Vie privée: Facebook 1, Europe 0, France 0000…

Max la menace

Max Schrems est un thésard australien qui a fait sa thèse sur les données privées emmagasinées par Facebook. Après avoir adressé une demande à Facebook, il a eu la surprise de recevoir un PDF de 1200 pages contenant toutes ses informations personnelles. Et là Schrems a eu la surprise de découvrir tout son historique de messages et de discussions privées et même ses localisations géographiques (combinaison de check-ins, récupérations de données d’apps, adresses IP et uploads geotagués).

Pire, Max découvrit des éléments qu’il avait supprimé de Facebook (messages, status updates et wall posts), mais aussi des éléments qu’il n’avait jamais saisi lui-même (adresses email récupéré des répertoires de ses amis).

Les informations comportementales récupérées par Facebook

Check-ins : cette liste des endroits où l’utilisateur a checké. On y retrouve : l’auteur, les messages, les utilisateurs, un identifiant et un time stamp (heure/date). La dernière localisation connue : le dernier endroit où le site vous a checké. L’information est obtenue par les apps utilisées, les check-ins, les photos geotaguées, et la dernière adresse IP utilisée (oui Facebook sait que vous visitez grosseins.com). Les amis : une liste de tous vos amis (avec leurs identifiants). Les amis supprimés se retrouvent dans la liste des “removed friends”. Rien ne se perd chez Facebook. Le pire étant certainement les “shadow profiles”, les informations récupérées par Facebook sur vos contacts qui n’y sont pas. C’est à dire que Facebook possède des infos sur des gens qui ne s’y sont jamais inscris. Voilà de quoi renforcer la paranoïa des anti-facebook.

Les messages : tous les messages (également les chats) que vous avez reçus ou envoyés. Ils ne peuvent plus être supprimés et les agences US peuvent déjà y accéder à volonté. Les partages : on y trouve tous les liens postés ou partagés par l’utilisateur sur son mur. On y trouve également les posts que l’utilisateur a effacé. Les connections : toutes les pages que l’utilisateur a liké. La liste la plus utile pour de l’analyse comportementale. Car évidement, on y retrouve des tas d’informations personnelles sur vos goûts  vos combats, votre taille de sous-vêtements.

En 2011, Schrems a créé Europe versus Facebook qui publiant toutes les datas envoyées par FB en pointant chacune des irrégularités avec les lois européennes. Il entra en relation avec le IPDC (Irish Data Protection Commissioner, le responsable des datas pour les utilisateurs Européens) et envoya 22 plaintes pour irrégularités.

L’IPDC examina les plaintes et envoya des recommandations à Facebook. Pour l’IPDC, il était tout à fait normal que Facebook soit en désaccord avec les lois européennes sur la vie privée, car Facebook est une entreprise américaine pour laquelle ces lois sont aberrantes. Facebook a alors commencé des modifications pour rendre l’accès aux informations personnelles plus facile, et pour réduire les irrégularités (notamment sur la suppression des données). Mais alors pourquoi se fâcher si Facebook corrige tout ça ? Car la véritable problématique soulevée par Schrems n’est pas l’utilisation des datas privées mais le principe même de détection de ces problèmes.

Facebook se raille, l’Europe l’a dans le train

Parce que c’est à l’Europe de venir vérifier si ces infractions sont là ou pas… Et ça coûte (cher) de vérifier tout ça. En effet, Facebook a fait le calcul simple et sa stratégie est simple : corriger uniquement les fonctionnalités qui ont fait l’objet d’une plainte, plutôt qu’anticiper celles-ci. A l’Europe de payer l’analyse du programme, le dépôt des plaintes, et les équipes de suivi. Des économies pour Facebook (payées sur nos impôts).

En France c’est le travail de la CNIL de contrôler ce genre de dérives. Et malgré son budget réduit, elle fait son travail avec diligence, obligeant les sociétés françaises à se poser plein de questions avant de créer une base de données. C’est une bonne chose de faire réfléchir les entreprises à ce qu’elles sont en train de faire. Seulement la CNIL étant une commission, elle ne peut pas vraiment envoyer faire payer une amende à un contrevenant. Et puis, ils sont pas nombreux à la CNIL et des sites, il en sort tous les jours. Alors la CNIL fait ce qu’elle peut…

Mais elle ne peut pas faire grand chose contre Facebook. Lisez ses conclusions sur le “bug” Facebook : “L’audit de facebook, mené par l’autorité irlandaise pour le compte du G29, a d’ailleurs très récemment rappelé l’importance de ces garanties.” En gros, la CNIL a des recommandations de qualité, ce serait si bien que vous les suiviez…

L’état, complètement largué par la nouvelle économie

Alors évidemment on pourrait dire que l’Etat peut donner du pouvoir et de l’argent à une institution quand il le veut. Par exemple, prenez Hadopi (la Haute Autorité du Pipeau). Son budget monstrueux et son pouvoir immense est bien utile pour épingler 4 pauvres pirates qui ont fait un manque à gagner de 0,00015% dans les comptes de Warner-Universal.

Maintenant, imaginez de prendre le budget d’Hadopi pour payer des gens qui analyseraient les irrégularités commises par les grosses boites internationales. Ces fonctionnaires pointeraient du doigt (à la place de chercheurs comme Schrems) les sociétés qui trichent et leur colleraient de grosses et impitoyables amendes. Des amendes qui dissuaderaient les entreprises étrangères de passer outre les lois Européennes. Ce seerait juste hein ? Mais on peut rêver…

Seulement, on ne peut pas taper dans le dos de Zuckerberg dans son bureau de président, et donner des cartouches à la CNIL (ou aux institutions européennes) pour tirer sur lui. L’ancien président avait fait son choix, quant au nouveau il semble avoir tant d’autres choses à faire qu’il attend certainement 2017 pour reparler des NTIC… Ne comptons donc pas sur eux pour assainir les pratiques des grandes sociétés américaines.

Hélas, en ne relevant pas les irrégularités de Zuckerberg, c’est tout le système économique de l’Internet Français qui est condamné à plus ou moins long terme.

Pourquoi Facebook peut faire ça, et ma petite société française n’a pas le droit ?

Car Zuckerberg peut lui se permettre de payer une amende, mais une petite boite européenne non. Alors Zuckerberg se permet d’ignorer superbement les lois Européennes, pendant que les sociétés européennes sont obligées de leur obéir. Et l’évolution de cette situation semble assez évidente pour les dirigeants actuels de sociétés digitales :

1. soit se moquer droit européen. Ben oui, pourquoi se coltiner les interminables formulaires de la CNIL si Zuckerberg ne le fait pas ?
2. soit déménager son siège social à l’étranger où les lois sont plus coulantes.

Dans les deux cas, la France et l’Europe ne gagnent rien (et les internautes l’ont dans le dos).

La seule solution pour les internautes est donc l’auto-régulation personnelle, seul moyen pour forcer l’auto-régulation de Facebook. Il ne s’agit pas forcément de quitter le service mais de bloquer ses fonctionnalités d’espionnage de vos activités online privées avec des plugins ou des outils appropriés (Facebook blocker, Facebook Disconnect, SharemeNot, et les Adblock qui commencent à intégrer des protections Facebook etc…). Quand Zuckerberg verra qu’il ne récupère plus de datas, il fera machine arrière (comme en 2007 quand il a annoncé qu’il ne ferait jamais d’analyses comportementales sur Facebook).

C’est donc à nous de nous défendre car l’Etat – complètement largué par les nouveaux usages digitaux – ne le fera pas à notre place. En attendant, Facebook observe et stocke toute votre vie. Faudra pas vous plaindre.

Demandez vos datas sur Facebook

Pour tenter de récupérer vos données sur le réseau social le plus connu du monde occidental. Plus d’infos sur Europe vs Facebook.

1. Utilisez le download tool Facebook en allant sur la page de vos Settings. Cliquez sur “Download a copy of your Facebook data“. Cohez la case Expanded archives. Vos datas seront prêtes en 2 heures. Attention, il ne s’agit que de quelques unes de vos données stockées par le service.
2. Envoyez un mail de requête à Facebook (modèle ici) à [email protected]. Facebook a 40 jours pour répondre à votre demande. Vous recevrez un courrier automatique.
3. Envoyer un courrier postal (voir le modèle sur Europe Vs FB) à Facebook : Facebook Ireland Limited / Hanover Reach / 5-7 Hanover Quay / Dublin 2 / IRELAND
4. Vérifiez vos données pour voir si FB vous a tout envoyé dans les 40 jours impartis.
5. Le cas contraire, remplissez une plainte.