Depuis sa création, Facebook fait parler de lui. D’un côté, ses défenseurs louent sa simplicité d’utilisation qui permet aux plus novices de retrouver ses amis sans migraines et de converser avec eux ou partager les photos de la dernière soirée passée ensemble. A l’opposé, ses détracteurs lui reprochent d’être peu soucieux de la vie privée de ses utilisateurs et d’être trop perméables aux recherches mal intentionnées. Il y a quelques jours, un étudiant autrichien nommé Max Schrems mettait à jour une nouvelle raison de craindre le site au 800 millions d’utilisateurs.
« Il était une fois… »
1222 pages de données un peu louches. (Crédits photo: Ronald Zak/AP)
Comme on peut le lire sur le site du Figaro, mais aussi celui du Monde ou encore dans le magazine CanardPC, cet empêcheur de « poker » en rond vient d’attaquer le site sur 22 points de loi, faisant encourir une amende de 100.000 euros à l’entreprise de Mark Zuckerberg. Autant dire une paille financièrement parlant pour le mastodonte, mais surtout une cicatrice purulente pour son image de marque. Après un petit séjour aux Etats-Unis et une rencontre avec certains responsables du réseau social, l’étudiant en droit revient chez lui avec la vague impression que ces derniers sourient et disent amen aux juristes européens tout en cachant un gros majeur dans leur dos. Pas frileux, Max s’assied devant son PC, fonce sur le site et demande à ce qu’on lui communique toutes les données répertoriées sur lui dans les plus brefs délais. Notons que la page ayant servi pour cette demande a aujourd’hui mystérieusement disparue et qu’il fallait alors invoquer la directive européenne « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » qui garantit selon l’article 12 la possibilité à « toute personne concernée » d’obtenir du « responsable du traitement [des données] la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données ».
Génial et visionnaire, Mark Zuckerberg compte beaucoup de partisans. Mais en bafouant la loi et la vie privée de ses clients, il s'attire aussi beaucoup d'animosité.
Quelques jours plus tard, notre futur plaignant recevait un dossier de plus de 1200 pages sous la forme d’un fichier pdf contenu sur un CD répertoriant toutes ses activités sur Facebook, et même plus. Dans un premier temps, Max retrouva toutes les informations qu’il avait pu un jour donner au site : photos, pokes, « j’aime », etc. Mieux, il retrouva aussi ce qu’il avait effacé du site tels ses conversations privées ou encore certains mails. En fouillant encore un peu plus loin, il tomba sur sa pépite d’or : des informations ayant trait à certaines de ses connaissances n’ayant pas de compte sur le site. En clair Max venait de tomber sur des profils fantômes dont les propriétaires supposés n’avaient pas connaissance : un dossier de fichage à faire pâlir d’envie n’importe quel service secret. Lorsque Facebook cherche des amis possibles grâce à votre liste de contacts, il enregistre surtout les adresses qu’il ne connaît pas et qui vont enrichir sa base de données à des fins commerciales et publicitaires. Pour peu que vos amis soient précautionneux et enregistrent sur gmail vos adresses postales, numéros de téléphone et les adresses de vos blogs, vous n’aurez plus aucun secret pour la firme et ses clients sans jamais avoir foulé ses terres.
Judge Dread
Une conférence de presse pour inaugurer le nouveau QG à Hanover Quay, Dublin, Irlande.
En l’occurrence, ceci est illégal car, selon la même directive, si l’entreprise est autorisée à récupérer les données de non-utilisateurs auprès de leurs amis consentants, elle n’a pas le droit de le faire sans en avertir les principaux concernés, ce qu’elle ne fait bien sûr jamais. Facebook n’en est d’ailleurs pas à son premier procès en Europe, apparemment plus soucieuse de la sécurité numérique de ses ressortissants que les autres continents. L’Allemagne par exemple cherche querelle à l’ogre pour deux motifs : recensement et donc fichage de données non autorisées (sexualité, opinions religieuses, politiques, etc.) par zone géographiques grâce à l’adresse IP d’ailleurs considérée comme une donnée privée par l’Union Européenne. L’autre procès porte sur un problème peu ou prou similaire à la récupération de données non consentie : la reconnaissance faciale. Désormais, inutile de nommer les personnes présentes sur vos photos, cette nouvelle fonctionnalité s’en charge en personne. Votre nom peut donc apparaître de façon non consentie sur une photo. Les lois européennes exigent pourtant que vous soyez mis au courant et que vous puissiez refuser de voir une photo compromettante liée à votre auguste personne. D’autres procès ont également eu lieu concernant l’envoi de mails généré automatiquement par la fonction « Find Friend », qui s’il était trop répété pouvait vite être assimilé à du harcèlement.
Avec plusieurs procès en cours, Facebook risque de perdre son image de marque.
Mais pourquoi sont-ils si méchants ? Par « ils », on entend d’une part Facebook et de l’autre les tribunaux européens. L’intérêt du réseau social pour les informations personnelles tient essentiellement à sa gratuité mais surtout, paradoxalement à son appétit financier. Si l’utilisateur ne paie pas, il faut pourtant bien rémunérer les employés et les actionnaires, grassement pour ces derniers si possible. Or la revente des informations collectées est une vraie mine d’or, à plus forte raison quand on se targue de compter plus de 800 millions d’utilisateurs réguliers et encore plus de fiches parfois illégalement obtenues. Envers et contre tous, Mark Zuckerberg a donc tout intérêt à continuer ses manœuvres pour vous soutirer insidieusement votre marque de soda préféré ou la race de votre chien. Et en bon chef d’entreprise, il tient à limiter les dépenses autant qu’il cherche à augmenter les recettes. C’est pourquoi, en Octobre 2008, il décide d’installer son siège social à Dublin, en Irlande, pays réputé pour sa politique fiscale très favorable aux sociétés informatiques. Mal lui en a pris, car ce banal emménagement va le mettre à portée de nombreuses attaques.
Si la CNIL nous a bien fait rire avec Hadopi, c'est aussi à elle grâce à elle et à ses homologues européens que les citoyens peuvent demander à Facebook de rendre des comptes.
L’autre partie du « ils », les tribunaux européens, était jusqu’alors bien démunie face aux nombreuses violations des lois concernant le droit numérique sur le vieux continent. Une entreprise est d’abord soumise aux lois du pays dans lequel elle siège et il est très difficile de l’attaquer avec des directives n’ayant pas cours dans le pays d’accueil de la société. Aux Etats-Unis, Facebook était donc relativement en sécurité face aux jérémiades des magistrats français ou allemands. Ce qui n’est plus le cas maintenant que son pôle international est dublinois. La branche « monde » de la société ne dépend plus des USA mais bien de la législation européenne, très attentive aux abus perpétré sur le net. Notons qu’en plus de la commission européenne, chaque pays membre de l’union possède sa propre CNIL (Commission Nationale de l’Informatique et des Libertés), et le but officiel de l’organisme français est le suivant : « La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » Ajoutez à cela que la Commission milite pour l’inscription de la protection des données à la constitution européenne et vous comprendrez vite que le jeune prodige de 27 ans vient de plonger nu dans un lac infesté de piranhas affamés.
Faute avouée moitié pardonnée ? Facebook permet aux non utilisateurs d'effacer leurs données des serveurs, avouant donc implicitement l'existence de profils fantômes.
De son côté, Max Schrems pourrait se frotter les mains en se rêvant un destin similaire à David terrassant Goliath, mais il reste humble et compte plutôt sur les démarches de ses congénères européens. Pour faciliter la chute du colosse, il a créé le site Europe VS Facebook pour aider chacun dans ces démarches, et il détaille ses griefs sur la page objectifs. Pour terminer, notons que l’outil permettant de demander ses informations personnelles a été remanié et semble désormais faire parvenir une partie seulement des informations recueillies auprès de l’utilisateur, ce qui constitue une nouvelle violation du décret cité plus haut. Facebook fait tout de même un pas dans le sens des paranoïaques en leur permettant d’envoyer une requête pour supprimer toutes données les concernant des serveurs. Quant à l’efficacité d’une telle démarche, nul ne peut encore se prononcer, mais gageons que nous serons rapidement informés.
Enfin, si quelqu’un vous dit que toutes ces données recueillies sont nécessaires à la sécurisation des comptes (pour détecter des imposteurs, des comptes robots, etc.), libre à vous de croire à la bonne foi de votre interlocuteur, mais inutile de se leurrer quant à l’efficacité des protections mises en places par le site. Des chercheurs ont d’ailleurs prouvé que le site était une vraie passoire en créant des « social bots » dotés de faux comptes facebook pour récupérer les données d’utilisateurs : pour 102 faux utilisateurs, 80% sont passés au travers des systèmes de protections et ils ont réussi à rassembler plus de 250 Go d’information concernant les internautes ainsi bernés.
Jeu de briques
Snake
Pacman
Bubble