Convoqué devant le Congrès cette semaine, Mark Zuckerberg a tenté de présenter l’approche de Facebook à l’égard des données des utilisateurs comme étant ouverte et transparente. Question après question, il s’est focalisé sur les choix en matière de protection de la vie privée qui s’offrent aux utilisateurs et sur la propriété de Facebook de toutes les données que les utilisateurs partagent, et il n’avait pas tout à fait tort. Facebook a des données parce que les utilisateurs les partagent (la plupart du temps). Les utilisateurs contrôlent ces données et peuvent les consulter ou les supprimer quand bon leur semble (à quelques exceptions près). Et si vous supprimez votre compte, (presque) toutes ces données disparaîtront des serveurs de Facebook dans les 90 jours. Rien de tout cela n’est faux, mais comme les parenthèses devraient vous le faire comprendre, il manque des détails, et dès le deuxième jour des audiences, les membres du Congrès se sont rendu compte de cette insuffisance.
L’exemple le plus puissant est venu du représentant Ben Luján (D-NM), qui a confronté Zuckerberg sur l’utilisation par l’entreprise de ‘’Shadow profiles’’ (ou profils fantômes en français) ; un terme désignant la collecte de données non-utilisateur avec lequel Zuckerberg n’était apparemment pas familier.
“Vous avez admis collecter des données sur les non-utilisateurs Facebook”, a demandé Luján. “Ma question est donc : quelqu’un qui n’a pas de compte Facebook peut-il se retirer de la collecte involontaire de données sur Facebook ?’’
“Tout le monde peut se retirer de la collecte de données pour les publicités, qu’ils utilisent ou non nos services”, a déclaré Zuckerberg. “Mais pour empêcher que des personnes se fassent de l’argent grâce à l’information publique, il est impératif que nous sachions quand quelqu’un essaie d’accéder à nos services.”
“Vous avez dit que tout le monde contrôle ses données, mais vous recueillez des données sur des personnes qui ne sont même pas utilisatrices de Facebook, qui n’ont jamais signé de consentement ou d’accord de confidentialité et vous recueillez leurs donnée “, a continué Luján. “Et vous demandez aux gens qui n’ont pas de page Facebook de s’inscrire sur Facebook afin d’obtenir leurs données.”
Lors de l’échange, Luján a abordé une grave faille dans la vision du consentement sur Facebook de Zuckerberg, qui pourrait avoir des conséquences réglementaires dans les mois à venir. Le fait est que, même si vous ne vous êtes jamais inscrit sur Facebook, l’entreprise a toujours une idée générale de qui vous êtes, grâce à des listes de contacts téléchargées, des photos ou d’autres sources.
La collecte de données par Facebook sur les non-utilisateurs de Facebook ouvre un monde de questions sur ce qu’est et n’est pas couvert par la vision de Zuckerberg sur le consentement et le contrôle de l’utilisateur. Zuckerberg a répété à plusieurs reprises que Facebook supprime toutes les données de votre profil si vous supprimez votre compte, mais qu’en est-il des données des shadow profiles qui datent d’avant votre compte ? Zuckerberg a également cité la possibilité de télécharger vos données Facebook, mais non seulement un utilisateur non-Facebook n’aurait pas accès à ces données, mais l’outil de téléchargement omet des données que, clairement, Facebook recueille et utilise, qu’il s’agisse de données provenant du service analytique Pixel de Facebook ou de données de localisation extraites d’un téléphone.
L’exemple le plus concret de shadow profile vient du service Personnes que vous connaissez peut-être de Facebook, étudié en détail par Kashmir Hill à Gizmodo. Même si vous ne vous êtes jamais inscrit sur Facebook, vous apparaissez dans les listes de contacts des personnes qui se sont inscrites. Lorsque les utilisateurs connectent leur compte de messagerie ou leurs numéros de téléphone avec Facebook, d’innombrables non-utilisateurs sont passés au crible. Au lieu de supprimer leurs informations, Facebook conserve les données des non-utilisateurs rattachées à quelque chose que Hill appelle un shadow profile, une banque d’informations fiable gardée en réserve pour que, si jamais vous vous inscrivez sur Facebook, l’entreprise saura exactement qui recommander en tant qu’amis.
Si cela s’arrêtait là, une solution serait facile à trouver, mais les shadow profiles sont devenus une sauvegarde de toutes les données qui n’intègrent pas le profil officiel d’une personne. Facebook dit que lorsque vous supprimez votre compte, toutes vos données sont supprimées des serveurs de l’entreprise dans les 90 jours, mais il est difficile de croire que cela s’applique aux données du shadow profile, qui existe même sans profil officiel. Aujourd’hui, Zuckerberg a assuré au Congrès que l’outil de téléchargement de données de Facebook incluait toutes les informations sur un utilisateur donné, mais il manque une grande partie du suivi sur le Web que Facebook effectue par l’intégration du bouton J’aime sur de nombreuses pages web, ne montrant que les catégories d’intérêt général qui sont créées à partir de ces données. Comment pouvons-nous être sûrs que des données similaires ne sont pas collectées sur des non-utilisateurs, ou qu’elles ne restent pas associées aux utilisateurs après la suppression de leur compte ?
Le représentant Kurt Schrader (D-OR) a essayé d’obtenir une réponse de Zuckerberg sur l’étendue du suivi des utilisateurs de Facebook en dehors de la plate-forme, mais la réponse était ambiguë.
“Je crois comprendre, d’après les témoignages d’aujourd’hui, que même après m’être déconnecté de Facebook, vous avez toujours la possibilité de suivre mes interactions sur le Web “, a demandé Schrader à Zuckerberg.
“Vous avez le contrôle sur ce que nous faisons pour les publicités et sur la collecte d’information basée sur cela” répondit Zuckerberg. “En ce qui concerne la sécurité, il peut y avoir des choses spécifiques sur la façon dont vous utilisez Facebook, même si vous n’êtes pas connecté, que nous stockons pour nous assurer que vous n’abusez pas du système.’’
Cet axe de questionnement est particulièrement délicat pour Facebook car, comme l’a souligné Luján, tous les contrôles de Facebook partent du principe qu’une personne a un profil Facebook. Vous ne pouvez pas modifier vos paramètres publicitaires ou télécharger vos données à moins d’être un utilisateur de Facebook, même si nous savons que l’entreprise détient toujours certaines informations vous concernant. Ce cercle vicieux pourrait bientôt causer des problèmes en Europe, où le RGPD exige la portabilité des données pour tous les citoyens, et pas seulement pour les utilisateurs de Facebook. Entre-temps, les outils de protection des données de Facebook servent surtout à cacher aux utilisateurs la collecte de données plus agressive qui se déroule dans les coulisses. Debbie Dingell (D-MI) a donné un discours enflammé vers la fin de l’audience et a reproché à Zuckerberg de manquer d’information.
“En tant que PDG, vous ne connaissiez pas certains faits importants”, a dit Dingell à Zuckerberg. “Vous ne saviez pas ce qu’est un shadow profile. Vous ne saviez pas combien d’applications vous deviez passer en revue. Vous ne saviez pas combien d’autres entreprises ont acheté les données vendues par Cambridge Analytica…. Vous ne connaissez même pas tous les différents types d’informations que Facebook recueille auprès de ses utilisateurs”.
“Voilà ce que je sais” poursuit Dingell. “Vous avez des traqueurs partout sur le web. Sur pratiquement tous les sites Web, nous tous voyons les boutons Facebook J’aime ou Partager, et avec le Pixel Facebook, les gens peuvent même ne pas voir le logo Facebook. Peu importe si vous avez un compte Facebook. Grâce à ces outils, Facebook est en mesure de recueillir de l’information auprès de nous tous.”