Facebook accusé de conserver des données effacées et de créer des "profils fantômes"
L'Autorité de protection de la vie privée irlandaise a ouvert une enquête sur Facebook, après le dépôt de vingt-deux plaintes différentes par un étudiant autrichien. Max Schrems, étudiant en droit habitant Vienne, accuse Facebook d'avoir
conservé de très nombreuses informations qu'il avait publiées puis
effacées sur le réseau social. Il soupçonne également Facebook de créer des "profils fantômes", qui rassemblent des informations sur des personnes qui n'ont pas créé de comptes, sans l'avoir déclaré.
Après avoir
assisté à une conférence organisée par Facebook, M. Schrems, qui avait
un compte sur le réseau social depuis trois ans, avait décidé de demander
à Facebook une copie de l'ensemble des données que le réseau social
détenait à son propos, conformément à la législation européenne.
Max Schrems a alors reçu un CD contenant un document de plus de 1 200
pages, avec des informations sur près de 60 sujets : l'ensemble des
"likes" et des "pokes" envoyés par M. Schrems, mais aussi l'intégralité
de ses discussions instantanées, ses statuts, ses demandes d'amis, ou
encore l'ensemble des événements Facebook auxquels il avait participé. A
la lecture du document, M. Schrems a constaté que les informations
qu'il avait effacées restaient stockées sur les serveurs de Facebook –
notamment des messages privés dont le contenu pourrait lui porter préjudice. Il a alors créé avec des amis le site Europe vs Facebook, qui détaille les procédures entreprises et incite les internautes à demander à recevoir eux aussi l'ensemble de leurs données, en leur fournissant la marche à suivre.
Le fait que Facebook conserve ces données sur le long terme pose
plusieurs problèmes, estime M. Schrems. Tout d'abord, il juge que les
utilisateurs de Facebook n'ont pas donné leur consentement explicite à
cette utilisation de leurs données, contrairement à ce que prévoit la directive européenne sur la protection de la vie privée ; et surtout, "ces données ne sont pas hébergées sur le territoire européen mais aux Etats-Unis, et Facebook Irlande [siège européen du réseau social]
ne garantit pas une sécurité suffisante à ces données (...). Il
n'existe aucune garantie que les forces de l'ordre américaines ou les
autorités européennes ne puissent pas accéder à ces informations sensibles sur les citoyens européens", note l'une des plaintes déposées par M. Schrems.
DES "MESURES TECHNIQUES" POUR FACEBOOK
Dans un communiqué,
Facebook s'est défendu de toute mauvaise utilisation des données de ses
utilisateurs, arguant que les données étaient conservées pour des
raisons essentiellement techniques. En ce qui concerne les messages
effacés, Facebook explique que "nous permettons aux utilisateurs de supprimer les messages dans leurs dossiers de messages reçus ou envoyés. Mais il n'est pas possible de supprimer
un message envoyé de la boîte de réception d'un autre utilisateur, et
inversement. Tous les services de messageries jamais inventés
fonctionnent comme cela."
L'argument est fallacieux, juge Max Schrems. "Cela peut sembler logique à première vue, explique-t-il au Monde.fr, mais si l'on se réfère à la politique de confidentialité de Facebook,
les messages ne sont pas supprimés même si les deux correspondants les
ont effacés. Ce n'est pas le cas dans les autres services de
messagerie."
Concernant d'autres types de données, le réseau social avance que de nombreuses données transmises à M. Schrems à sa demande "ne sont pas des données personnelles", mais simplement des informations utilisées par Facebook "pour la protection contre la fraude" ou "pour des raisons d'analyse statistique". Facebook utilise notamment l'adresse Internet Protocol (IP, qui permet d'identifier
une machine sur le réseau) pour ses services de protection contre le
détournement de compte – lorsqu'un utilisateur se connecte depuis une
adresse IP située dans un pays inhabituel, par exemple, le réseau social
rajoute des questions à la procédure de connexion, afin de limiter les détournements de comptes par des pirates.
"Il ne s'agit clairement pas de données personnelles",
affirme Facebook. Pourtant, l'adresse IP, notamment, est considérée par
le G29, qui regroupe les autorités de protection de la vie privée
européenne, comme une donnée personnelle,
bien que divers procès aient abouti, en Europe, à des jurisprudences
contradictoires. La révision, en cours, de la directive européenne sur
la protection de la vie privée – qui considère comme personnelle toute
donnée qui permet l'identification d'une personne – pourrait aboutir dans les prochains mois à une clarification nette du statut de cette information.
Mais pour Max Schrems, la manière dont Facebook définit ce qui constitue une donnée personnelle est ambiguë. "Facebook
ne m'a pas transmis l'ensemble de mes informations personnelles. Par
exemple, les données d'utilisation du bouton Like sur d'autres sites, ou
encore les données de leur fonction de reconnaissance faciale, ne font
pas partie du document. Et je soupçonne que mon visage est bien une
donnée personnelle", ironise-t-il.
"PROFILS FANTÔMES"
Au-delà des questions de conservation des données de ses
utilisateurs, M. Schrems reproche également à Facebook la création de ce
qu'il appelle des "profils fantômes" ("shadow profiles"). Par le biais
des synchronisations des téléphones ou des carnets d'adresse, Facebook
collecte quantité d'informations sur des personnes qui ne sont pas
inscrites sur le réseau – et les utilise notamment pour personnaliser les courriels invitant les internautes à rejoindre Facebook.
"En rassemblant ces informations, Facebook crée des profils
détaillés de ses utilisateurs comme des non-utilisateurs du service
(...). Et il le fait sans prévenir
les personnes concernées ; l'utilisateur comme le non-utilisateur voit
seulement les effets de cette collecte : les suggestions d'ajout d'amis
se basent parfois sur ces informations, tout comme les non-utilisateurs
reçoivent des invitations comportant les portraits de personnes qu'ils
connaissent dans la vraie vie. Cela signifie que Facebook collecte
d'importantes quantités de données sans en informer les personnes et sans leur demander leur consentement", détaille l'une des plaintes.
RISQUES LIMITÉS POUR FACEBOOK
L'instance irlandaise a ouvert une enquête préliminaire sur ces accusations. Mais même si Facebook devait être
poursuivi et condamné, le risque financier serait très limité pour
l'entreprise : la législation européenne prévoit en effet une amende de
100 000 euros maximum pour ce type d'infraction.
Mais une condamnation pourrait coûter
cher, en termes d'image, au plus grand réseau social au monde, qui fait
l'objet de plusieurs autres procédures sur d'autres sujets, notamment
en Allemagne. L'autorité de protection de la vie privée du Land de
Hambourg, qui s'était déjà inquiétée des implications du bouton "Like", a
mis en demeure Facebook de modifier, d'ici au 7 novembre, sa fonction de reconnaissance faciale.
Damien Leloup
SOURCES : LE MONDE
24 octobre 2011
Lien : http://www.lemonde.fr/technologies/article/2011/10/24/facebook-accuse-de-conserver-des-donnees-effacees-et-de-creer-des-profils-fantomes_1592814_651865.html
L'Autorité de protection de la vie privée irlandaise a ouvert une enquête sur Facebook, après le dépôt de vingt-deux plaintes différentes par un étudiant autrichien. Max Schrems, étudiant en droit habitant Vienne, accuse Facebook d'avoir
conservé de très nombreuses informations qu'il avait publiées puis
effacées sur le réseau social. Il soupçonne également Facebook de créer des "profils fantômes", qui rassemblent des informations sur des personnes qui n'ont pas créé de comptes, sans l'avoir déclaré.
Après avoir
assisté à une conférence organisée par Facebook, M. Schrems, qui avait
un compte sur le réseau social depuis trois ans, avait décidé de demander
à Facebook une copie de l'ensemble des données que le réseau social
détenait à son propos, conformément à la législation européenne.
Max Schrems a alors reçu un CD contenant un document de plus de 1 200
pages, avec des informations sur près de 60 sujets : l'ensemble des
"likes" et des "pokes" envoyés par M. Schrems, mais aussi l'intégralité
de ses discussions instantanées, ses statuts, ses demandes d'amis, ou
encore l'ensemble des événements Facebook auxquels il avait participé. A
la lecture du document, M. Schrems a constaté que les informations
qu'il avait effacées restaient stockées sur les serveurs de Facebook –
notamment des messages privés dont le contenu pourrait lui porter préjudice. Il a alors créé avec des amis le site Europe vs Facebook, qui détaille les procédures entreprises et incite les internautes à demander à recevoir eux aussi l'ensemble de leurs données, en leur fournissant la marche à suivre.
Le fait que Facebook conserve ces données sur le long terme pose
plusieurs problèmes, estime M. Schrems. Tout d'abord, il juge que les
utilisateurs de Facebook n'ont pas donné leur consentement explicite à
cette utilisation de leurs données, contrairement à ce que prévoit la directive européenne sur la protection de la vie privée ; et surtout, "ces données ne sont pas hébergées sur le territoire européen mais aux Etats-Unis, et Facebook Irlande [siège européen du réseau social]
ne garantit pas une sécurité suffisante à ces données (...). Il
n'existe aucune garantie que les forces de l'ordre américaines ou les
autorités européennes ne puissent pas accéder à ces informations sensibles sur les citoyens européens", note l'une des plaintes déposées par M. Schrems.
DES "MESURES TECHNIQUES" POUR FACEBOOK
Dans un communiqué,
Facebook s'est défendu de toute mauvaise utilisation des données de ses
utilisateurs, arguant que les données étaient conservées pour des
raisons essentiellement techniques. En ce qui concerne les messages
effacés, Facebook explique que "nous permettons aux utilisateurs de supprimer les messages dans leurs dossiers de messages reçus ou envoyés. Mais il n'est pas possible de supprimer
un message envoyé de la boîte de réception d'un autre utilisateur, et
inversement. Tous les services de messageries jamais inventés
fonctionnent comme cela."
L'argument est fallacieux, juge Max Schrems. "Cela peut sembler logique à première vue, explique-t-il au Monde.fr, mais si l'on se réfère à la politique de confidentialité de Facebook,
les messages ne sont pas supprimés même si les deux correspondants les
ont effacés. Ce n'est pas le cas dans les autres services de
messagerie."
Concernant d'autres types de données, le réseau social avance que de nombreuses données transmises à M. Schrems à sa demande "ne sont pas des données personnelles", mais simplement des informations utilisées par Facebook "pour la protection contre la fraude" ou "pour des raisons d'analyse statistique". Facebook utilise notamment l'adresse Internet Protocol (IP, qui permet d'identifier
une machine sur le réseau) pour ses services de protection contre le
détournement de compte – lorsqu'un utilisateur se connecte depuis une
adresse IP située dans un pays inhabituel, par exemple, le réseau social
rajoute des questions à la procédure de connexion, afin de limiter les détournements de comptes par des pirates.
"Il ne s'agit clairement pas de données personnelles",
affirme Facebook. Pourtant, l'adresse IP, notamment, est considérée par
le G29, qui regroupe les autorités de protection de la vie privée
européenne, comme une donnée personnelle,
bien que divers procès aient abouti, en Europe, à des jurisprudences
contradictoires. La révision, en cours, de la directive européenne sur
la protection de la vie privée – qui considère comme personnelle toute
donnée qui permet l'identification d'une personne – pourrait aboutir dans les prochains mois à une clarification nette du statut de cette information.
Mais pour Max Schrems, la manière dont Facebook définit ce qui constitue une donnée personnelle est ambiguë. "Facebook
ne m'a pas transmis l'ensemble de mes informations personnelles. Par
exemple, les données d'utilisation du bouton Like sur d'autres sites, ou
encore les données de leur fonction de reconnaissance faciale, ne font
pas partie du document. Et je soupçonne que mon visage est bien une
donnée personnelle", ironise-t-il.
"PROFILS FANTÔMES"
Au-delà des questions de conservation des données de ses
utilisateurs, M. Schrems reproche également à Facebook la création de ce
qu'il appelle des "profils fantômes" ("shadow profiles"). Par le biais
des synchronisations des téléphones ou des carnets d'adresse, Facebook
collecte quantité d'informations sur des personnes qui ne sont pas
inscrites sur le réseau – et les utilise notamment pour personnaliser les courriels invitant les internautes à rejoindre Facebook.
"En rassemblant ces informations, Facebook crée des profils
détaillés de ses utilisateurs comme des non-utilisateurs du service
(...). Et il le fait sans prévenir
les personnes concernées ; l'utilisateur comme le non-utilisateur voit
seulement les effets de cette collecte : les suggestions d'ajout d'amis
se basent parfois sur ces informations, tout comme les non-utilisateurs
reçoivent des invitations comportant les portraits de personnes qu'ils
connaissent dans la vraie vie. Cela signifie que Facebook collecte
d'importantes quantités de données sans en informer les personnes et sans leur demander leur consentement", détaille l'une des plaintes.
RISQUES LIMITÉS POUR FACEBOOK
L'instance irlandaise a ouvert une enquête préliminaire sur ces accusations. Mais même si Facebook devait être
poursuivi et condamné, le risque financier serait très limité pour
l'entreprise : la législation européenne prévoit en effet une amende de
100 000 euros maximum pour ce type d'infraction.
Mais une condamnation pourrait coûter
cher, en termes d'image, au plus grand réseau social au monde, qui fait
l'objet de plusieurs autres procédures sur d'autres sujets, notamment
en Allemagne. L'autorité de protection de la vie privée du Land de
Hambourg, qui s'était déjà inquiétée des implications du bouton "Like", a
mis en demeure Facebook de modifier, d'ici au 7 novembre, sa fonction de reconnaissance faciale.
Damien Leloup
SOURCES : LE MONDE
24 octobre 2011
Lien : http://www.lemonde.fr/technologies/article/2011/10/24/facebook-accuse-de-conserver-des-donnees-effacees-et-de-creer-des-profils-fantomes_1592814_651865.html
