Chronique juri-geek

Pourquoi vos données survivront à la suppression de votre compte Facebook et quels en sont les risques ?

Ouvrir un compte Facebook, c'est ouvrir la porte à toutes vos informations. Mike Petrucci/Unsplash, CC BY-SA

Au lendemain de la violation de données à caractère personnel du Facebookgate, le mot dièse #DeleteFacebook (effacer Facebook) a commencé à circuler incitant les utilisateurs à couper l’herbe sous le pied du premier réseau social mondial en fermant leur page. Vos données seront-elles réellement supprimées ou seront-elles encore exploitables par le secteur privé ou par les États ? Est-il possible de continuer à utiliser le site tout en préservant ses opinions politiques ou religieuses ?

Les partenaires commerciaux de Facebook et les développeurs ou éditeurs d’applications et de sites Internet conserveront vos données et continueront à vous cibler

Facebook utilise de multiples vecteurs d’acquisition qui ont pour effet une perte de contrôle de la société sur l’exploitation des données de ses utilisateurs. Tout commence avec les données collectées par l’application ou le site, ainsi que les services Facebook et les compagnies Facebook (atdmt.com, liverail.com, instagram.com) comme les 11 fichiers décrits ici le démontrent. D’autres données sont aspirées par Facebook à travers les autorisations que l’application demande à votre interface de navigation dont celle d’accéder à votre répertoire de contacts qui est importé en continu ainsi que votre position (pour vous aider à trouver vos amis) pendant toute la durée de votre utilisation du site et même en dehors. Avant de supprimer son compte, il faudra donc supprimer vos contenus (en faire une sauvegarde au préalable si nécessaire).

En revanche, pour les données issues des modules sociaux (bouton j’aime et outils publicitaires) c’est-à-dire placés par les entreprises qui utilisent les services Facebook sur leur site ou sur leurs applications, la collecte et donc le profilage ne cesseront pas. En effet, toutes les pages qui recèlent ces boutons permettent de suivre l’utilisateur même lorsqu’il n’est pas connecté à sa page ni même inscrit à Facebook.

De plus, nombreux sont ceux qui voudront continuer d’utiliser ce réseau social et chercheront à maîtriser le ciblage publicitaire. Or, même si vous n’autorisez pas l’utilisation de vos préférences publicitaires par Facebook, vous serez toujours visés par les publicités pour d’autres raisons telles que : votre âge, sexe ou localisation ; le contenu de l’application ou du site web que vous utilisez et votre activité en dehors des entités Facebook. La page sur les cookies et autres technologies de stockage du site indique d’ailleurs maladroitement que :

« D’autres entités sont susceptibles d’utiliser des cookies sur les Services Facebook pour nous proposer des services, à nous ainsi qu’aux entreprises qui font de la publicité sur Facebook. »

Ceci laisse la porte ouverte à l’insertion d’autres traceurs que le site ne semble pas maîtriser.

Échapper à toute publicité est donc tout simplement impossible.

Mais surtout, ce sont les applications téléchargées innocemment pour faire une activité sur Facebook qui ont aussi accès à votre liste d’amis et à toute information que vous choisissez de rendre publique. Inversement : si un ami télécharge une application, celle-ci accède à vos informations. D’ailleurs, vos amis ont accès à vos informations et peuvent les utiliser lorsqu’ils utilisent des applications. Dans l’arborescence des paramètres de Facebook, il existe une page qui permet de limiter ce partage. Outre le fait qu’elle ne soit pas évidente à trouver, les données sont partagées par défaut ! Il s’agit de la bio, date de naissance, famille et relations, centres d’intérêt (pages que vous avez likées), votre site web, votre statut (en ligne ou hors ligne), vos publications sur le journal, villes (d’origine et actuelle). Quitter Facebook ou limiter le ciblage publicitaire n’empêchera pas les développeurs ou éditeurs de ces applications de continuer à utiliser vos données et à les enrichir.

Enfin, le site conservera vos données pendant 90 jours après votre demande de suppression et :

« Si cela est exigé par la loi en vigueur, l’ordonnance d’un organisme gouvernemental ou d’une instance judiciaire, ou autre, nous pouvons conserver ces contenus dans toute mesure nécessaire à ces fins. » (Conditions d’utilisation).

Même la mort physique n’empêchera pas cette exploitation car le réseau social ne peut supprimer la page d’un défunt. Vous recevrez donc encore cette notification de Facebook qui vous informe que c’est bientôt l’anniversaire de votre ami décédé. Le statut reste, les photos restent, les vidéos restent. Le travail de deuil est plus difficile et les témoignages postés par les proches ne font qu’exposer davantage l’intimité du défunt.

Le réseau qui comptera en 2098 plus d’utilisateurs morts que de vivants a créé la fonction « Désigner un légataire » pour que chacun puisse choisir un ami qui gérera son compte : « Ce contact pourra épingler une publication sur votre journal, répondre à de nouvelles invitations et mettre à jour votre photo de profil. Il ne pourra pas publier en votre nom ou voir vos messages. »

On est loin du tiers de confiance certifié par la CNIL pour exécuter vos directives concernant vos données après votre décès.

Conserver sa page pour simplement faire des jeux ? Une autre façon pour le réseau d’obtenir par la ruse des infos que vous n’auriez jamais partagées.

Qui n’a pas vu sur son fil quelque chose comme : « Si Chrystel était un animal, elle serait une biche. Clique ici pour savoir quel animal te correspond ! », ou « Pour quel métier es-tu fait ? », « Que signifie ton prénom ? » À travers de tels jeux, d’apparence anodine, la collecte initialement opérée par Facebook est mise à profit pour des entreprises tierces. En effet, si vous entrez dans le jeu, celui-ci pour répondre à la question doit accéder à tous vos contenus depuis la création de votre page Facebook, y compris vos photos et vidéos !

Ce que l’utilisateur ignore, c’est que la société qui a créé le jeu effectue une copie de l’intégralité de ses contenus et garde un œil sur tous les nouveaux posts, likes, photos et vidéos, etc. L’accès offert n’est pas éphémère, il est bien permanent. Comment cela est-il possible ? Rien de plus simple : accepter de jouer consiste à télécharger une application et lui donner toutes les autorisations d’accès à votre journal, votre profil et tutti quanti. Ainsi, l’utilisateur a livré ses données sans en avoir conscience et continue ce « partage » aussi longtemps que l’application est présente sur son interface de navigation. Pour s’en défaire, il faudrait trouver le développeur de cette application et le contacter pour lui demander d’effacer vos données et ensuite bien sûr la désinstaller. S’il y a une leçon à tirer du FacebookGate, c’est de ne pas donner aveuglément sa confiance à une application qui circule sur un réseau social.

Cette récolte massive de données à caractère personnel est devenue le moyen de collecte le plus lucratif mais aussi le plus sournois utilisé par le réseau social (213 millions de dollars, c’est ce qu’ont rapporté les jeux sur FB au 1er trimestre 2013). Il incite l’utilisateur à offrir au propriétaire de l’application des données auxquelles il n’aurait jamais eu accès en temps normal et d’en générer de nouvelles pour alimenter son business model ou celui de sociétés du groupe. Ainsi, le jeu de réalité augmentée Pokémon Go ! exploité par Niantic Inc. (conglomérat Alphabet – Google) a-t-il probablement permis l’injection de données des dresseurs dans la société Calico à l’objectif transhumaniste tout en récoltant 1,7 milliards de dollars en 12 mois (Pokémon Go ! quel est ton algorithme ?). Le nouveau jeu de réalité augmentée sur lequel travaille Niantic, « Harry Potter » sera une illustration supplémentaire de cette stratégie de valorisation d’actifs.

Récemment sur Facebook, un de ces jeux permettait de savoir à quelle toile vous ressemblez à condition de poster un selfie. Il ne s’agit ni plus ni moins que d’une récolte de données biométriques permettant la reconnaissance faciale. Facebook mettra en œuvre cette technologie en Europe comme nouvelle fonctionnalité (elle existe déjà aux USA depuis 2016). Or, ces données biométriques sont des données sensibles qui ne peuvent être collectées sans le consentement libre et éclairé des usagers et une analyse d’impact sur la vie privée doit être réalisée avant sa mise en œuvre dans l’Union européenne par application du règlement général sur la protection des données à caractère personnel (RGPD – Data Privacy Impact Assessment).

Mais ce n’est pas fini ! En juillet prochain, Fiona et Aloha seront chez vous, à votre écoute : Facebook lancera son produit de reconnaissance vocale (concurrent de l’Echo d’Amazon et de Google Home) qui se combinera à la reconnaissance faciale. Toujours plus de technologie, mais c’est promis c’est uniquement pour vous offrir une meilleure qualité de service.

Vous partagez sans le savoir des données sensibles révélatrices de vos opinions politiques, convictions religieuses, orientations sexuelles avec tous les risques de discrimination qui en découlent

Les « Opinions politiques et religieuses » ne sont pas partagées par défaut : Facebook ne franchit pas ce Rubicon et n’impose pas le partage de ces données sensibles. Encore que… à travers l’activité du compte, l’analyse des contenus, il est aisé d’accéder indirectement à ces éléments. Un exemple de donnée sensible fréquemment partagée est la situation amoureuse. Vous êtes en couple avec « A » qui est aussi votre amie Facebook : vous venez de révéler votre orientation sexuelle à tous les deux !

Or, ces données peuvent être utilisées pour un ciblage de certaines populations, à l’occasion d’élections mais plus couramment pour accéder à un crédit ou à un emploi. Une expérience menée par ProPublica a démontré que Facebook, bien qu’elle s’engage à limiter l’envoi de publicités discriminatoires, a au contraire validé des offres de location excluant les Afro-Américains, les mères de lycéens, les personnes en fauteuil roulant, les juifs expatriés d’Argentine et les personnes s’intéressant à l’Islam.

Cette utilisation illégale de données sensibles sur 73 % des utilisateurs dans l’Union européenne (65 % de Français) a été démontrée par des chercheurs de l’université Carlos III de Madrid. Les publicités ont ainsi ciblé des personnes ayant des centres d’intérêt ultrasensibles pour la vie privée : grossesse, homosexualité, Bible, chrétienté et islam.

En dehors des messages promotionnels, la pratique de l’« astroturfing » s’est développée. Voilà un nouveau mot d’Internet que j’aurais bien du mal à traduire ! Il s’agit d’une technique de propagande utilisée à des fins publicitaire ou politique donnant une fausse impression de comportement spontané ou d’une opinion populaire sur Internet en masquant son caractère commandité.

Or, la diffusion d’un contenu sur un réseau de cette taille le rend d’autant plus crédible. Les réseaux sociaux servent de porte-voix à des millions de personnes qui, avec un faible budget, quelques ordinateurs et aujourd’hui quelques bots répandent de fausses informations pour rallier des gens à leur cause et influencer leurs opinions et décisions. Cette pratique est devenue un réel business avec par exemple des dizaines de milliers de machines twittant en faveur du Brexit. L’analyse de votre activité sur le réseau social a révélé votre opinion politique… un bot a mis un post sur votre mur… et vous l’avez partagé ? Bingo ! Voilà qui est bien dommage, si seulement vous aviez vérifié l’information…

Payer des millions d’euros à la CNIL arrêtera-t-il Facebook ? L’amende du RGPD pour une violation de sécurité des données en ce qu’il y a atteinte à la confidentialité peut atteindre 4 % du chiffre d’affaires global de l’entreprise, mais c’est davantage la communication à ses utilisateurs de ces manquements qui pourrait contribuer à corriger de tels abus (art.34 RGPD).

Le scandale Cambridge Analytica doit ouvrir les yeux des utilisateurs de réseaux sociaux : quels bénéfices retirez-vous d’une telle exposition de votre vie privée ? Pourquoi liker ou retweeter sans avoir vérifié l’information ? Pourquoi faire des réseaux sociaux ce qu’ils ne sont pas : des médias dotés d’éthique et de déontologie ?

Did you know that The Conversation is a nonprofit reader-supported global news organization?