Facebook en redemande

Le 10 janvier 2012

Le 21 décembre dernier en Irlande, l'autorité de régulation des télécoms rendait un audit très critique sur Facebook et sa gestion des données privées. OWNI a voulu savoir comment la major du web allait mettre en application les exigences irlandaises. 500 millions de personnes sont concernées. Facebook dit se réjouir de cette sanction.

Après un audit qui aura duré trois mois, l’autorité de protection des données irlandaise – la DPC – a rendu ses conclusions. Facebook devra clarifier sa politique en matière de protection de la vie privée.

D’après la DPC, un équivalent donc de la Commission nationale informatique et libertés (CNIL) en France, l’entreprise doit “donner des explications plus simples sur sa politique sur la vie privée.” Autrement dit, mieux expliquer ce que deviennent les données personnelles de ses utilisateurs et leur permettre de mieux les contrôler.

En 2008, la société de Palo Alto a installé son QG international à Dublin, en grande partie pour bénéficier des conditions financières attractives offertes par le gouvernement Irlandais. Mais du même coup, Facebook se voit contraint de se soumettre aux lois locales et européennes.

Avant juillet, Facebook devra donc modifier son site pour les quelque 500 millions d’inscrits hors de l’Amérique du Nord. D’après Paula Nerney, de la DPC, le réseau social de Mark Zuckerberg joue le jeu :

[Il] s’engage à respecter la confidentialité des utilisateurs (…) Facebook a pleinement coopéré lors de l’audit, nous leur avons adressé une liste de recommandations, et en juillet nous reviendrons pour un nouvel audit. D’ici là, nous suivrons activement les actions de Facebook Irlande, pour nous assurer que l’entreprise respectera les délais que nous lui avons imposé.

Chez Facebook, on se réjouit officiellement des résultats de l’audit. Anne-Sophie Bordry, directrice des affaires publiques France et Europe du Sud, constate calmement :

L’audit montre que nous sommes vraiment ouverts à la discussion. Nous avons ouvert les portes, pour montrer que nous n’avons rien à cacher. Nous avons mis tout à plat sur le fonctionnement de la plateforme Facebook, et nous travaillerons main dans la main avec la DPC. Nous avons l’occasion de dépassionner certaines angoisses, d’expliquer ce que nous faisons avec les données. Nous sommes très contents.

Bonne humeur chez Facebook, donc. Pourtant, l’entreprise a du pain sur la planche. Elle devra d’abord rendre ses paramètres de confidentialité plus simples et plus clairs. Dans son rapport, la DPC demande à Facebook de simplifier davantage les réglages, qui permettent aux utilisateurs de contrôler ce qui est public ou privé. “Quand on va dans les paramètres de gestion de confidentialité, c’est déjà assez clair, c’est imagé”, lance Anne-Sophie Bordry. “La DPC, mais aussi la CNIL, est d’accord. Vous pouvez avoir un aperçu de votre profil, modifier les paramètres, faire des essais. C’est déjà très bien, mais nous allons améliorer l’outil, le rendre plus clair.”

Pas de détails concrets, pour l’instant, Facebook est en plein “Work in Progress” : “nos ingénieurs planchent sur le sujet“, garantit Michelle Gilbert, directrice de la communication de Facebook France. Elle ajoute :

La DPC a mené son audit avant que sorte la Timeline, la nouvelle version du profil Facebook. Maintenant, on a un plus grand choix, on peut gérer ce qui est visible par d’autres plus facilement. Mais on peut toujours s’améliorer. On va faire en sorte que ce soit plus facile à manier.

Autre point à améliorer, pour l’Autorité de protection des données : la transparence à propos des données récoltées. Si, Facebook insiste, “l’audit était prévu depuis bien plus longtemps”, l’enquête de la DPC fait écho à une série de plaintes, notamment celles de Max Schrems. Cet étudiant autrichien, fondateur du collectif “L’Europe contre Facebook“, avait demandé à Facebook l’intégralité de ses données personnelles, en vertu de la directive européenne 95/46/CE.

Haussement d’épaules de Michelle Gilbert, de Facebook France :

Max a bien réussi à faire parler de lui, mais il nous a accusé de pas mal de choses que nous n’avons pas faites. L’audit l’a prouvé. Ses plaintes reflètent les nombreux fantasmes associés à Facebook. Il n’existe pas, la DPC est d’accord, de “profils fantômes”, des profils de non-inscrits que nous créerions… Nous ne traçons pas non plus les gens. Facebook est un hébergeur : nous stockons des contenus, mais nous ne les regardons pas.

Paula Nerney, de la DPC, trouve légitime l’utilisation par Facebook des informations personnelles de ses membres, afin de continuer à “faire vivre” le site. La DPC ne remet pas en cause l’utilisation d’informations telles que l’âge, le sexe, les relations amoureuses ou la localisation de l’internaute, en direction d’annonceurs à la recherche de publicités très ciblées. Mais “il appartient à Facebook de mieux communiquer sur l’utilisation des données”. Anne-Sophie Bordry insiste sur le “modèle de pub” du réseau social :

Nous ne sommes pas une boîte marketing. Les données des profils vont dans un agrégateur de données anonymisées, et elles ne sont jamais vendues. Nous ne louons pas les données, c’est Facebook qui les utilise pour optimiser les publicités des annonceurs. Mais tout reste à Facebook. De même, comme le confirme la DPC, aucune information collectée n’est associée à l’utilisateur.

Idem pour les données récoltées lorsqu’un utilisateur clique sur le bouton “J’aime”, ce qui permet à Facebook de connaitre ses habitudes de navigation. Les données, comme les informations du profil, “rentrent dans l’agrégateur anonyme que nous utilisons, et elles finissent par être supprimées rapidement.” La DPC demande néanmoins à Facebook d’anonymiser les données plus rapidement, dans les 90 jours, puis de les supprimer. Un délai que Facebook ne respectait pas toujours jusqu’ici. Anne-Sophie Bordry commente :

Même si notre système est déjà convenable, la DPC nous a demandé de supprimer les données plus vite. Nous ferons ce qu’il faut pour raccourcir le délai. Mais nous insistons : Facebook n’utilise pas les données reçues de ce module pour du profilage ou de la publicité ciblée.

Dans son audit, la DPC note que l’utilisateur reconnaît et accepte l’utilisation des données par Facebook lors de son inscription. Après vérification, aucun texte à lire et à accepter. Pour accéder aux informations sur l’usage des données personnelles, il faut se rendre, que l’on soit inscrit ou non, dans les conditions d’utilisation, visibles au bas de chaque page, en petits caractères.

Facebook devra “faire un effort pour rendre ces conditions d’utilisation plus visibles”, indique Billy Hawkes, le commissaire irlandais à la protection des données. Même effort de transparence exigé en ce qui concerne la technologie de reconnaissance faciale utilisée par Facebook pour identifier automatiquement un utilisateur sur une photographie. “Les internautes ne sont pas assez informés quant aux enjeux de cette fonction”, déplore la DPC. En réponse, Facebook s’est engagé à simplifier la procédure de refus d’identification automatique. “Aujourd’hui, on peut refuser les reconnaissances faciales, ou les accepter, il n’y a que deux choix. Nous allons essayer de rendre le système plus fin. Tout cela est en cours d’étude”, lance Michelle Gilbert à Facebook France.

Avant l’entrée en Bourse

Si DPC comme Facebook semblent pleinement satisfaits, au collectif l’Europe contre Facebook, on remarque :

Le rapport de la DPC a été écrit en coopération avec Facebook. Il ne peut donc pas être considéré comme pleinement indépendant…

Pour Facebook, ce rapport apparaît comme une aubaine, l’occasion de peaufiner sa communication dans une période charnière. Le réseau social devrait générer plus de 4 milliards de dollars (3,1 milliards d’euros) de revenus cette année. Au printemps prochain, l’entreprise devrait entrer en Bourse, ce qui pourrait porter sa valeur à 100 milliards de dollars. Un évènement que Facebook ne veut pas voir terni par de nouvelles critiques.

Michelle Gilbert, directrice de la communication de Facebook France, remarque :

Nos utilisateurs doivent se sentir bien. Si nous n’avons pas leur confiance, Facebook n’a plus qu’à mettre la clef sous la porte. C’est pourquoi nous ferons en sorte d’être au point en juillet. Il faut en finir avec les fantasmes autour de Facebook.

“Fantasmes” alimentés par différentes procédures en cours, concernant notamment la nouvelle “Timeline”, et
ses paramètres de confidentialité.

A la DPC, Paula Nerney prévient : “rien n’est joué pour Facebook”. En juillet, un nouvel audit sera réalisé.

Nos conseils vont plus dans le sens d’une “meilleure pratique” que dans celui d’une mise en conformité avec la loi. Si Facebook met en Å“uvre nos recommandations, l’entreprise sera en conformité avec la loi irlandaise. Mais dans le cas contraire, nous disposons d’importants moyens de coercition, que nous n’hésiterons pas à utiliser. Vu la coopération dont à fait preuve Facebook, nous serions déçus si nous étions obligés d’utiliser de tels moyens…

Selon l’enquêtrice du bureau de protection des données, si Facebook ne met pas en Å“uvre les modifications nécessaires, la société“risque d’être poursuivie en justice.” Pas sûr que Facebook soit content dans ce cas de figure.


Illustrations par Tsevis, ArnoKath, Sean McEntee et boltron- via Flickr Creative Commons.

Laisser un commentaire

Derniers articles publiés