Retour sur le scandale Cambridge Analytica et la (molle) réponse de Facebook

L'histoire de Cambridge Analytica débute en 2014, selon le New York Times. À l'approche de l'élection américaine de mi-mandat, l'entreprise n'avait pas les données ou les outils nécessaires pour le ciblage politique qu'elle voulait mettre en place. Elle aurait récupéré 15 millions de dollars du milliardaire conservateur Robert Mercer, via Steve Bannon, qui jouera par la suite un rôle central dans la campagne présidentielle de Trump.

Selon Christopher Wylie, la société a tenté de profiter de la réputation de Cambridge, en installant par exemple un bureau factice dans l'université, pour impressionner Steve Bannon. Ce dernier serait lui-même à l'origine du nom de la société, qui n'est pas liée à l'établissement.

Pour le compte de l'entreprise, Wylie aurait tenté de s'associer avec un groupe de chercheurs de Cambridge, qui rémunéraient des internautes en échange de réponses à un questionnaire et de données de leur profil. Face à leur refus, il s'est tourné vers Aleksandr Kogan, qui a monté « thisisyourdigitallife », semble-t-il en dehors de toute étude scientifique officielle. La méthode était jugée sûre, rapide, pour une qualité de données inégalable. Elle évitait aussi à la société de profilage de s'exposer directement face à Facebook.

Selon Christopher Wylie, ces données sont les fondations mêmes de Cambridge Analytica, dans son entreprise de microciblage politique. « C'était une expérimentation immorale. Vous jouez avec la psychologie d'un pays entier, sans leur consentement ni conscience, en plein processus démocratique. [...] C'est un service de propagande » a jugé le lanceur d'alerte, lors d'un entretien avec The Guardian.

Dans un reportage en caméra cachée, la chaine britannique Channel 4 a révélé certaines tactiques de la société de communication politique, comme sa capacité à trouver des informations compromettantes sur des personnalités politiques, ainsi que leur implication dans certaines campagnes.

Son directeur général, Alexander Nix, déclare que ses paroles ont été manipulées. Il a néanmoins été relevé de ses fonctions le 20 mars. En parallèle, l'entreprise clame toujours ne plus disposer des données récupérées en 2014, niant toute utilisation dans la campagne de Donald Trump en 2016.

Du laxisme des débuts à la fermeture du robinet à données

Plus que Cambridge Analytica lui-même, c'est Facebook qui est ici mis en cause. Depuis les révélations du 16 mars, l'entreprise a perdu plus de 10 % de sa valeur en bourse, passant de 537 milliards de dollars à 479 milliards aujourd'hui. Le réseau social clame sa responsabilité sociale, particulièrement depuis l'élection américaine de 2016 et les accusations de désinformation politique massive via sa plateforme, attribuée au Kremlin par les États-Unis.

Pourquoi alors permettre un tel accès aux données des internautes par des tiers ? Facebook est avant toute chose une plateforme. En ouvrant les profils des utilisateurs à des développeurs, l'entreprise étend son empreinte sur Internet, en servant par exemple de moyen d'identification sur un site ou de fournisseur de jeux en ligne.

Là-dessus, le groupe se rémunère surtout en fournissant du ciblage publicitaire aux annonceurs, sans que ces derniers accèdent directement aux données. Pour attirer les développeurs à l'époque, Facebook a ouvert grand les portes de ses API, c'est-à-dire la porte d'entrée vers ses fonctions et données... sans assurer un véritable contrôle sur leur utilisation ou le consentement des membres. Et sans jamais en avoir été inquiété jusque là.

Selon Sandy Parakilas, responsable de la plateforme de Facebook entre 2011 et 2012, les récoltes massives auraient été monnaie courante à l'époque, sans que l'entreprise ne s'en inquiète vraiment. Selon lui, un dirigeant aurait même été découragé de vérifier leur utilisation. De tels contrôles auraient pu exposer le groupe à des risques légaux. À l'époque, Facebook aurait ainsi privilégié sa propre sécurité, par l'ignorance.

Parmi les possibilités ouvertes aux développeurs, l'accès aux données des amis (exploité par Cambridge Analytica) était sûrement la plus sensible, surtout après l'affaire Snowden en 2013. Après plusieurs années de libre-service, Facebook a déclaré la fermeture de l'API concernée lors de la conférence F8 en mai 2014. La mesure a pris effet un an plus tard. L'époque est à la reconquête des internautes, alertés des enjeux liés à la vie privée.

Pression, enquêtes et attaques des deux côtés de l'Atlantique

Depuis le week-end dernier, les réactions politiques ont été très nombreuses, suite à l'annonce de la suspension des comptes de Cambridge Analytica et de ses « complices ». Elizabeth Denham, la commissaire à la protection des données britannique (ICO), a rapidement promis une perquisition dans les locaux de Cambridge Analytica.

Manque de pot, Facebook avait déjà envoyé sur place une société spécialisée dans l'enquête numérique, Stroz Friedber. Elle a immédiatement plié bagage à l'annonce d'Elizabeth Denham, assure le réseau social. Selon l'ICO, une telle interférence pourrait bien compromettre l'enquête publique. Un malheur n'arrivant jamais seul, la commission n'arrive pas à obtenir son mandat auprès d'un juge, qui a ajourné la demande pour aujourd'hui.

Le 17 mars, la procureure générale du Massachusetts a promis une enquête contre Facebook et Cambridge Analytica. Le procureur général de New York, A.G. Scheinderman, a rejoint l'opération le 20 mars. Le gendarme américain de la concurrence, la FTC, a aussi lancé sa propre investigation, après un accord en 2011 dans lequel l'entreprise s'était notamment engagée à prévenir les internautes de tout changement dans les paramètres de vie privée.

Le 18 mars, le New York Times rapportait deux requêtes de législateurs. Amy Klobuchar, sénatrice démocrate du Minnesota, a demandé une apparition de Mark Zuckerberg devant la commission judiciaire du Sénat américain. Le parlementaire britannique Damian Collins, qui mène l'enquête sur l'ingérence supposée de la Russie dans le Brexit, a lui réclamé l'apparition d'un dirigeant de l'entreprise devant sa commission.

À Bruxelles, les réactions ont aussi été vives. Le 19 mars, le président du Parlement européen, Antonio Tajani, a annoncé l'ouverture d'une enquête. Claude Moræs, à la tête de la commission des libertés civiles (LIBE) du même parlement, a exprimé sa colère face à la suspension d'Alexander Nix de ses fonctions de directeur général de Cambridge Analytica. Une action bien insuffisante, de son point de vue, pour apaiser les autorités.

De son côté, la Commission européenne a réclamé une enquête des CNIL, réunies dans le G29. Dans un communiqué du 21 janvier, celles-ci soutiennent l'action de leur homologue britannique. Hier après-midi, l'ancien responsable sur la plateforme de Facebook, Sandy Parakilas a été auditionné par une commission du parlement britannique. Il a répété ses accusations, à savoir le laxisme du réseau social sur le traitement des données par des tiers il y a plusieurs années.

Le 20 mars, un groupe d'actionnaires de Facebook a lancé une action de groupe contre la société, rapporte Bloomberg. Ayant acquis des actions après le rapport annuel du 3 février, ils s'estiment lésés par les récentes allégations du Guardian et du New York Times, qui n'y figuraient pas. Une autre action de groupe a été déclenchée en Californie, réclamant 500 millions de dollars suite à l'inaction alléguée du réseau social face au problème.

Enfin, diverses organisations ont réagi aux révélations, dont Mozilla, qui a lancé une pétition pour que Facebook « prenne ses responsabilités » sur la protection des données et annoncé le retrait temporaire de ses campagnes publicitaires. Le groupe australien BetaShares a aussi rejeté le réseau social d'un fonds « éthique ».

Chez Facebook, des audits, un tour de vis... et de la régulation ?

Dans plusieurs déclarations, Cambridge Analytica a clamé son innocence, se disant ouvert aux enquêtes de Facebook. La société n'aurait, par contre, pas répondu aux demandes de la CNIL britannique. Pour sa part, le chercheur russe Aleksandr Kogan (qui a récolté les données en 2014) dit servir de bouc émissaire par la société d'analyse et le réseau social.

Chez Facebook, une réunion interne a eu lieu avant-hier sur le sujet, en l'absence des deux grands patrons, Mark Zuckerberg et Sheryl Sandberg. Leur silence, remarqué, a tout d'abord été brisé par un message public de Zuckerberg et trois entretiens simultanés chez plusieurs médias. Une première.

Il promet une série de mesures pour remédier au problème. La première est un audit des applications ayant accédé à beaucoup de données avant 2014 sur lesquelles l'entreprise a des soupçons de mauvaises pratiques. Celles refusant de se plier à l'exercice verront leur accès aux données coupé. Les membres concernés devraient être contactés, y compris pour celle qui a tout déclenché, « thisisyourdigitallife ».

Ce ménage est accompagné de quelques mesurettes. La première est un tour de vis sur les données fournies aux applications servant à connecter l'internaute sur un site tiers. Ne seront plus disponibles que le nom, la photo et l'adresse e-mail. Aussi, l'accès aux données sera coupé au bout de trois mois d'inactivité d'une application. Ensuite, l'outil de gestion des applications liées au compte sera mis en valeur, au-dessus du fil d'actualité. Enfin, le programme de recherche de bugs (bug bounty) sera étendu aux utilisations frauduleuses de données par des applications tierces.

« C'est une rupture de confiance, pour laquelle je suis désolé. Nous avons une responsabilité, simple, de protéger les données des gens. Sans cela, nous ne méritons pas de servir les gens » a-t-il ainsi déclaré à CNNMoney. Chez Wired, il estime que la plus grande erreur de l'entreprise est d'avoir cru sur parole Cambridge Analytica et ses partenaires en 2015, qui assuraient avoir supprimé les données.

Il s'est par ailleurs dit favorable à plus de régulation, avant de se dédire en partie chez Wired. À CNBC, la directrice opérationnelle Sheryl Sandberg reconnaît que d'autres fuites pourraient apparaître, en assurant que le groupe est « ouvert à la régulation », comme s'il en décidait lui-même.

Quelles suites ?

Dans les semaines à venir, les enquêtes des différentes autorités devraient apporter de premières réponses. En premier lieu, si Cambridge Analytica détenait ou non des données de Facebook en 2016, et s'il les a utilisées. Mark Zuckerberg s'est engagé à témoigner devant les législateurs qui le demandent, ce qui pourrait aussi apporter quelques informations.

Pourtant, sur le fond, la situation changera-t-elle suite à ce scandale ? Les chances sont minces que Facebook revoie son modèle économique, voire renonce à l'ouverture de ses API aux développeurs tiers... malgré tous les contrôles que la société promet.

Il n'est même pas certain qu'elle livre toutes les découvertes effectuées dans son futur audit de développeurs tiers. Les contrôles concrets des internautes sur les données partagées, voire la visibilité au quotidien, n'ont fait l'objet d'aucune annonce de l'entreprise. Le cours de bourse du groupe pourrait, lui, s'en remettre dans quelques semaines, sans trop de difficulté.

Selon Reuters, l'affaire amènerait d'autres acteurs numériques à revoir leurs pratiques. Pourtant, le plus important changement, voire l'éléphant dans la pièce, est européen. Le Règlement général sur la protection des données (RGPD), qui s'applique dès le 25 mai,  renforce grandement les besoins de recueil du consentement et la communication des autorités et internautes en cas de problème, sous peine de très lourdes amendes.

Du point de vue de l'internaute, les changements ne devraient pas être si importants. Est-il utile de revoir les applications installées, voire de supprimer son compte Facebook, comme le préconise le mouvement #deletefacebook ? Pour la tranquillité d'esprit, peut-être. Mais cela ne permettra en aucun cas de retirer les données déjà sorties du réseau social, via les éléments publics du profil, ou les applications associées au compte.

Cela ne changera rien non plus aux collectes massives de données hors de Facebook, qui ne sont pas l'apanage des réseaux sociaux, ou même des entreprises du numérique.