Face à des sénateurs et représentants américains, le PDG de Facebook a répété que les scandales sur la vie privée sont des artefacts d'un lointain passé « idéaliste ». Le modèle publicitaire et l'exploitation de données personnelles ne semblent pas près d'être remis en cause outre-Atlantique, même si les parlementaires envient le RGPD européen.
L'épreuve est passée. Sur près de dix heures hier et avant-hier, des parlementaires américains ont enchainé les questions au fondateur de Facebook, Mark Zuckerberg. Les deux auditions, déclenchées par le scandale Cambridge Analytica, une société de ciblage électoral qui a récupéré des données de dizaines de millions d'internautes (voir notre analyse), ont rarement mis en difficulté le patron du réseau social, entrainé pour l'occasion.
D'abord au Sénat le 10 avril, puis à la Chambre des représentants le 11 avril, Zuckerberg a inlassablement répété les annonces des dernières semaines, que ce soit sur la protection des données, l'ingérence russe dans la campagne présidentielle de 2016 ou le cas plus spécifiques de Cambridge Analytica.
Le discours est simple : le ciblage publicitaire est nécessaire au service et peut être vertueux, tout comme le partage de données avec des tiers. Si une tension entre le traitement massif de données personnelles et le respect de la vie privée émerge, Zuckerberg promet de privilégier l'intérêt de ses utilisateurs. La promesse, qui reste encore à concrétiser, est un pur acte de contrition de la part du groupe.
D'ailleurs, le partage massif de données avec des tiers, sans contrôle, est un artefact du passé. Le patron a appris de ses erreurs et l'entreprise a bien subi son électrochoc ; la présence volontaire de Zuckerberg au Congrès devant le prouver. Il met ces errements sur le compte de son « idéalisme », niant que la recherche de profits puisse être à l'origine de l'open bar sur les informations des internautes.
Le passage de Mark Zuckerberg à la Chambre des représentants
Un terrain préparé depuis des semaines
Ces deux auditions sont la culmination de trois semaines de crise pour Facebook, depuis les révélations du Guardian et du New York Times sur Cambridge Analytica à la mi-mars. Le groupe a rapidement banni les fautifs de sa plateforme, avant de donner un sérieux tour de vis sur l'accès aux données par des tiers (voir notre analyse). L'enjeu : prouver que Facebook est capable de s'auto-réguler et, si la régulation est inévitable, montrer que l'entreprise est à même de diriger les discussions.
Facebook vient d'ailleurs d'annoncer un programme de recherche d'abus de données, sur le modèle des bug bounties, les programmes de recherche de failles. À la clé, 40 000 dollars pour un rapport prouvant une mauvaise utilisation des données du réseau social. Il fait suite à l'audit des entreprises ayant consulté beaucoup de données jusqu'en 2014, qui prendra « de nombreux mois » selon Zuckerberg.
Autant de mesures que le groupe aurait pu prendre n'importe quand, tant il a été rapide à les mettre en place. Il a pourtant bien plus d'intérêt à agir après un tel scandale. Dégainer trop tôt ces nouvelles limites l'aurait mis face à des parlementaires réclamant encore plus. En ne réagissant que ces dernières semaines, elle montre qu'elle agit, sans pour autant remettre en cause son modèle économique. Accusée de « cécité volontaire » sur l'utilisation des données par des tiers, la société déclare avoir changé.
Seule concession, le patron a déclaré qu'« il y aura toujours une version gratuite de Facebook », alors que le réseau social promet habituellement de toujours être gratuit. En d'autres termes, une version payante de la plateforme pourrait bien arriver, éventuellement expurgée des publicités.
En défense de la collecte de données
La principale défense de ce modèle est le choix laissé aux internautes, de publier et de supprimer leurs informations. Le patron de Facebook réfute d'ailleurs l'idée d'un capitalisme de surveillance, citée par les parlementaires. « Aucune société de surveillance ne vous laisse choisir ce que vous partagez et retirer les contenus » a-t-il défendu.
Cela même s'il pense que la plupart des membres du réseau social n'ont pas lu ses conditions générales d'utilisation. Il a tout de même mis en avant, à plusieurs reprises, la possibilité de sortir l'ensemble des données mises en ligne, via une archive. Ce « takeout » serait pourtant incomplet, selon certains représentants hier, qui ont pointé la constitution de profils fantômes. La plateforme coupe aussi les ponts avec les « data brokers » où elle s'alimentait elle-même en données, sur lesquelles les internautes ont peu (voire pas) de visibilité.
Pour mémoire, Facebook collecte des informations sur les internautes partout où ses scripts (dont les boutons sociaux) sont insérés, dont de nombreuses pages web tierces, comme le relevait la CNIL l'an dernier. Que l'on soit inscrit ou non. L'entreprise a d'ailleurs refusé de fournir le nombre de pages contenant ses scripts, hier à la Chambre des représentants. Elle répond que seules des statistiques d'accès aux profils publics des membres sont conservées, pour éviter l'aspiration massive de ces informations.
Pas de quoi convaincre certains parlementaires, dont l'un a attaqué la société sur l'obligation d'être identifié pour accéder aux données enregistrées sur soi. Une logique d'ailleurs reprise dans l'outil indiquant si ses données ont été aspirées par Cambridge Analytica, qui exige une connexion à un compte.
Sur un thème similaire, des représentants ont pointé hier la collecte des métadonnées des appels et SMS sur Android. Facebook y a répondu que les internautes ont donné leur accord, donc qu'il n'y a pas de problème... Alors que les permissions sont encore souvent données par lot sur Android, à l'installation de l'application.
Mark Zuckerberg a aussi été attaqué de front par un sénateur, lui demandant s'il souhaite partager publiquement le nom de l'hôtel où il réside pour les auditions. « Non. Je ne choisirais probablement pas de le faire publiquement. Je pense que nous devrions tous avoir le contrôle sur l'utilisation de nos données » a-t-il répondu.
L'épée de Damoclès de la régulation
La régulation des plateformes en ligne était sur les lèvres de tous les parlementaires, démocrates comme républicains. Ces deux auditions ont été l'occasion pour le législateur de rappeler à Facebook qu'elle n'est qu'une entreprise, de droit américain de surcroît. Et que la puissance économique et politique que la plateforme confère au pays ne justifie pas tout.
Mark Zuckerberg a promis à plusieurs reprises de « faire mieux » sur la protection des données, contre la désinformation ou dans la lutte contre l'épidémie d'opioïdes en Amérique du Nord. Que ce soit en embauchant à tours de bras dans ses équipes de sécurité, ou en appliquant de l'intelligence artificielle à tous les étages. Dans le discours de Facebook au Congrès, l'IA semble être la solution à tout sur le long terme, permettant de contrôler les contenus à une grande échelle selon l'entreprise... qui répète ne pas être un média ou un éditeur, mais une « entreprise technologique ».
Le PDG maintient un discours ambigu sur le Règlement général de protection des données (RGPD), que nous avons étudié ligne par ligne, appliqué dès le 25 mai dans l'UE. Le texte a été cité à de nombreuses reprises par les parlementaires, comme un objectif à atteindre. « Pourquoi les Américains n'auraient-ils pas le droit à la même protection que les Européens ? » s'est même agacé l'un d'eux.
À la question « Les Européens ont-ils raison sur les données personnelles ? », le fondateur de Facebook s'est contenté de répondre que « Les Européens ont raison... sur certaines choses ». En filigrane, il décrit le règlement comme une avancée sur la question. Une autre réponse aurait sûrement été suicidaire en plein scandale sur ce thème.
Plusieurs fois, Zuckerberg a louvoyé sur l'export des outils imposés par le RGPD hors d'Europe. Ses avocats lui ont même interdit de dire que ces outils sont déjà en place. S'il déclare que Facebook appliquera ces règles partout, c'est pour tout de suite préciser que les « détails » changeront sûrement d'un pays à l'autre. Le flou est entretenu sur l'ensemble de ses réponses. Il n'y a donc aucune garantie que des progrès arrivent hors d'Europe.
Le but est de renvoyer la balle au législateur sur la régulation, sachant que le chantier prendra au moins des années. En attendant, il ne s'engage pas à améliorer quoi que ce soit. D'autant qu'aujourd'hui, la Commission du commerce (FTC) est chargée de la protection des données. Questionné sur la possibilité d'une CNIL américaine, il a simplement déclaré que l'idée mérite d'être discutée.
Le PDG appelle à la prudence, pour qu'une nouvelle régulation « ne cimente pas la position des entreprises qui gagnent ». La défense des jeunes pousses, utilisée ici, est l'une des stratégies de grands groupes pour éviter un contrôle de leurs propres activités.
Des critiques mais peu de questionnements profonds
Les questions posées avaient peu de mordant. Si les représentants étaient bien plus critiques que les sénateurs, les remarques n'appelaient pas de réponse de la part de Zuckerberg. Certains membres du Congrès ont bien questionné le rôle sociétal de l'entreprise, ou appelé à des suites concrètes, mais rien de précis n'a émergé.
Le patron a pu réciter le discours préparé, à quelques exceptions près. Une trentaine de fois, il a promis de revenir vers les parlementaires avec des réponses précises. Il charge son « équipe » de trouver des éléments sur des sujets comme la propriété des données, l'avertissement des internautes en cas de fuite ou leur suivi entre appareils. Une représentante s'est agacée de ces nombreux oublis, en fin de circuit, sans que la remarque ne soit reprise par la suite.
Les auditions étaient en fait une occasion unique, exploitée par plusieurs parlementaires pour partir sur d'autres sujets. L'un d'eux : la « censure » de contenus conservateurs, Facebook étant accusé par des Républicains d'avoir un biais de gauche dans sa modération. La charge, d'abord menée par le sénateur Ted Cruz, a été poursuivie par plusieurs représentants le lendemain.
Réponse du PDG à Cruz : « Facebook et l'industrie tech sont situées dans la Silicon Valley, qui est un endroit extrêmement tourné à gauche. Une de mes craintes, que j'essaie de retirer de l'entreprise, est qu'on n'ait pas de biais dans notre travail. C'est une crainte légitime ».
Il admet des erreurs dans des cas précis, sans conséquence connue pour les modérateurs. Il a (encore) assuré que le réseau social veut être « une plateforme pour toutes les idées », sauf les contenus répréhensibles (comme le terrorisme) ou certains écrits offensants, principalement les menaces physiques.
L'ambiance des auditions, parfois tendues, était plus au dialogue qu'au procès. D'autant que Mark Zuckerberg y est allé sans que ça lui soit imposé. Il a donc pu dérouler sa narration habituelle, à base d'entreprise démarrée dans une chambre d'étudiant et d'écosystème divers, minimisant sans grande contradiction le poids de sa plateforme.
La conséquence de ce passage au Congrès est la remontée de l'action Facebook, qui avait dévissé ces dernières semaines. Elle est passée de 157 dollars le 9 avril à 166 dollars (+5,7 %) à l'heure où nous écrivons ces lignes. L'issue est donc positive pour le groupe, dont l'action a tout de même perdu 19 dollars (-10,2 %) depuis les révélations sur Cambridge Analytica.
