Des sanctions ont été prises : Hyp3r a été exclu de la plateforme et a reçu une mise en demeure, a indiqué un porte parole à Business Insider. Des modifications de fond ont également été faites pour éviter que cela ne se reproduise. On ignore pour le moment si d’autres sociétés ont pu effectuer la même opération. Hyp3r faisait ironiquement partie du programme des partenaires marketing Facebook, censé rassembler des firmes validées.

L’application Instagram. // Source : Pexels/CC/energic.com (photo recadrée)

Facebook a plusieurs fois été pointé du doigt pour la faible protection de ses utilisateurs. Dans la majorité des cas, le problème venait des larges accès offerts aux entreprises tierces en matière de collecte de données. Le scandale de Cambridge Analytica par exemple, découlait d’un accès donné à une firme et de la revente illégale de ces données.

Partager sur les réseaux sociaux