Facebook-Cambridge Analytica : le big data vire à la cata

L’affaire du siphonage des données de Facebook à des fins de ciblage politique interpelle, régulateurs, acteurs IT, gouvernements et individus sur la protection des données personnelles dans un environnement big data.

Décidément l’élection de Donald Trump ne cesse de troubler le monde de l’IT. Au-delà des fake news ou de l’immixtion des russes au sein de la campagne électorale, Facebook est mis au banc des accusés pour avoir laissé une société de profilage politique, Cambridge Analytica, siphonner 50 millions de profils du réseau social, sans leur consentement. Une fois récupérée cette base, la société britannique se vantait de pouvoir « influencer les électeurs » en s’appuyant sur des techniques de big data, de profilage psychologique et de micro-ciblage. En l’espèce, l’objectif était d’orienter le vote des électeurs vers le candidat Donald Trump. L’affaire dénichée et creusée par le Guardian et le New York Times démontre plusieurs choses : les errements des géants du web, une régulation chaotique et des individus moins naïfs. Un cocktail explosif.

Les errements des géants du web

Facebook près de 2 milliards d’utilisateurs, WhatsApp près de 1,3 milliard, de son côté Google revendique 100 milliards de requêtes par mois et 500 millions de messages sont envoyés quotidiennement sur Twitter. Ces chiffres astronomiques et les données en découlant sont à la fois une formidable ressource pour mieux connaître les utilisateurs, mais ont surtout une valeur marchande. Une manne pour les différents acteurs, qui vaut bien quelques entorses.

La première réside dans le consentement des personnes à voir leurs données personnelles utilisées à des fins commerciales. Dans le cas de Cambridge Analytica, la société avait réalisé un questionnaire rémunéré, via une application, qui a permis de collecter des données de 270 000 profils utilisateurs. Ces derniers se sont inscrits à travers leur compte Facebook et l’application s’est servie de l’API du réseau social pour accéder aux données des « amis » des sondés, sans leur consentement. Depuis cette API a été bloquée par la firme de Menlo Park.

La seconde erreur porte sur la faiblesse des politiques de confidentialités ne protégeant pas par défaut les profils utilisateurs. Une absence de transparence et de contrôle soulignée par Alex Stamos, le chef de la sécurité de Facebook. A bien y regader, la quantité de données conservée par Facebook est énorme, un rédacteur du site Hackernoon, inscrit depuis 2007 sur le réseau social, a récupéré l’archive de son activité. Une archive de 500 Mo comprend l’ensemble des photos et des métadonnées liées aux images, des contacts, mais aussi aux commerçants ayant eu accès à ses informations Facebook pour le cibler.

Une régulation chaotique, en attendant le RGPD

Face à cette affaire, les autorités de régulation britannique et américaine ont ouvert des enquêtes. La FTC, en charge de la protection des consommateurs, souhaite déterminer si Facebook a autorisé Cambridge Analytica à recevoir certaines données d’utilisateurs en violation de ses règles. De son côté, l’Information Commission a mené des perquisitions dans les locaux londoniens de Cambridge Analytica pour savoir « si oui ou non Facebook a sécurisé et sauvegardé des informations personnelles sur la plate-forme et si, quand la société a réalisé qu’il y avait perte de données, elle a agi de façon ferme et si les gens en ont été informés ou pas ».

Les parlementaires américains et européens, ainsi que la Commission européenne sont également montés au créneau pour réclamer des comptes à Facebook. Des procédures judiciaires sont lancées avec des actions collectives à la clé. Mais dans ce bal de récriminations, peu de voix s’élèvent pour faire une autocritique de la régulation de la protection des données personnelles. Aux Etats-Unis, le marché des données personnelles s’apparentent au Far West, il n’existe pas de réglementation générale, mais un encadrement sectoriel. Dans la majorité des cas, la régulation par le marché est privilégiée avec la mise en place de « règles de confidentialité » par les sociétés. Mais la philosophie globale du système est que la donnée personnelle est un bien marchand.

Une orientation à l’opposé de la philosophie européenne considérant les informations individuelles « comme un attribut de nos personnalités », précisait un ancien président de la CNIL, Axel Türk. L’Union européenne dispose d’un cadre réglementaire sur la confidentialité des données, qui va être renforcé au mois de mai prochain avec le RGPD. Facebook échappe à ce couperet dans l’affaire Cambridge Analytica, mais les régulateurs veillent. Une étude récente menée par des universitaires espagnoles montrent que 73% des utilisateurs européens de Facebook ont été « ciblés » par des experts en marketing en fonction de ces données dites «sensibles» (préférences religieuses, sexuelles ou politiques) avec l’aide de Facebook. Pour rappel, l’amende prévue pour manquement au RGPD s’élève à 20 millions d’euros ou 4% du chiffre d’affaires.

Les individus moins naïfs ?

Si les géants du web et les régulateurs ont une grande responsabilité dans les errements du big data, les individus ne sont pas exempts de critiques. La règle de base sur Internet est que « si c’est gratuit, c’est vous le produit ». Difficile donc de pousser des cris d’orfraies quand la plupart des personnes ne gèrent pas leurs paramètres de confidentialités sur les différentes plateformes des réseaux sociaux et déversent la totalité de leur vie sur le web. Les mœurs ont néanmoins évolué sur la valeur des données personnelles, une étude en 2014 montrait que les utilisateurs étaient prêts à vendre leurs données personnelles pour 500 euros, en janvier 2018, une étude de Forgerock indique qu’ils ne sont plus que 16% à envisager cette option. Ils sont néanmoins 33% à accepter ce deal contre des services personnalisés.

Cette prise de conscience s’accompagne d’un phénomène en progression, les informations fausses. Il ne s’agit pas ici de fake news, mais des renseignements fournis par les utilisateurs sur leur profil. Dans une volonté de protéger leurs données, ils inscrivent de fausse date de naissance, de mauvais numéro de téléphone ou adresse. Une étude menée par RSA montre que 55% des consommateurs Français ont falsifiés leurs informations personnelles lors de l’achat d’un produit ou d’un service. Plus il est jeune et plus il a tendance à falsifier. Les géants du web vont devoir apprendre à vivre avec la culture du faux, ainsi que l’écosystème publicitaire.

Finalement, l’affaire Facebook-Cambridge Analytica aura alerté les utilisateurs américains sur le mauvais usage du big data avec leurs données. Certes le réseau social a dévissé en bourse, Mark Zuckerberg a présenté ses excuses et a avoué avoir « fait des erreurs », des appels sont lancés pour supprimer son compte Facebook, la nature a horreur du vide, même si Facebook disparaissait, un autre réseau social prendrait la suite. Le monde a toujours besoin de communiquer…

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !