« Facebook est un ogre de données et certains cherchent à en abuser. » Le monde est passé en mode Captain Obvious cette semaine face au scandale Cambridge Analytica. Pourtant, la problématique de l'exploitation des données n'est pas nouvelle et déjà assez massive.
Depuis le début de la semaine, l'affaire impliquant Facebook et Cambridge Analytica (voir notre analyse) fait grand bruit. Grâce à l'attitude laxiste du réseau social il y a quelques années et des pratiques indélicates, les données de 50 millions d'utilisateurs ont été récoltées. Et potentiellement utilisées par la suite.
Le scandale, c'est l'exploitation massive de nos données
Le monde entier se scandalise face à une telle « fuite ». Certains invitent à changer des paramètres de vie privée, quand ce n'est pas supprimer son compte Facebook, d'autres enfin dénoncent le manque d'attention ou d'intérêt de l'utilisateur pour les questions relatives à ses données.
Mais au final, on oublie l'essentiel : ce problème va bien au-delà de la société de Mark Zuckerberg, des réseaux sociaux ou des plateformes en ligne. La question est celle de nos choix dans un monde où une multitude d'acteurs économiques, en ligne ou non, vivent de la collecte et du traitement massif de nos données.
Une situation où l'internaute/utilisateur/citoyen est le plus souvent démuni, n'ayant à sa disposition que des procédures complexes pour faire respecter ses droits. Des droits qui sont en train d'être renforcés, même si les débats qui se tiennent actuellement au Parlement nous montrent une partie loin d'être gagnée.
Car sur le terrain du respect de la vie privée et de la protection de chacun, les oppositions sont encore nombreuses. Elles viennent même parfois de ceux qui critiquent assez facilement Facebook depuis quelques jours.
Notre dossier sur l'affaire Facebook / Cambridge Analytica :
- Retour sur le scandale Cambridge Analytica et la (molle) réponse de Facebook
- Exploitation de nos données : quand le sage pointe le problème, l'idiot ne regarde que Facebook
- Facebook et la vie privée : le jour d'après
- Facebook serre la vis sur l'accès aux données, 87 millions de comptes auraient fuité en 2014
Facebook est un symptôme, pas le problème
Commençons par un constat simple : Facebook est un service gratuit, édité par une multinationale américaine, qui engrange chaque trimestre des milliards d'euros. Son modèle économique ? La publicité. Sa force ? Son énorme base d'utilisateurs. Sa matière première ? Les données que vous lui confiez plus ou moins volontairement.
Plus qu'un réseau social, Facebook est une plateforme : de discussion, de contact avec les amis et la famille, d'achat, de services, de prospection commerciale, etc. Pour certains, c'est même une majeure partie de l'expérience en ligne. Une sorte de Minitel nouvelle génération où tout est bleu, joli et souvent gratuit.
Mais chacune de vos actions ou de vos publications est finement triée, analysée et récoltée. Le tout avec un seul objectif : permettre aux annonceurs de vous atteindre à travers des publications sponsorisées. Facebook ne récolte d'ailleurs pas des données qu'à travers son site, mais aussi ceux qui utilisent ses services.
Ainsi, le fameux bouton « J'aime » et autres plugins sont utilisés pour affiner la connaissance du réseau social vous concernant. Connecté (ou pas dans certains cas), vous êtes « traqués ».
Parfois, il y a des ratés. Facebook étant une plateforme, elle laisse des tiers interagir avec vous. Vous leur accordez des autorisations pour des jeux rigolos, des quizz et autres concours sans intérêt. Mais derrière, ils peuvent également en apprendre plus sur vous, parfois trop, comme l'a montré le scandale Cambridge Analytica.
Ici, c'est donc à la justice de faire son travail et de punir toute récolte et tout traitement de données effectués sur de faux prétextes et sans consentement. Mais aussi des acteurs comme Facebook qui ont sans doute manqué à leur devoir de protection des données de leurs utilisateurs au profit de leur écosystème. Face à cela, seule la rigueur des autorités en charge de la protection des données pourra prendre soin des utilisateurs sur le long terme.
Mais quelles possibilités reste-t-il à l'utilisateur pour se protéger ? De meilleurs réglages de ses paramètres de confidentialité ? Revoir les autorisations de ses applications ? Sans doute, mais cela ne changera rien au fait que vos données soient récoltées et puissent un jour se retrouver en de mauvaises mains, d'une manière ou d'une autre.
Certains diront que quitter Facebook est une bien meilleure solution. Mais ce n'est pas toujours possible : besoin professionnel, maintien du contact avec certains proches, etc. La pression sociale est encore forte autour de cet outil pourtant régulièrement décrié.
D'ailleurs, est-ce que quitter Facebook mettrait l'ensemble de vos données en sécurité et vous rendrait plus tranquille en ligne ? Pas forcément. Le réseau social est loin d'être le seul acteur concerné par la récolte et le traitement massif de données, Internet n'est pas le seul lieu où le pistage se multiplie. Un problème si complexe s'attaque... à la racine.
Tout ce que vous faites est de plus en plus public ou connu par des tiers
En tant qu'utilisateur d'Internet (chez vous, à l'école, au travail), vous êtes sous surveillance, d'une manière ou d'une autre. Aux yeux de la CNCTR, votre fournisseur d'accès devrait pouvoir connaître assez précisément sur quels sites vous vous rendez (sans parler des boîtes noires), votre navigateur et les diverses extensions que vous utilisez peuvent aussi collecter de nombreuses informations sur votre parcours en ligne, et parfois même vos mots de passe (oups !).
Les systèmes d'exploitation que vous utilisez peuvent aussi récolter de précieuses informations, une pratique assez courante sur les smartphones mais qui touche de plus en plus nos bons vieux ordinateurs. Sans parler des moteurs de recherche intégrés et autres assistants qui se servent au passage. Les applications que vous avez installées peuvent aussi disposer d'autorisations assez complètes : accès à vos contacts, votre position, votre moyen de transport, etc.
Tout est fait finalement pour que l'utilisateur donne son accord sans trop en avoir conscience, pour éviter les fameuses « frictions » qui pourraient lui donner l'idée folle de se demander : « mais pourquoi une application de lampe torche veut savoir quelle est ma position géographique et accéder à l'ensemble de mes contacts ? ».
La montée en puissance des réseaux sociaux n'a rien arrangé. Pensez donc : au quotidien des millions de personnes livrent des détails sur leurs pensées, leurs goûts, leur activité, le lieu où elles se trouvent, ceux avec qui ils interagissent, etc., avec un smartphone dans la poche, une montre connectée au poignet et pourquoi pas un assistant personnel à leur écoute. Le tout, accessible dans une interface en ligne.
Sur Twitter, tout ce que vous dites est public à moins que vous ayez décidé de limiter l'accès à votre compte (et donc vos interactions). Ainsi, n'importe qui peut récolter l'ensemble de vos publications, vos photos et vidéos. Mis bout à bout, cela donne une bonne idée de la personne que vous êtes, tout du moins en ligne.
Sur Facebook, il est plus facile de restreindre les données à vos amis seulement, tout comme de nombreuses informations personnelles. Mais là aussi, tout est fait pour que le partage soit la règle. Ainsi, un bon matin, certains découvrent que le réseau social est également l'un des plus gros annuaires mondiaux.
Mais ça ne s'arrête pas là : quels sont les réglages de votre compte Google, de tous les services du géant du web auxquels vous accédez à travers vos différents appareils ? Quid de LinkedIn, de WhatsApp ou même de l'ensemble des services et applications que vous utilisez au quotidien ?
Regardez de plus près, vous verrez que la récolte et le traitement de vos données est partout, et encore assez souvent active par défaut ou malgré vous. La raison est simple : c'est ce qui finance tous les géants du numérique... mais pas que.
L'exploitation des données est un modèle économique majeur
Ce modèle n'est pas celui d'Internet ou que celui des « GAFAM ». Même à l'heure actuelle, il est loin d'être circonscrit à vos activités en ligne. Il est déjà partout, depuis longtemps.
La raison ? La promesse de la gratuité ou de tarifs réduits financés par la publicité, nourrie de la démocratisation du numérique, s'est accompagnée d’une récolte et exploitation massive des données. Ce, même dans le monde physique.
Les grands magasins vous suivent ainsi avec votre smartphone et autres « scanettes », traquent vos habitudes à coup de cartes de fidélité. Le consommateur est séduit par l'intérêt monétaire, sans jamais avoir conscience de la quantité d'informations que contiennent ces profils. N'oublions pas la multitude d'acteurs qui font mouliner toutes ces données à leur profit...
Dit autrement, si vous vous inquiétez de savoir ce que Facebook sait de vos goûts, demandez-vous ce que l'on pourrait tirer de l'ensemble de vos tickets de caisse, dans un secteur dopé à la concentration des acteurs et des données.
Actuellement, votre banque connait la moindre de vos dépenses, votre service de transport en commun ou votre taxi sait où vous allez. Mais tout cela dépend de plus en plus d'acteurs du numérique, et parfois même de votre smartphone. Là aussi, ces éléments bout à bout et leur exploitation commerciale peuvent avoir un intérêt majeur. Et en cas de fuite...
« Le cloud, c'est l'ordinateur de quelqu'un d'autre »
Car le tout est stocké dans le « cloud ». Mais comme le dit assez régulièrement Tristan Nitot, ce « cloud » c'est avant tout un ensemble de machines qui ne vous appartient pas. Où vos données sont stockées dans des conditions que vous ne connaissez pas toujours avec précision, sans parler des reventes et autres recoupements à travers les fameux Data Brokers, en général assez peu visibles.
Vous utilisez une messagerie qui n'est pas chiffrée de bout en bout, à l'instar de celle de Twitter, quelqu'un peut donc potentiellement accéder à vos conversations. Il en est de même pour le stockage en ligne, ce que vous partagez avec Facebook même avec un groupe restreint. Quelque part, cette donnée existe et peut être exploitée. Une faille, un bug, une utilisation malencontreuse et votre vie peut se retrouver exposée.
« Ne mets pas en ligne ce que tu ne veux pas que l'on sache de toi » disent certains. Un sage adage, compliqué à suivre au quotidien. Les solutions techniques assurant une protection concrète de l'utilisateur ne sont pas toujours mises en œuvre... Les pouvoirs publics ne poussant pas systématiquement en ce sens.
La question du chiffrement de bout en bout, face aux besoins déclarés des enquêtes policières, est une bonne illustration. Ici, certains préfèrent que l'on privilégie l'accès des autorités à la préservation de tous. Au risque de se retrouver avec des utilisateurs ou même des entreprises aux données peu protégées.
Se focaliser sur Facebook, pour ne pas voir l'éléphant dans la pièce
Ainsi, quand on ne s'attaque à la question de la vie privée ou de la protection des données que lorsqu'une plateforme américaine est sous les feux des projecteurs, on loupe l'essentiel du problème.
Là aussi, il suffit de regarder un peu partout, et même assez proche de nous. Car la quasi-totalité des sites que vous visitez, même français, collecte des informations sur vous, votre navigation et votre machine. Ils vous accolent un identifiant unique, transmettant le tout à des tiers à des fins publicitaires.
Le Figaro : 200 millions de cookies, 15 millions de profils. "On peut baisser la pression pub" #SoSmart pic.twitter.com/EXZuSfZFBY
— David Legrand (@davlgd) 26 novembre 2015
Ces derniers se feront un plaisir de recouper ces informations afin de mieux vous profil... comprendre, et « vous offrir un meilleur service ». Le tout sans vraiment vous demander votre avis. Il est d'ailleurs assez amusant de voir de nombreux sites de presse s'alarmer de la fuite de données d'internautes, alors qu'ils sont eux-mêmes un dispositif de récolte massive à travers la publicité programmatique.
Comme vous pouvez le voir avec un outil tel que Kimetrak, nombreux sont les médias qui intègrent jusqu'à une centaine de scripts tiers dans leurs pages à travers la publicité programmatique, divers partenariats et autres choix techniques. Autant d'acteurs qui peuvent vous suivre en ligne.
Des oppositions fortes à une meilleure règlementation, l'utilisateur démuni
Google se propose même de vous profiler à travers ses services et ses outils de machine learning, pour indiquer aux médias si vous êtes susceptibles de vous abonner à des journaux en ligne ou non. Dès lors, on comprend mieux pourquoi certains s'opposent vigoureusement au renforcement de la règlementation.
En Europe, le Règlement général sur la protection des données (RGPD) s'appliquera dès le 25 mai prochain. Voté en 2016, il continue d'être critiqué et fait l'objet de difficiles discussions au parlement français. Il doit être complété par ePrivacy, toujours en négociation. Des acteurs de la publicité, des services en ligne mais aussi certains médias, qui vivent tous de la récolte de données, sont vent debout.
Ils multiplient tribunes et lettres ouvertes pour expliquer que « l'économie de la donnée est un pilier de la croissance, de la création d’emplois et du progrès social à venir » s'opposant à une gestion du consentement au sein des navigateurs, ce qui priverait « les internautes de décider en conscience de la relation qu’ils souhaitent entretenir avec chacun des sites », le tout sans prendre en compte « la chaine de valeur complexe de la publicité́ numérique et son évolution rapide ».
Le tout soutenu par le ministère de la Culture ou encore le secrétaire d'État au numérique, Mounir Mahjoubi, qui affiche pourtant assez souvent des positions en faveur du respect de la vie privée.
Il y a pourtant fort à faire. Car la véritable solution à ces fuites de données, outre l'action des autorités de contrôle comme la CNIL, passe par la meilleure information de l'utilisateur, le renforcement du contrôle sur ses données et la simplification des procédures. Ceux qui ont un jour tenté d'obtenir la suppression de comptes en ligne, leurs données ou même de retirer leur consentement suite à un mail ou face à de la publicité ciblée, savent de quoi il est question.
Imposer le consentement à la collecte, faciliter la portabilité et la suppression des données, permettre un libre choix face à des acteurs qui abusent de leur position dominante, notamment à l'heure du développement des objets connectés, soutenir des acteurs qui misent sur le respect de la vie privée et de l'utilisateur, voilà des initiatives à prendre pour éviter que les scandales ne se multiplient, sur Facebook ou ailleurs dans les années à venir.
Si l'on continue de voir le respect de la vie privée comme un risque, une contrainte, une obligation, un caillou dans la chaussure d'une économie numérique qui voudrait se construire autour de la récolte massive de données à tout prix, on ne fera que nourrir les scandales de demain. Car l'avenir de l'économie, notamment en Europe, consiste sans doute plus à soutenir le Cozy Cloud ou le Snips d'aujourd'hui, qu'à construire un Google ou Facebook français.
