Plongée dans la nouvelle politique de confidentialité de Meta

Plus de 130 000 caractères. Voilà la taille de la nouvelle politique de confidentialité des données de Meta (Facebook, Instagram, etc.), qui sera mise en œuvre le 26 juillet prochain. Next INpact s’est plongé dans les méandres de ces nouvelles conditions qui vaudront sur Facebook, Instagram ou encore Messenger.

« Nous avons réécrit et repensé notre politique de confidentialité pour la rendre plus facile à comprendre et plus claire quant à la façon dont nous utilisons vos informations. Nos conditions d'utilisation sont mises à jour pour mieux expliquer ce que l'on attend de nous et de ceux qui utilisent nos plateformes » commente Michel Protti, « Chief Privacy Officer » de Meta, qui vante une communication plus claire.

« Chez Meta, nous souhaitons que vous compreniez quelles informations nous recueillons et comment nous les utilisons et les partageons. C’est pourquoi nous vous encourageons à lire notre Politique de confidentialité. Cela vous permet d’utiliser les Produits Meta de la manière qui vous convient le mieux ». Il faut néanmoins s’armer d’une certaine patience pour comprendre comment les données à caractère personnel de chaque abonné aux services sont collectées, triturées, exploitées. 

Dans ces futures conditions générales, Meta décrit, parfois en des termes non exhaustifs, l’ensemble des « activités » de l’internaute qu’il s’autorise à traiter. Si par 42 fois l'adverbe « notamment » est utilisé, le périmètre est vertigineux, malaxant les contenus « créés » par l’utilisateur, mais aussi de ses « amis » ou ses relations :  

• Les publications 
• Les commentaires 
• Les fichiers audios 
• Les photos prises depuis la fonction dédiée (filtres compris) 
• « Les messages que vous envoyez et recevez, y compris leur contenu, sont soumis à la loi applicable » 
• Les messages signalés 
• Les métadonnées, dont le lieu de la prise des photos, dates et heures (liste non limitative)
• Les contenus vus
• Les contenus avec lesquels vous interagissez, et la façon dont vous interagissez
• Les transactions (achats, dons, transferts monétaires, etc.)  
• Les applications et fonctions utilisées (applications, publications, vidéos, publicités, jeux, Boutiques et autres contenus que vous regardez ou avec lesquels vous interagissez, le Facebook Login ou la saisie automatique depuis les plug-ins sociaux)
• Les hashtags utilisés 
• L’heure, la fréquence et la durée de vos activités
• Les consultations des pages Facebook à des fins statistiques pour les administrateurs des Pages Facebook, y compris le « survol d’un lien vers une Page ou du nom ou de la photo de profil d’une Page pour voir un aperçu du contenu de la Page »
• Les interactions avec les contenus venant de vos liens (amis, abonnés, etc.) 
• Les informations de vos contacts (noms, adresses e-mail, numéros de téléphone, en cas de synchronisation du carnet d’adresses), même si ces personnes ne sont pas utilisatrices de Meta. Cela permet à Meta de vous suggérer un ami « si vous apparaissez tous deux sur une liste de contact qu’un tiers importe ».
• Les commentaires sous les photos où vous êtes identifiés
• Les invitations (à rejoindre une conversation, à jouer, etc.)
• Les appareils et logiciels utilisés (OS, niveau de batterie, espace de stockage, navigateur, plug-ins, etc.)
  Les signaux (GPS, Bluetooth, points d’accès Wi-Fi, balises et antennes-relais de téléphonie mobile à proximité, force du signal, vitesse de connexion)
• Le nom de l’opérateur mobile ou du fournisseur d’accès Internet 
• Les informations sur les autres appareils situés à proximité ou sur votre réseau, « pour améliorer votre expérience »
• L’adresse IP
• Le fait que l’application soit au premier plan 
• Les mouvements de la souris 
• Les identifiants, notamment familiaux 
• La langue
• Le numéro de téléphone mobile
• Les cookies (authentification, sécurité, Publicités, recommandations, statistiques et mesures), dont _fbc ou _fbp qui peuvent « être placés sur le domaine du partenaire commercial dont vous consultez le site », même si vous n’êtes pas abonné

Des données provenant de tiers

Ce stock n’est semble-t-il pas suffisant pour améliorer l’information de Meta, puisque des données provenant également de tiers tombent dans cette vaste bassine. 

Dans la longue liste de ces « partenaires », citons les annonceurs, ceux qui mesurent les performances des publicités, les éditeurs, les développeurs d’apps ou de jeux, les forums publics, les « articles universitaires », les autorités gouvernementales, les ONG, les établissements d’enseignement et de recherche… Le géant du numérique se contente de donner quelques exemples, à charge pour l’utilisateur de deviner le périmètre exhaustif. 

S’y ajoutent :

• « Les informations sur votre appareil »
• « Les sites web que vous consultez et les données de cookies, notamment par le biais des plug-ins sociaux ou du Pixel Meta »
• « Les applications que vous utilisez »
• « Les jeux auxquels vous jouez »
• « Les achats et transactions que vous réalisez »
• « Les publicités que vous voyez et la manière dont vous interagissez avec elles »
• « La manière dont vous utilisez les produits et services de nos Partenaires, en ligne et en personne »

De multiples finalités 

Meta prévient que certaines données collectées permettent de « détecter et combattre l’extraction de contenu allant à l’encontre de nos conditions générales » ou de « prendre d’autres mesures pour assurer la sûreté, la sécurité et l’intégrité de nos produits, de nos utilisateurs, du public, ainsi que de notre personnel et de nos biens » ou encore afin d’améliorer son IA. 

Des partenaires pourront partager « également des informations comme votre adresse e-mail, les cookies et l’identifiant de l’appareil publicitaire avec nous », ce qui permettra au site de « faire correspondre les activités avec votre compte, si vous en avez un ».

L’entreprise indique sans grande surprise qu’une masse d’informations est utilisée afin d’afficher des contenus, publicités comprises, qui puissent vous intéresser. Meta malaxe aussi bien les informations de profil, celles  relatives à votre « activité », même extérieures via les cookies, les informations fournies par vos amis, abonnés et vos autres relations, « y compris leur activité ou leurs centres d’intérêt ». S’y ajoutent les « choses » (sic !) que Meta déduit à votre sujet. 

Le géant du numérique se garde bien d’entrer dans d’autres détails que ceux fournis au fil de quelques exemples , ainsi « Jane achète une paire de chaussures sur une boutique en ligne. La boutique partage avec nous l’activité de Jane à l’aide de nos outils Business, soumis aux conditions applicables aux outils Business. Jane voit ensuite une publicité sur Instagram offrant une remise sur son prochain achat de chaussures dans cette boutique en ligne ».

D’autres finalités sont placardées, comme « faire de la recherche et innover pour le bien social », agir sur le terrain de la sûreté (« Détecter, prévenir et combattre les comportements nocifs ou illégaux », « Détecter et prévenir les contenus indésirables et autres mauvaises expériences », « enquêter sur les activités suspectes », fournir une assistance à une personne qui a « besoin d’aide », etc.)

Des partenaires très à l'écoute, des données partagées 

Les partenaires de Meta reçoivent aussi des informations (« à propos de vous et de votre activité » et vos informations publiques). Par exemple, « vous pouvez utiliser votre compte Facebook pour jouer à un jeu en ligne avec vos amis Facebook. Le développeur de jeux reçoit alors automatiquement des informations sur vos activités dans le jeu ». En utilisant Facebook Login pour vous connecter à une application, alors son développeur peut demander aussi d’accéder à votre liste d’amis Facebook.

Selon les CGU de Meta, « les applications ou les sites web auxquels vous vous êtes connecté à l’aide de Facebook Login ou qui sont connectés à votre compte Instagram [pourront] accéder à vos informations non publiques sur les produits Meta à moins que nous ne voyions que vous n’avez pas utilisé l’application ou le site web en question depuis plus de 90 jours ». 

Parmi les partenaires, les annonceurs sont choyés. Ils savent les « publicités avec lesquelles les personnes ont interagi », « quand les personnes ont interagi avec les publicités » et « où cette publicité a été montrée (par exemple, sur Instagram ou sur Facebook) ». Avec votre autorisation, ils peuvent connaitre votre nom et votre adresse email. 

Meta indique par ailleurs qu’aussi bien les informations recueillies, l’infrastructure, les systèmes et la technologie seront partagés avec toutes les autres antennes de l’entreprise. Ce peut être à des fins de sécurité, mais aussi pour « personnaliser des offres, des publicités et d’autres contenus commerciaux ou sponsorisés », quand il ne s’agit pas de « comprendre la manière dont les personnes utilisent et interagissent » avec ces entités. 

Meta se permet d’ « utiliser votre compte Facebook Pay pour effectuer des achats sur WhatsApp » ou pour entraîner ses différents outils à s’entraîner « à la reconnaissance de certains objets, comme les arbres, ou de certaines activités, comme par exemple un chien courant après une balle. »

Les bases légales du RGPD 

Le règlement général sur la protection des données à caractère personnel prévoit plusieurs bases légales pour justifier la mise en œuvre d’un traitement :

• Le consentement : La personne a consenti au traitement
• Le contrat : Le traitement est nécessaire à l'exécution d'un contrat
• L’obligation légale : Le traitement est nécessaire au respect d'une obligation légale
• La sauvegarde des intérêts vitaux : Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique
• La mission d’intérêt public : Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique
• L’intérêt légitime : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

De son côté, Meta utilise chacune de ces bases légales et les finalités sont décrites dans une série de tableaux à la taille parfois vertigineuse, sauf s’agissant du chapitre relatif au consentement, l’un des plus courts du lot. La publicité personnalisée y est citée, mais on la retrouve dans d’autres tiroirs.

La base des (nombreux) intérêts légitimes

La base des « intérêts légitimes », donc sans consentement, est la plus généreuse (voir la capture ci-dessous). Meta exploitera vos données pour personnaliser les fonctionnalités et les contenus, mais aussi « les publicités » et les suggestions.

Elle s’autorisera, toujours sur cette base légale, à profiler les utilisateurs toujours à des fins publicitaires ou pour « effectuer des analyses », en exploitant les messages envoyés, les activités sur le compte, les photos, les métadonnées, les contenus visualisés, etc. 

Le propriétaire de Facebook s'abrite derrière ces intérêts pour faire des « mesures » et « statistiques » qu’il proposera à « des entreprises, des annonceurs et d’autres partenaires » afin de les aider à « comprendre les types de personnes qui voient leur contenu et leurs publicités ainsi que la manière dont leur contenu et leurs publicités fonctionnent sur les Produits Meta et en dehors »

Meta range encore dans la catégorie l’exploitation de données engagée « dans notre intérêt de financer la mise à disposition des Produits Meta et de fournir des publicités personnalisées de qualité aux utilisateurs qui visitent les sites web, les apps et les appareils qui utilisent nos services publicitaires ».

De même l’intérêt légitime est évoqué pour justifier l’ « envoi de communications commerciales » où Meta recueille et stocke « vos informations » afin de les utiliser pour vous envoyer ses publicités notamment par e-mail.

Sur la base du contrat, des données sont par exemple envoyées dans les pays tiers, notamment les États-Unis, pays pour lequel il n’existe pourtant plus de décision d’adéquation suite aux arrêts de la CJUE, en particulier Schrems 2 qui a invalidé le Privacy Shield. Le propriétaire de Facebook justifie ces transferts par la volonté de permettre aux utilisateurs d'interagir avec leur famille et les amis dans le monde entier, mais aussi afin de « corriger, d’analyser et d’améliorer » ses propres produits.

Ces nouvelles conditions concernent Facebook, Instagram, Messenger mais non WhatsApp, Workplace, Free Basics ou encore Messenger Kids. Rappelons enfin que les utilisateurs disposent désormais d’un centre de confidentialité pour ajuster plusieurs de ces variables.