Il est d’usage que ce soit les Américains avec la CIA qui interfèrent dans les élections de pays tiers afin de déstabiliser un régime politique jugé hostile aux intérêts américains. Mais l’improbable élection de Donald Trump a également bouleversé cette mécanique.

En effet, en s’offrant les services de la firme Cambridge Analytica, le magnat de l’immobilier a utilisé le réseau social Facebook afin d’assurer sa victoire aux élections américaines.

Les dessous d’un scandale

En répondant aux questions, quelle est votre journée la plus chanceuse ? » ou « quelle est la couleur de l’aura de votre chien », 270 000 utilisateurs du réseau sociaux Facebook a permis l’élection de Donald Trump (1).

Ce test de personnalité a été créé par l’Universitaire Aleksandr Kogan qui a recueilli les données dans l’intention de les vendre à Cambridge Analytica. Cambridge Analytica est une entreprise d’analyse de données engagée par les campagnes Trump et Brexit pour créer des publicités ciblées en ligne.

Lorsque les 270 000 utilisateurs ont terminé le test de personnalité, ils ont accepté qu'Aleksandr Kogan, et par extension Cambridge Analytica, puisse utiliser les données. Mais ils ont surtout également permis l’accès à leurs profils Facebook.

Avec l'accès aux profils des 270 000 utilisateurs initiaux qui ont passé le test, Kogan a entrepris une frénésie de collecte de données et recueilli des informations auprès de 50 millions d'amis supplémentaires des utilisateurs originaux. Cambridge Analytica a ensuite analysé ces données pour créer des « profils psychographiques » des utilisateurs basés sur les mesures de personnalité de l'ouverture, de la conscience, de l'extraversion, de l'amabilité et du névrosisme. Dit simplement, cela a fonctionné comme ceci : les résultats du test de personnalité ont donné les profils de ces individus. Ces profils ont été comparés aux choses que ces individus "aimaient" sur Facebook. Ces corrélations ont ensuite été appliquées aux « goûts» des 50 millions d'utilisateurs supplémentaires pour prédire leurs traits de personnalité (2).

Ainsi, ce scandale souligne le rôle de Facebook dans la politique électorale. Facebook semble avoir permis aux travaux de publicité de Cambridge Analytica d’être opaques pour le public. Facebook a émergé comme une arène importante pour le discours politique (3).

Au-delà de la probabilité que l'absence du travail de Cambridge Analytica Trump ne serait pas le Président des Etats-Unis d’Amérique en ce moment, regardons dans quelle mesure la vie privée des utilisateurs a été violée.

Une collecte et utilisation illégale de données personnelles des utilisateurs 

Les 270 000 utilisateurs qui ont fait le test de personnalité de Kogan avaient seulement accepté que leurs données puissent être utilisées à des fins académiques et non pour cibler des publicités de campagne politique.

Les lois sur la protection de la vie privée (de façon générale : européennes, anglaises, françaises, etc…) disposent qu’on peut utiliser les données qu’aux fins pour lesquelles on a obtenu leur consentement.

Facebook partage régulièrement les données des utilisateurs avec des tiers. Néanmoins sa politique de données indique les raisons pour lesquelles les données des utilisateurs avec des tiers peuvent être utilisées : elles peuvent être partagées avec un tiers uniquement pour « mener des recherches et des enquêtes académiques ». Bien évidemment, influencer sur une campagne politique n’entre pas dans la politique de données du réseau social. Cambridge Analytica a donc violé les conditions de Facebook.

La responsabilité de Facebook ?

La défense de Facebook consiste à d’une part affirmer que tout le monde a consentit à ce que leurs données soient données à des tiers à des fins académiques, et que d’autre part, c’est Kogan et Cambridge Analytica qui ont utilisés les données à d’autres fins, ce qui n’avait rien à voir avec Facebook (4).

Néanmoins, répondant au scandale et sous pression, Mark Zuckerberg ressent le besoin d’affirmer que « We have a responsibility to protect your data, and if we can't then we don't deserve to serve you ». Ainsi, est-ce que la responsabilité de Facebook peut être engagée dans le scandale Cambridge Analytica ?

La firme de Zuckerberg est une délinquante en série dans la matière. En effet, pendant la majeure partie de sa durée de vie de quatorze ans, Facebook a fait l’objet de critiques justifiées selon lesquelles il n’est pas honnête concernant dans quelle mesure les données des utilisateurs sont partagées avec des développeurs d’application et d’autres tiers (5).

La première controverse est survenue en novembre 2007 lorsque Facebook a lancé «Beacon», un programme conçu pour diffuser des actions, comme des achats, qu'un utilisateur de Facebook a fait avec tous ses «amis» Facebook. Les utilisateurs se sont immédiatement plaints et se sont opposés à ce que leurs amis apprennent leurs achats sans leur permission. Facebook a abandonné Beacon en 2009 dans le cadre du règlement d'un recours collectif (6).

Ensuite, en novembre et décembre 2009, Facebook a apporté deux modifications à sa politique de confidentialité afin de désigner comme « accessibles au public » certaines informations auparavant privées et soumises au contrôle de l'utilisateur. Facebook avait longtemps donné aux utilisateurs des paramètres de confidentialité qui limitaient l'accès à certaines informations à des groupes spécifiques, tels que "Amis seulement" ou "Amis d'amis". Bien que Facebook ait dit aux utilisateurs qu'ils pouvaient continuer à restreindre le partage de données. En fait, le fait de sélectionner «Amis seulement» n'a pas empêché les informations de l'utilisateur d'être partagées avec des applications tierces utilisées par leurs amis (cela vous semble familier?). Facebook a également déclaré que les utilisateurs d'applications tierces installées n'auraient accès qu'aux informations utilisateur dont ils ont besoin pour fonctionner. Encore une fois, ce n'était pas vrai ; les applications peuvent accéder à presque toutes les données personnelles des utilisateurs (7).

C'est pourquoi la FTC (La Federal Trade Commission (FTC) est une agence indépendante du gouvernement des États-Unis, sa mission principale est l'application du droit de la consommation et le contrôle des pratiques commerciales anticoncurrentielles) a accusé Facebook de huit chefs d'actes et de pratiques trompeuses.

Pour résoudre le litige, Facebook a conclu un accord avec la FTC en Novembre 2011. L’accord interdit à Facebook de faire d'autres allégations trompeuses, de plus il exige que Facebook obtienne l'approbation des consommateurs avant de changer la façon dont il partage leurs données, et le plus pertinemment ici, Facebook doit pouvoir permettre aux utilisateurs de donner un avis clair et visible et doit obtenir un "consentement exprès" avant de partager leurs données avec des tiers (8).

La collecte non-consensuelle d'énormes quantités de données par une application tierce - est au centre de l'enquête Cambridge Analytica et de l’engagement de la responsabilité de Facebook tout comme l’affaire de 2011.

Les violations apparentes de Facebook à l'égard de l’accord de 2011 sont troublantes. L’accord indique clairement qu'un consentement explicite est nécessaire avant tout partage dépassant les restrictions imposées par le paramètre d'un utilisateur. L’accord établit une distinction claire entre un "utilisateur" - défini pour signifier "une personne identifiée auprès de laquelle [Facebook] a obtenu des informations" et une "tierce partie" définie comme signifiant "toute personne ou entité qui utilise ou reçoit des informations couvertes obtenues par ou au nom de "Facebook. L’accord conclu avec le FTC permet ainsi aux utilisateurs de Facebook de continuer à partager des informations, mais il interdit aux tiers d'obtenir des informations privées d'un utilisateur à moins que l'utilisateur ne reçoive un avis et consent, ou ait activé, des paramètres de confidentialité permettant un large partage. L’accord exige que, lorsque l'accès de tiers dépasse les paramètres d'un utilisateur, un avis doit être donné clairement en évidence et qu'il divulgue exactement quelles informations d'utilisateur seront récoltées et l'identité ou la catégorie du tiers cherchant les données. Ensuite, l'utilisateur doit donner "consentement exprès" (9).

Ainsi, les exigences n'ont pas été satisfaites lorsque Kogan a trompé 270 000 utilisateurs en leur faisant croire que leurs informations seraient utilisées uniquement pour la recherche, puis a réussi à avoir accès à 50 millions de leurs amis, qui n'avaient aucune idée que leurs données ont également été récoltées. Même en dehors de l’accord conclu en 2011, cette récolte enfreignait clairement l'interdiction de la Federal Trade Commission Act de «faire des actes ou des pratiques trompeuses» (10).

Les violations de Facebook concernant les données personnelles de ses utilisateurs ne s’arrêtent pas là. Une section différente de l'accord exige que Facebook évalue les risques pour la vie privée des consommateurs et prenne des mesures raisonnables pour contrer ces risques. Facebook ne semble pas avoir pris cette exigence au sérieux non plus. Il ne semble pas que Facebook ait eu le cadre de conformité le plus élémentaire pour protéger l'accès aux données de l'utilisateur. Plus important encore, il est tout à fait prévisible que si les développeurs d'applications ne tiennent pas leurs promesses concernant la collecte et le partage de données, ils pourraient ne pas être francs avec Facebook sur leurs intentions. Pourtant, il semble que Facebook n'ait fait aucun effort pour établir la bonne foi des développeurs, et encore moins vérifier ce que les développeurs d'applications de données utilisateurs ont réellement récolté et partagé. Comme les rapports de presse le montrent clairement, il y avait de nombreuses raisons pour lesquelles Facebook se méfiait de Kogan depuis le début, mais il n'y a aucune preuve que Facebook ait procédé à une sélection sérieuse de Kogan ou d'autres développeurs d'applications, ni audit ou vérification back-end (11).

La nécessité d’une protection accrue des données pour garantir la survie de Facebook

Au-delà des questions juridiques, l’affaire a mis en lumière l’immensité de la collecte de données personnelles effectuée par Facebook depuis quatorze ans et la légèreté de leur protection par le réseau social et, plus largement, par les fournisseurs de services numériques gratuits (12).

D’ailleurs lors de son audition devant le congrès américain mi-avril, le patron de Facebook bottait en touche quant à un changement de son modèle économique basé sur la monétisation des données des utilisateurs auprès des publicitaires en échange d’un service gratuit (13).

Devant le Congrès, Facebook jouait sa future liberté face à d'éventuelles lois encadrant davantage la collecte de données sur le modèle du RGPD européen à venir. À cet égard, Vera Jourova, commissaire à la Justice et à la Protection des consommateurs, à remercié ironiquement Monsieur Zuckerberg, elle qui cherchait à faire campagne pour le règlement européen sur la protection des données (14).

Par Charlotte Kusnir

(1) How Cambridge Analytica (And Facebook?) Breached All The Privacy Laws, par Justin Cudmore & James True, 29 mars 2018

(2) How Cambridge Analytica (And Facebook?) Breached All The Privacy Laws, par Justin Cudmore & James True, 29 mars 2018

(3) Facebook, Cambridge Analytica, and the Regulator’s Dilemma: Clueless or Venal? par David C. Vladeck, 4 avril 2018, Harvard Law Review

(4) How Cambridge Analytica (And Facebook?) Breached All The Privacy Laws, par Justin Cudmore & James True, 29 mars 2018

(5) Facebook, Cambridge Analytica, and the Regulator’s Dilemma: Clueless or Venal? par David C. Vladeck, 4 avril 2018, Harvard Law Review

(6) Facebook, Cambridge Analytica, and the Regulator’s Dilemma: Clueless or Venal? par David C. Vladeck, 4 avril 2018, Harvard Law Review

(7) Facebook, Cambridge Analytica, and the Regulator’s Dilemma: Clueless or Venal? par David C. Vladeck, 4 avril 2018, Harvard Law Review

(8) Facebook, Cambridge Analytica, and the Regulator’s Dilemma: Clueless or Venal? par David C. Vladeck, 4 avril 2018, Harvard Law Review

(9) Facebook, Cambridge Analytica, and the Regulator’s Dilemma: Clueless or Venal? par David C. Vladeck, 4 avril 2018, Harvard Law Review

(10) Facebook, Cambridge Analytica, and the Regulator’s Dilemma: Clueless or Venal? par David C. Vladeck, 4 avril 2018, Harvard Law Review

(11) Facebook, Cambridge Analytica, and the Regulator’s Dilemma: Clueless or Venal? par David C. Vladeck, 4 avril 2018, Harvard Law Review

(12) Mark Zuckerberg au Congrès : tout comprendre à l'affaire Facebook-Cambridge Analytica, par Benjamin Hue, 10 avril 2018, RTL futur

(13) Facebook: Ce qu'a dit Mark Zuckerberg devant le Congrès américain, Rédaction Le HuffPost avec AFP, 11 avril 2018, Huffpost

(14) Mark Zuckerberg au Congrès : tout comprendre à l'affaire Facebook-Cambridge Analytica, par Benjamin Hue, 10 avril 2018, RTL futur