L'affaire Facebook a rendu plus pressantes les questions que se posent des internautes sur l'utilisation des données recueillies par les réseaux sociaux et les moteurs de recherche. Panorama des pratiques, alors que Mark Zuckerberg a été auditionné par le Congrès américain.
Les réseaux sociaux recueillent tout ce qu'un utilisateur écrit sur sa page, toutes les photos ou vidéos qu'il poste, tous les "J'aime" sur lesquels il clique, tout ce qu'il partage, tout ce qu'il consulte, l'identité des utilisateurs avec lesquels il interagit, ou sa géolocalisation. C’est notamment le cas avec Facebook, Instagram et WhatsApp, filiales du premier cité, ainsi que de Snapchat ou Twitter. Si l'utilisateur l'y autorise, Facebook peut aussi aller chercher des informations sur les sites internet qu'il consulte tout en étant connecté au réseau social.
Facebook assure ne pas vendre à ses clients annonceurs des données personnelles identifiables ou même des données agrégées. Ce qu'il facture, c'est la possibilité pour un annonceur de toucher uniquement, parmi ses utilisateurs, de cibler le créneau de population qu'il vise, ce qui démultiplie l'efficacité d'une campagne. « Facebook n'est pas dans la vente de données, il est dans la vente de pixels », résume Ryan Matzner, co-fondateur de Fueled qui crée des applications pour des clients.
D’autre part, Twitter, vend des tweets, où plutôt l'accès à un moteur de recherche interne pour balayer tous les messages postés sur une période donnée.
L'immense majorité des réseaux sociaux ouvrent leurs portes aux développeurs externes, qui créent des applications nourries, pour tout ou partie, par l'exploitation des données des utilisateurs de ces réseaux. Dans le cas de Facebook, la partie publique, c'est-à-dire toute la page pour certains, uniquement le nom, prénom et la photo pour d'autres, ne nécessite pas d'autorisation de l'utilisateur, explique Ryan Matzner. En revanche, l'utilisation du reste requiert, elle, le consentement de l'intéressé.
Seules les données bancaires ou de paiement, que détient Facebook, sont hors limites. Néanmoins, tempère Ryan Matzner, « Beaucoup de choses qui étaient possibles il y a 5, 6 ou 7 ans ne le sont plus car Facebook était plus ouvert à l'époque. »
Mais une fois que les données sont recueillies par ces applications, elles échappent à Facebook ou aux autres réseaux sociaux. Tenter de remettre la main sur ces informations, « pour Facebook, c'est essayer de s'en prendre à quelque chose sur lequel ils n'ont pas autorité. Et il n'y a même pas d'outils pour ça, quoi qu'ils en disent », explique Chirag Shah, professeur à l'université Rutgers spécialiste des données sur les réseaux sociaux.
« Une fois que quelqu'un a eu accès à ces données, Facebook n'a aucun moyen d'être certain de ce qu'il en fait », renchérit Ryan Matzner. « Ils ne peuvent que le croire sur parole. C'est comme envoyer un courrier électronique et se demander ce que votre destinataire en a fait. Vous n'en savez rien. »
Outre les réseaux sociaux, les moteurs de recherche recueillent toutes les données concernant les recherches, la géolocalisation ou les sites consultés. A l'instar de Google, Yahoo! (groupeOath) ou Bing (Microsoft), les principaux moteurs de recherche sont intégrés au sein de géants d'internet qui proposent de nombreux autres services aux internautes. A travers eux, les groupes recueillent des données supplémentaires qui, croisées avec celles tirées du moteur de recherche, dressent un profil encore plus précis de l'internaute. « Vous n'avez pas besoin de signaler à Google votre âge ou votre sexe », explique Chirag Shah. « Le moteur peut le déterminer grâce à une multitude d'autres facteurs. »
Tout comme les réseaux sociaux, leurs revenus proviennent en grande partie de la publicité. Ils ne vendent pas de données mais l'accès à un consommateur aux caractéristiques très précises, fruit du croisement des données du moteur de recherche, mais aussi, dans le cas de Google, de toutes les recherches et contenus visionnés sur YouTube, sa filiale. Google a même longtemps exploité le contenu des messages électroniques pour les internautes ayant un compte Gmail, avant de renoncer publiquement, en juin dernier.
Y a-t-il des limites?
Aux États-Unis, il n'existe quasiment aucune loi protégeant l'utilisation des données provenant des réseaux sociaux ou des moteurs de recherche. L'autorité de régulation, la Federal Trade Commission (FTC), veille cependant et a déjà sanctionné Facebook dès 2011 pour sa gestion des données personnelles. Elle a également conclu un accord avec Google en 2013 pour annihiler des pratiques anti- concurrentielles.
Au Canada et en Europe, il existe des limites sur l'utilisation des données, notamment pour tout ce qui concerne les informations ayant trait à la santé, explique Ryan Berger, associé au sein de la branche canadienne du cabinet Norton Rose Fulbright, qui souligne néanmoins que la jurisprudence est encore quasiment inexistante concernant ces sujets.
En Europe, Facebook a été sanctionné en 2017 à hauteur de 110 millions d'euros par la Commission européenne pour le partage de données personnelles avec WhatsApp. En France, la Commission nationale de l'informatique et libertés (CNIL) a infligé, en mai 2017, une amende de 150 000 euros à Facebook pour des « manquements » dans sa gestion des données des utilisateurs.
Le nouveau Règlement général sur la protection des données (RGPD), texte européen qui entrera en vigueur le 25 mai, va définir des lignes plus claires dans le recueil des données.