Jamais la Fédéral Trade Commission (FTC) n’avait infligé une telle amende à l’encontre d’un géant du Web. Dans le cadre d’une transaction, Facebook vient de se voir infliger 5 milliards de dollars de pénalités pour violation de la vie privée des consommateurs. Une décision votée à 3 voix contre 2.
Ce montant, accepté par Facebook, « est près de vingt fois supérieur à la plus importante amende jamais imposée dans le monde en matière de confidentialité ou de sécurité des données » constate l’administration.
La FTC ne s’est pas arrêtée à ce volet financier. Sa décision comprend une ribambelle de mesures qui s’imposent désormais à l’entreprise chère à Mark Zuckerbeg. L’éditeur du réseau social devra se restructurer pour mieux responsabiliser ses dirigeants et ses décisions seront soumises à une surveillance beaucoup plus musclée.
Un comité indépendant sur la protection de la vie privée va « supprimer le contrôle absolu de Marck Zuckerberg sur les décisions affectant la vie privée » annonce l’autorité. Ses membres ne pourront être licenciés que par une majorité de ceux du conseil d'administration de Facebook. Le réseau social devra aussi désigner les responsables du programme de confidentialité. Ils seront soumis à approbation du comité et ne pourront révoqués que par lui. Sont également prévues des certifications trimestrielles et annuelles sur les rouages de ce service en ligne.
Facebook devra impérativement procéder à un examen de confidentialité de chaque produit ou services avant lancement ou modification. Une version américaine du Privacy By Design que connaît déjà le règlement européen sur la protection des données personnelles.
De même, l’entreprise aura l’obligation de documenter les incidents touchant 500 utilisateurs ou plus et alerter dans les trente jours la FTC. D’autres mesures sont prévues, comme une surveillance plus accrue des applications tierces avec au besoin une fermeture des robinets lorsqu’un éditeur ne se conforme pas aux règles de la plateforme ou ne justifie pas son besoin de données utilisateurs spécifiques. On devine ici une version du principe de minimisation, là aussi inspirée du règlement du 25 mai 2018.
« La culture de la vie privée » chez Facebook.
Tout aussi douloureux, Facebook ne pourra plus utiliser à des fins publicitaires les numéros de téléphone obtenus pour les besoins de l’authentification à deux facteurs. La reconnaissance faciale, qui accompagne l’ensemble des photos mises en ligne par les utilisateurs, devra d’abord passer par la case du consentement préalable, à rebours des pratiques antérieures.
Mais pourquoi une telle décision ? « Malgré les promesses répétées faites à ses milliards d'utilisateurs dans le monde entier de contrôler le partage de leurs informations personnelles, Facebook a en réalité compromis les choix des consommateurs » commente Joe Simons, président de la FTC qui espère que cette décision parviendra enfin à modifier « la culture de la vie privée » chez Facebook.
Selon l’enquête menée par la FTC, Facebook a partagé les informations personnelles de ses utilisateurs avec des applications tierces, et ce via des paramètres trompeurs dans les préférences personnelles. Évidemment, le scandale Cambridge Analytica résonne. D’ailleurs la FTC annonce qu’une procédure similaire est en cours contre cette entreprise, qui risque une amende de 45 530 dollars pour chaque violation.
Violation des engagements déjà pris en août 2012
Retour à août 2012. Main sur le cœur, Facebook s’était déjà engagé auprès de la FTC à prendre plusieurs mesures. Le réseau social promettait d’informer clairement les consommateurs avant de recueillir leur consentement pour partager leurs informations personnelles.
Elle promettait d'organiser des audits via une entreprise indépendante. « Je suis le premier à admettre que nous avons commis quelques erreurs », commentait même à l’époque Mark Zuckerberg. « Nous pouvons toujours faire mieux. Je m’engage à ce que Facebook devienne le leader en termes de transparence et de contrôle de la confidentialité ».
Ces « quelques erreurs » étaient lourdes de conséquences pour la vie privée de chaque inscrit. En 2009 par exemple, Facebook avait automatiquement rendu publique la liste des amis sans alerter les utilisateurs et donc en se passant de leur inévitable consentement. Le réseau social ouvrait aussi très généreusement les vannes aux applications tierces qui ont alors pu butiner des pans entiers des profils, comme a pu en profiter Cambridge Analytica. Ce n’est pas tout, après effacement d’un compte, Facebook rendait toujours accessibles les photos et autres informations personnelles.
Sept ans après, la violation de ces multiples promesses prises sur 20 ans auprès des autorités fédérales fait l’objet d’un rugueux couperet. « La société a partagé les données des amis d’utilisateurs Facebook avec des développeurs tiers, même lorsque ces personnes avaient opté pour des paramètres de confidentialité restrictifs » constate la FTC.
Tours de passe-passe
En mai 2012, Facebook avait bien alerté les utilisateurs de cette possibilité, mais à la fin de la même année, le bandeau d’information disparaissait comme par enchantement, alors qu’en coulisse… ces pratiques perduraient.
D’autres tours de passe-passe sont épinglés, notamment les Privacy Shortcuts et les Privacy Checkups, panneaux destinés à mieux aider les inscrits à paramétrer et donc contrôler l’essaimage de leur vie privée. « Cependant, ces services ont omis d’indiquer que même lorsque les utilisateurs choisissaient les paramètres les plus restrictifs, Facebook pouvait toujours partager leurs informations avec les applications de leurs amis Facebook – sauf à se rendre cette fois dans la "Page des paramètres d'applications" pour s’y désinscrire ».
La société assurait encore en 2014 qu’elle cesserait d’autoriser les développeurs d’applications tierces à collecter les informations des « amis » des utilisateurs de cette application. De fait, l’enquête a montré que ce n’est qu’en juin 2018 que la promesse s’est concrétisée.
Des dizaines de millions d’utilisateurs américains ont également été trompés sur le terrain de la reconnaissance faciale, puisque ce mécanisme était activé par défaut alors que la politique de protection des données personnelles de Facebook laissait entendre l’inverse.
Ce montant pourra toujours être relativisé face aux 5,08 milliards de dollars de chiffre d’affaires et 2,43 milliards de dollars de bénéfice enregistrés durant le seul premier trimestre. C’est surtout un nouveau signal adressé aux utilisateurs tout autant qu'aux autorités de contrôle comme la CNIL qui vont pouvoir nourrir leurs enquêtes sur le terrain des données personnelles.
