L’affaire Facebook a fait plus pressantes les questions des internautes sur l’utilisation des données recueillies par les réseaux sociaux et les moteurs de recherche. Panorama des pratiques, alors que Mark Zuckerberg est auditionné mardi par le Congrès américain.
Les réseaux sociaux :
– Ce qu’ils recueillent : tout ce qu’un utilisateur écrit, sur sa page Facebook par exemple, ou ailleurs sur le réseau social, toutes les photos ou vidéos qu’il poste, tous les “J’aime” sur lesquels il clique, tout ce qu’il partage, tout ce qu’il consulte, l’identité des utilisateurs avec lesquels il interagit, ou sa géolocalisation. Il en va de même avec Instagram et WhatsApp, filiales de Facebook, Snapchat ou Twitter, même si la palette est moindre sur ces plateformes. Si l’utilisateur l’y autorise, Facebook peut aussi aller chercher des informations sur les sites internet qu’il consulte tout en étant connecté au réseau social.
– Ce qu’ils vendent : Facebook assure ne pas vendre à ses clients annonceurs de données personnelles identifiables ou même des données agrégées. Ce qu’il facture, c’est la possibilité pour un annonceur de toucher uniquement, parmi les utilisateurs de Facebook, la population qu’il vise, ce qui démultiplie l’efficacité d’une campagne. “Facebook n’est pas dans la vente de données, il est dans la vente de pixels”, résume Ryan Matzner, co-fondateur de Fueled, qui crée des applications pour des clients.
Twitter, lui, vend des tweets, où plutôt l’accès à un moteur de recherche interne pour balayer tous les messages postés sur une période donnée.
– Ce qu’ils partagent : l’immense majorité des réseaux sociaux ouvrent leurs portes aux développeurs externes, qui créent des applications nourries, pour tout ou partie, de l’exploitation des données des utilisateurs de ces réseaux.
Dans le cas de Facebook, la partie publique, c’est-à-dire toute la page pour certains, uniquement le nom, prénom et la photo, pour d’autres, ne nécessite pas d’autorisation de l’utilisateur, explique Ryan Matzner. En revanche, l’utilisation du reste requiert, elle, le consentement de l’intéressé.
Seules les données bancaires ou de paiement, que détient Facebook, sont hors limites. Néanmoins, tempère, Ryan Matzner, “beaucoup de choses qui étaient possibles il y a 5, 6 ou 7 ans ne le sont plus car Facebook était plus ouvert à l’époque”.
Mais une fois que les données sont recueillies par ces applications, elles échappent à Facebook ou aux autres réseaux sociaux.
Tenter de remettre la main sur ces informations, “pour Facebook, c’est essayer de s’en prendre à quelque chose sur lequel ils n’ont pas autorité. Et il n’y a même pas d’outils pour ça, quoi qu’ils en disent”, explique Chirag Shah, professeur à l’université Rutgers et spécialiste des données sur les réseaux sociaux.
“Une fois que quelqu’un a eu accès à ces données, Facebook n’a aucun moyen d’être certain de ce qu’ils en ont fait”, renchérit Ryan Matzner. “Ils ne peuvent que les croire sur parole. C’est comme envoyer un courrier électronique et se demander ce que votre destinataire en a fait. Vous n’en savez rien.”
Les moteurs de recherche :
– Ce qu’ils recueillent : toutes les données concernant les recherches, la géolocalisation ou les sites consultés. A l’instar de Google, Yahoo! (groupe Oath) ou Bing (Microsoft), les principaux moteurs de recherche sont intégrés au sein de géants d’internet qui proposent de nombreux autres services aux internautes. A travers eux, les groupes recueillent des données supplémentaires, qui croisées avec celles tirées du moteur de recherche, dressent un profil encore plus précis de l’internaute. “Vous n’avez pas besoin de dire à Google votre âge ou votre sexe”, explique Chirag Shah. “Ils peuvent le déterminer grâce à une multitude d’autres facteurs.”
– Ce qu’ils vendent : tout comme les réseaux sociaux, leurs revenus proviennent en grande partie de la publicité. Ils ne vendent pas de données mais l’accès à un consommateur aux caractéristiques très précises, fruit du croisement des données du moteur de recherche, mais aussi, dans le cas de Google, toutes les recherches et les contenus visionnés sur YouTube, sa filiale. Google a même longtemps exploité le contenu des messages électroniques pour les internautes ayant un compte Gmail, avant de renoncer publiquement, en juin dernier.
– Ce qu’ils partagent : ils ouvrent leurs portes aux développeurs et aux applications, comme les réseaux sociaux.
Y a-t-il des limites?
Aux Etats-Unis, il n’existe quasiment aucune loi protégeant l’utilisation des données provenant des réseaux sociaux ou des moteurs de recherche. L’autorité de régulation, la Federal Trade Commission (FTC), veille cependant et a déjà sanctionné Facebook dès 2011 pour sa gestion des données personnelles. Elle a également conclu un accord avec Google en 2013 pour des pratiques anti-concurentielles.
Au Canada et en Europe, il existe des limites sur l’utilisation des données, notamment pour tout ce qui concerne les informations ayant trait à la santé, explique Ryan Berger, associé au sein de la branche canadienne du cabinet Norton Rose Fulbright, qui souligne néanmoins que la jurisprudence est encore quasiment inexistante sur ces sujets.
En Europe, Facebook a été sanctionné en 2017 à hauteur de 110 millions d’euros par la Commission européenne pour le partage de données personnelles avec WhatsApp.
En France, la Commission nationale de l’informatique et libertés (CNIL) a infligé en mai 2017, une amende de 150.000 euros à Facebook pour des “manquements” dans sa gestion des données des utilisateurs.
Le nouveau Règlement général sur la protection des données (RGPD), texte européen qui entrera en vigueur le 25 mai, va définir des lignes plus claires dans le recueil des données.