Après les révélations de l’utilisation de la plateforme pour diffuser des ‘Fake News’ à l’occasion des élections américaines et influencer les électeurs, Facebook se retrouve au centre d’une crise sans précédent qui impacte cette fois le cours son action avec une perte de 30 milliards d’euros en une journée.

Le détournement massif, puisqu’il concernerait 50 millions d’américains, de données par Cambridge Analytica à l’insu de Facebook toujours à l’occasion de la dernière élection présidentielle, soulève des craintes jusqu’en Europe concernant la sécurisation des données personnelles et leur utilisation au point que Mark Zuckerberg soit sollicité pour s’expliquer auprès d’une Commission parlementaire britannique et devant le Parlement Européen.

Il est logique que Facebook s’explique sur la sécurisation des données personnelles de ses utilisateurs et l’utilisation pouvant être faite de ces données, même si, au même titre que tous les autres acteurs du web (et en dehors), ils souhaitent conserver le secret autour de cette boite noire qui représente rien de moins que leur fond de commerce.

La directive européenne sur la protection des données personnelles (RGPD) qui entrera en vigueur le 25 mai 2018 traite justement des questions liées à la collecte et au traitement des données personnelles et vise à uniformiser les pratiques au niveau européen, responsabiliser les entreprises et renforcer le droit des personnes.

Facebook, seul responsable ?

Une plus grande transparence concernant les données collectées et leur possible utilisation est indispensable mais Facebook est-il seul responsable ? Certainement pas. D’après les premiers éléments, certaines données collectées par Cambridge Analytica ainsi que la finalité de leur exploitation l’ont été à l’insu du réseau social.

Il y aurait donc dans ce cas des failles sur le principe d’autorisation préalable et de connaissance par l’utilisateur de Facebook de l’utilisation qui serait faite de ses données. La malversation revient à l’organisateur de la collecte de données, Cambridge Analytica.

En revanche, il y a des responsabilités dont personne ne parle pour l’instant, celle des partis politiques qui ont utilisé ces données. Il n’est pas concevable que ceux qui ont exploité les données collectées sans l’autorisation des personnes concernées puissent être exonérés de toute responsabilité. Or, à ce stade, les projecteurs se focalisent uniquement sur…Facebook.

La France peut-elle prétendre donner l’exemple ?

Cette fraude n’est malheureusement pas la première, ni aux Etats-Unis, ni ailleurs.

Sans aller très loin, balayons devant notre porte, et observons les pratiques de partis politiques…en France ! Des pratiques largement inspirées des Etats-Unis et tout à fait similaires à ce qui est reproché aujourd’hui à Cambridge Analytica au travers de données récupérées sur Facebook.

Mais nous retrouvons là un principe de base qui consiste à suivre la meute pour éviter que nos propres agissements coupables nous soient opposés.

L’affaire Cambridge Analytica/Facebook révèle l’utilisation de données personnelles à des fins électorales ? Cela ne devrait pourtant étonner personne compte tenu du nombre de précédents.

Les origines du mal

Comme toujours, ce ne sont pas les outils qu’il faut blâmer mais l’utilisation malveillante que peuvent en faire certains. Internet, réseaux sociaux et big data contribuent à l’innovation et à l’amélioration de notre quotidien. Ce sont les intentions dans l’utilisation que l’on en fait qui aboutissent au meilleur comme au pire.

2012 : la réélection de Barack Obama fut qualifiée de « victoire du Big Data » grâce au ciblage de 15 millions d’indécis. Un modèle du genre, et une première, en terme de ciblage et de profiling qui inspira d’autres  partis politiques aux Etats-Unis mais pas seulement

Etats-Unis, Angleterre, France,…qui fustigent aujourd’hui les pratiques révélées par l’affaire Cambridge Analytica/Facebook, poussent même l’hypocrisie à ‘balancer son réseau social’ avec un hashtag tel que #DELETEFACEBOOK alors même que la plupart ont eu recours à des pratiques pouvant être condamnées de la même façon.

Le recours à des plateformes telles que NationBuilder, Blue State Digital, NGP Van est aujourd’hui une pratique habituelle des partis politiques pour optimiser le ciblage de leurs campagnes à l’occasion d’élections. Ces outils permettent de catégoriser les personnes répertoriées (adhérents, sympathisants, prospects)  en collectant pour chacun de nombreuses informations personnelles: date de naissance, adresse, numéros de téléphone, profession, centres d’intérêts, emails, profils sociaux, etc… Pour enrichir ce genre de fichier, tous les moyens sont bons et toutes les sources sont bonnes à prendre : porte à porte, données publiques, location de fichiers, réseaux sociaux, …

Mais au fait, à quel moment la personne fichée a-t-elle donnée son autorisation pour cette collecte de donnée la concernant et en sachant l’utilisation qui en serait faite ?

Dans bien des cas, jamais ! Exactement comme dans l’affaire Cambridge Analytica/Facebook.

Liste non-exhaustive de partis ou personnalités politiques utilisant ces plateformes :

NationBuilder : Donald Trump, Partis Travaillistes et Conservateurs Britanniques mais également en France, l’on peut citer : Les Républicains et plusieurs candidats à la Primaire de droite (François Fillon, Alain Juppé, Nathalie Kosciusko-Morizet, Bruno Le Maire), Patrick Mennucci (élections municipales de 2013 à Marseille), Jean-Luc Mélenchon

Blue State Digital : Barack Obama

NGP Van : Hillary Clinton, Bernis Sanders

Des entreprises françaises se sont aussi positionnées sur ce marché pour ne pas laisser l’exclusivité aux solutions américaines :

DigitalBox, 50+1 (utilisé par François Hollande et Anne Hidalgo)

A l’occasion de la primaire de droite des dernières élections présidentielles françaises, l’équipe de Nicolas Sarkozy avait développé sa propre application, KNOCKIN, inspirée de Vote Builder, une application utilisée par le Parti Démocrate américain. Le principe de Knockin ressemble aussi beaucoup à ce qui est reproché aujourd’hui dans l’affaire Cambridge Analytica/Facebook.

Le principe de Knockin : exploiter les données publiques de nos comportements (suivre, liker, partager, retweeter,…)  sur les réseaux sociaux tels que Facebook, Twitter, LinkedIN, Instagram et les croiser avec d’autres données publiques accessibles par tous moyens (Pages Jaunes, location de fichiers, listes électorales,…) permettant notamment de géolocaliser le sympathisant ou prospect potentiel.

L’application ainsi enrichie est disponible sur Apple Store et Google Play pour tout bénévole pouvant ainsi engager des démarches ciblées de porte à porte.

Encore une fois, on peut légitimement se poser la question : les personnes ainsi fichées sont-elles informées de la collecte des données les concernant et l’usage qu’il est prévu d’en faire ? Bien évidemment, non.

Et la CNIL dans tout ça ?

A l’époque, la divulgation de l’existence de Knokin a tout de même interpellé la CNIL.

Suite à la polémique suscitée par cette application, on peut regretter que l’avis rendu par la CNIL, très sévère sur la récupération d’informations accessibles publiquement notamment sur les réseaux sociaux, soit resté très discrêt compte tenu du sujet si l’on compare avec le bruit qui est fait aujourd’hui autour de l’affaire Cambridge Analytica.

A noter également que les développeurs de l’application Knockin avaient probablement conscience de s’être inspirés trop librement de pratiques américaines qui ne sont pas autorisées par la législation française puisque de nombreuses modifications ont été apportées à partir du moment où la CNIL s’est saisie du sujet.

On peut notamment relever quelques passages très significatifs d’irrégularités pratiquées et que l’on retrouve aujourd’hui dans l’affaire Cambridge Analytica, au point que la CNIL parle de  « problématiques soulevées par les logiciels de stratégie électorale ».

Extrait de l’avis CNIL du 8 novembre 2016 :

• la collecte des données présentes sur internet ou les réseaux sociauxdoit être loyale et licite.
• Quel que soit le mode de collecte (direct ou indirect) des données, cela suppose l’information des personnes concernéesainsi que la possibilité de s’opposer à la collecte des informations.
• Les données personnelles des contacts occasionnels ne peuvent être traitées dans les mêmes conditions que celles des contacts réguliers
• En ce qui concerne les contacts occasionnels, (personnes qui ont « liké », commenté ou « retweeté » un contenu), la collecte systématique de ces données supplémentaires(adresse mail, comptes Facebook ou Twitter, etc.) n’est pas loyale, les personnes n’étant aucunement informées du traitement de leurs données personnelles.
• Au-delà de la seule collecte des données de contact figurant sur les réseaux sociaux, le problème soulevé par les logiciels de stratégie électorale concerne également le ciblage des électeurs et les conséquences pratiquesqui peuvent découler de leur présence dans ces bases de données. Ces logiciels posent ainsi la question des limites à apporter à la combinaison de données, à l’exploitation de données relatives au comportement, aux goûts et aux interactions sociales en ligne des personnes, ainsi qu’aux conséquences de ces opérations sur les personnes concernées.
• La combinaison de données sur chacun des utilisateurs d’un service (comme un réseau social), en l’absence d’outil de contrôle suffisant à leur disposition et de possibilité de s’opposer au profilage, ne peut se fonder sur l’intérêt légitime du responsable de traitement en l’absence de juste équilibre avec les droits et libertés des personnes concernées. Le consentement des internautes est donc nécessaire.
• Ces combinaisons de données doivent se fonder sur le consentement des personnes et ne sauraient être mises en œuvre uniquement sur le fondement  de l’intérêt, même légitime, du candidat ou parti.

 

Pour lire l’avis de la CNIL du 8 novembre 2016 : « Communication politique : quelles sont les règles pour l’utilisation des données issues des réseaux sociaux ? »

 

Quelle(s) solution(s) ?

Ces exemples de pratiques et d’irrégularités depuis des années prouvent à quel point il serait injuste et hypocrite de pointer du doigt uniquement Facebook car nombreux, parmi ceux qui s’insurgent aujourd’hui, ont largement tiré profit de ces pratiques.

Mon propos n’est pas d’enlever toute responsabilité à Facebook mais de rappeler que ce qui peut être reproché à ce réseau social concernant la collecte des données personnelles, leur utilisation et leur sécurisation, est applicable à l’ensemble des plateformes ou applications et tout acteur collectant ou exploitant des données personnelles, au premier rang desquels on retrouvera bien sûr les GAFAM (Google, Apple, Facebook, Amazon, Microsoft), les plateformes leur appartenant (Youtube, WhatsApp, Instagram, LinkedIN,…) mais également bien d’autres acteurs du web (Snapchat,…) ou non.

Que faire ? Eviter toute utilisation de ces plateformes, appeler à les boycotter et à supprimer ses profils sociaux ? Est-ce réaliste, et est-ce même souhaitable ? Certains appellent à quitter Facebook pour en privilégier d’autres, tel Snapchat, en pensant que le côté éphémère des publications est une protection. Si l’on prend justement l’exemple des contenus éphémères, il faut comprendre que ces contenus ne sont plus accessibles publiquement au-delà d’un certain délai. Mais ces contenus n’ont pas disparu pour autant. Il sont toujours hébergés sur les serveurs de la plateforme ! D’autre part, Snapchat propose désormais les mêmes possibilités de ciblage publicitaires aux annonceurs que les autres réseaux sociaux tels que LinkedIN, Instagram, Twitter et … Facebook. Les publicités qui vous seront proposées sur Snapchat seront donc également basées sur vos données et vos comportements sur la plateforme, voire en-dehors. Donc Snapchat, ou toute autre plateforme, n’apporte pour le moment pas plus de garantie que n’en propose Facebook.

Il faut donc être conscient que nous choisissons bien souvent nous-mêmes de communiquer certaines données personnelles à ces plateformes sans y être obligé et que notre propre comportement sur le web est enregistré et permet de dresser notre portrait et d’identifier nos centres d’intérêts.

On sait par exemple que Google conserve la trace de toutes nos recherches, auxquelles vous pouvez accéder via en tapant ‘My history’ .  Mais ce principe vaut pour toutes les plateformes et sites que nous utilisons.

Par exemple, LinkedIN, en étant désormais beaucoup plus transparent sur les données collectées et la possibilité pour chacun d’y accéder, nous permet de découvrir l’étendue du ‘tracking’ voir du ‘profiling’ dont nous faisons l’objet.

A partir des paramètres de confidentialités, vous découvrez désormais un nouvel onglet relatif aux publicités qui peuvent vous être proposées et les raisons de ce ciblage, que vous pouvez désormais accepter et refuser. On découvre également, avec la possibilité qui est proposée de récupérer tout son historique d’activité, qu’il n’y a pas que les données de notre CV que est partagé avec le réseau social mais également des informations liées à notre comportement et nos habitudes d’utilisation. Autant d’informations que nous communiquons sans nous en rendre compte et qui permettent de ‘profiler’ les utilisateurs pour mieux monétiser ces données auprès des annonceurs.

Quelques exemples d’informations communiquées à LinkedIN sur la base de notre comportement :

• Date et heure à laquelle votre compte LinkedIn a été créé, fermé ou rouvert
• Liste des publicités sur lesquelles vous avez cliqué.
• Critères de ciblage des publicités
• Commentaires que vous avez faits et où ils ont été publiés
• Historique des adresses e-mail actuelles et précédente
• Tous les textes que vous avez “aimés
• Toutes vos publications
• Tous vos messages privés, même archivés
• l’adresse IP depuis laquelle vous vous êtes inscrit
• liste de vos recherches ! (comme Google)
• etc…

Pour accéder à la description de l’ensemble des données collectées par Linkedin

Soyons donc nous-mêmes plus responsables par rapport aux données que nous diffusons auprès de ceux qui nous sollicitent (GAFAM et autres) et espérons que la directive européenne sur la protection des données personnelles (RGPD) oblige à davantage de responsabilité de la part de ceux qui veulent exploiter nos données. Pour cela, il faudra des instances fortes pour en imposer l’application.

—————————————————————————————————————————————-

Auteur

Frédéric Foschiani – Fondateur et CEO de QSN-DigiTal, Agence Social Media

Spécialiste eReputation, réseaux sociaux et community management

Il est aussi formateur, conférencier et auteur d’articles sur ses domaines d’expertise, régulièrement sollicité par les médias.

Retrouvez ses dernières interventions

—————————————————————————————————————————————

Si cet article vous a intéressé, n’hésitez pas à laisser un commentaire.

—————————————————————————————————————————————

#reseauxsociaux #socialmedia #dataprotection #bigdata #Twitter #Facebook #Instagram #Snapchat #google #GAFAM #CambridgeAnalytica  #Knockin #RGPD