Un très bon article dans le Wired UK de ce mois-ci (la version UK de Wired est en moyenne nettement plus intéressant et moins partisane que le Wired US) sur les tentatives de Max Schrems de corriger les manquements légaux de Facebook concernant la vie privée. Cela me permet de revenir sur l’inégalité de traitement entre les entreprises Internet américaines et les Françaises. Car si la loi est la même pour toutes, son application est assez inégalitaire.
Max la menace
Max Schrems est un thésard Autrichien qui a fait sa thèse sur les données privées emmagasinées par Facebook. Après avoir adressé une demande à Facebook, il a reçu un PDF de 1200 pages contenant toutes ses informations personnelles. Et là Schrems a eu la surprise de découvrir tout son historique de messages et de discussions privées et même ses localisations géographiques (combinaison de check-ins, récupérations de données d’apps, adresses IP et uploads geotagués).
Pire, Max découvrit des éléments qu’il avait supprimé de Facebook (messages, status updates et wall posts), mais aussi des éléments qu’il n’avait jamais saisi lui-même (adresses email récupéré des répertoires de ses amis).
Les informations comportementales récupérées par Facebook | ||
Check-ins : cette liste des endroits où l’utilisateur a checké. On y retrouve : l’auteur, les messages, les utilisateurs, un identifiant et un time stamp (heure/date). | La dernière localisation connue : le dernier endroit où le site vous a checké. L’information est obtenue par les apps utilisées, les check-ins, les photos geotaguées, et la dernière adresse IP utilisée (oui Facebook sait que vous visitez grosseins.com). | Les amis : une liste de tous vos amis (avec leurs identifiants). Les amis supprimés se retrouvent dans la liste des « removed friends ». Rien ne se perd chez Facebook. Le pire étant certainement les « shadow profiles », les informations récupérées par Facebook sur vos contacts qui n’y sont pas. C’est à dire que Facebook possède des infos sur des gens qui ne s’y sont jamais inscris. Voilà de quoi renforcer la paranoïa des anti-facebook. |
Les messages : tous les messages (également les chats) que vous avez reçus ou envoyés. Ils ne peuvent plus être supprimés et les agences US peuvent déjà y accéder à volonté. | Les partages : on y trouve tous les liens postés ou partagés par l’utilisateur sur son mur. On y trouve également les posts que l’utilisateur a effacé. | Les connections : toutes les pages que l’utilisateur a liké. La liste la plus utile pour de l’analyse comportementale. Car évidement, on y retrouve des tas d’informations personnelles sur vos goûts vos combats, votre taille de sous-vêtements. |
En 2011, Schrems a créé Europe versus Facebook qui publiant toutes les datas envoyées par FB en pointant chacune des irrégularités avec les lois européennes. Il entra en relation avec le IPDC (Irish Data Protection Commissioner, le responsable des datas pour les utilisateurs Européens) et envoya 22 plaintes pour irrégularités.
L’IPDC examina les plaintes et envoya des recommandations à Facebook. Pour l’IPDC, il était tout à fait normal que Facebook soit en désaccord avec les lois européennes sur la vie privée, car Facebook est une entreprise américaine pour laquelle ces lois sont aberrantes. Facebook a alors commencé des modifications pour rendre l’accès aux informations personnelles plus facile, et pour réduire les irrégularités (notamment sur la suppression des données). Mais alors pourquoi se fâcher si Facebook corrige tout ça ? Car la véritable problématique soulevée par Schrems n’est pas l’utilisation des datas privées mais le principe même de détection de ces problèmes.
Facebook se raille, l’Europe l’a dans le train
Parce que c’est à l’Europe de venir vérifier si ces infractions sont là ou pas… Et ça coûte (cher) de vérifier tout ça. En effet, Facebook a fait le calcul simple et sa stratégie est simple : corriger uniquement les fonctionnalités qui ont fait l’objet d’une plainte, plutôt qu’anticiper celles-ci. A l’Europe de payer l’analyse du programme, le dépôt des plaintes, et les équipes de suivi. Des économies pour Facebook (payées sur nos impôts).
En France c’est le travail de la CNIL de contrôler ce genre de dérives. Et malgré son budget réduit, elle fait son travail avec diligence, obligeant les sociétés françaises à se poser plein de questions avant de créer une base de données. C’est une bonne chose de faire réfléchir les entreprises à ce qu’elles sont en train de faire. Seulement la CNIL étant une commission, elle ne peut pas vraiment envoyer faire payer une amende à un contrevenant. Et puis, ils sont pas nombreux à la CNIL et des sites, il en sort tous les jours. Alors la CNIL fait ce qu’elle peut…
Mais elle ne peut pas faire grand chose contre Facebook. Lisez ses conclusions sur le « bug » Facebook : « L’audit de facebook, mené par l’autorité irlandaise pour le compte du G29, a d’ailleurs très récemment rappelé l’importance de ces garanties. » En gros, la CNIL a des recommandations de qualité, ce serait si bien que vous les suiviez…
L’état, complètement largué par la nouvelle économie
Alors évidemment on pourrait dire que l’Etat peut donner du pouvoir et de l’argent à une institution quand il le veut. Par exemple, prenez Hadopi (la Haute Autorité du Pipeau). Son budget monstrueux et son pouvoir immense est bien utile pour épingler 4 pauvres pirates qui ont fait un manque à gagner de 0,00015% dans les comptes de Warner-Universal.
Maintenant, imaginez de prendre le budget d’Hadopi pour payer des gens qui analyseraient les irrégularités commises par les grosses boites internationales. Ces fonctionnaires pointeraient du doigt (à la place de chercheurs comme Schrems) les sociétés qui trichent et leur colleraient de grosses et impitoyables amendes. Des amendes qui dissuaderaient les entreprises étrangères de passer outre les lois Européennes. Ce serait juste hein ? Mais on peut rêver…
Seulement, on ne peut pas taper dans le dos de Zuckerberg dans son bureau de président, et donner des cartouches à la CNIL (ou aux institutions européennes) pour tirer sur lui. L’ancien président avait fait son choix, quant au nouveau il semble avoir tant d’autres choses à faire qu’il attend certainement 2017 pour reparler des NTIC… Ne comptons donc pas sur eux pour assainir les pratiques des grandes sociétés américaines.
Hélas, en ne relevant pas les irrégularités de Zuckerberg, c’est tout le système économique de l’Internet Français qui est condamné à plus ou moins long terme.
Pourquoi Facebook peut faire ça, et ma petite société française n’a pas le droit ?
Car Zuckerberg peut lui se permettre de payer une amende, mais une petite boite européenne non. Alors Zuckerberg se permet d’ignorer superbement les lois Européennes, pendant que les sociétés européennes sont obligées de leur obéir. Et l’évolution de cette situation semble assez évidente pour les dirigeants actuels de sociétés digitales :
- soit se moquer droit européen. Ben oui, pourquoi se coltiner les interminables formulaires de la CNIL si Zuckerberg ne le fait pas ?
- soit déménager son siège social à l’étranger où les lois sont plus coulantes.
Dans les deux cas, la France et l’Europe ne gagnent rien (et les internautes l’ont dans le dos).
La seule solution pour les internautes est donc l’auto-régulation personnelle, seul moyen pour forcer l’auto-régulation de Facebook. Il ne s’agit pas forcément de quitter le service mais de bloquer ses fonctionnalités d’espionnage de vos activités online privées avec des plugins ou des outils appropriés (Facebook blocker, Facebook Disconnect, SharemeNot, et les Adblock qui commencent à intégrer des protections Facebook etc…). Quand Zuckerberg verra qu’il ne récupère plus de datas, il fera machine arrière (comme en 2007 quand il a annoncé qu’il ne ferait jamais d’analyses comportementales sur Facebook).
C’est donc à nous de nous défendre car l’Etat – complètement largué par les nouveaux usages digitaux – ne le fera pas à notre place. En attendant, Facebook observe et stocke toute votre vie. Faudra pas vous plaindre.
Demandez vos datas sur Facebook
Pour tenter de récupérer vos données sur le réseau social le plus connu du monde occidental. Plus d’infos sur Europe vs Facebook.
- Utilisez le download tool Facebook en allant sur la page de vos Settings. Cliquez sur « Download a copy of your Facebook data« . Cohez la case Expanded archives. Vos datas seront prêtes en 2 heures. Attention, il ne s’agit que de quelques unes de vos données stockées par le service.
- Envoyez un mail de requête à Facebook (modèle ici) à datarequest@fb.com. Facebook a 40 jours pour répondre à votre demande. Vous recevrez un courrier automatique.
- Envoyer un courrier postal (voir le modèle sur Europe Vs FB) à Facebook : Facebook Ireland Limited / Hanover Reach / 5-7 Hanover Quay / Dublin 2 / IRELAND
- Vérifiez vos données pour voir si FB vous a tout envoyé dans les 40 jours impartis.
- Le cas contraire, remplissez une plainte.
moi karles jabit ou paris
@Damien, mais un message qui n’est pas lu ne sert à rien, qu’il soit droit, moral ou pas.
C’est peut-être triste mais c’est la réalité de notre ère de l’information. A nous de nous y adapter.
A quoi ca servirait ? Et bien ce serait tout simplement un message préventif.
tu parles de déontologie, c’est le mot juste. Moralité, droiture pourraient compléter le tout.
On voit bien comment tourne le net depuis quelques temps. Je ne suis pas optimiste sur la tournure que cela prend.
@Damien,
Chacun son idée de la déontologie du blogueur. Personnellement, je ne suis pas du tout contre les réseaux sociaux quels qu’ils soient. En revanche, je suis contre l’utilisation des données personnelles à des fins publicitaires, quel que soit le support/service.
Quand à l’utilisation de Facebook, je me suis déjà plusieurs fois expliqué sur le sujet (dans un de mes 500 articles), et je ne vois pas l’utilité de la refaire.
Mais je te donne tout de même cette indication : à quoi sert de dire que Facebook est dangereux à des gens qui ne sont pas sur Facebook ?
Non, justement ton article me parait juste et justifié.
il faut indiquer au plus grand nombre le problème soulevé par ces sites qui collectent les informations de leur utilisateurs.
Dans le cas d’un plan marketing pour lancer une marque ou la faire vivre et exister, je peux comprendre l’utilisation des FB, G+ ou autre. Le but est de se faire connaitre et/ou de promouvoir sa marque pour vendre, vendre et vendre encore, peu importe le moyen : seul faire du pognon en vendant compte.
En tant que blogueur, il faut choisir son positionnement :
1) ok pour les réseaux sociaux car je veux me faire connaître et j’ai des choses à vendre.
ou
2) expliquer pourquoi on est contre les réseaux sociaux et ne pas les utiliser. C’est mon cas, sauf pour Twitter qui n’est pas (encore) intrusif.
Après il faut assumer son positionnement. Je me dis que tu as tout bon avec ton analyse et je regrette que tu cautionnes FB… ca me dérange. Et pour terminer, tu ne peux pas dire « je les critique mais je les utilise parce que je suis malin et en dehors du truc ». Tu ne peux pas être en dehors et les utiliser. De mon humble avis.
@Damien, je comprends bien mais quel rapport avec cet article ? L’article est-il faux pour autant ?
Après sur les motivations que j’ai d’utiliser Facebook sur mon site j’écrirai un jour un article sur ce sujet: « Pourquoi j’utilise facebook sur mon blog. » Je suis certain de t’avoir au moins comme lecteur, ça a l’air de te passionner.
Tu expliques qu’il faut entrer en guerre contre FB et tu l’utilises sur ton site. C’est mon questionnement.
Reconnais que tu utilises tous les réseaux sociaux afin de drainer un maximum de public, non ?
Tous les bloggueurs le font : ils tappent sur Google, Facebook et Instagram et leurs politiques de vie privée mais utilisent quand même leurs services. Tu comprends ?
@Damien Tenter de créer du trafic sur son blog en changeant de sujet de discussion est véritablement hypocrite (ou alors c’est du trolling).
Dénoncer les actes de Facebook et tenter de gonfler son trafic avec des liens J’aime de FB et des Google+. Pas loin d’être hypocrite…
@bidul
Certainement, mais avec tous mes plugins, je ne les vois même plus.
Ceci dit, on a tout à fait le droit d’utiliser ces réseaux. Mais il faut apprendre à gérer les informations personnelles que l’on met dedans, et connaître l’utilisation qui en est faite.
Et à gauche, juste à coté de la case ou je suis en train d’écrire, il y a un bouton « Like ».
Un autre plus global pour le site, en haut à droite… et juste au dessus, un lien vers la page FB de l’auteur… (en plus des boutons Twitter et G+)..
En réponse à Rachel,
qui a parfaitement raison dans son argumentation sur les points exposés sauf que :
Facebook utilise des cookies de tracking (que certes l’utilisateur peut désactiver ou supprimer mais qui prend la peine de le faire réellement? ) qui collectent pendant une durée allant jusqu’à 6 mois vos données de navigation sur les sites partenaires et les rapatrient à votre nouvelle connexion sur FB.
Grace à ces cookies, FB sait donc quels sites vous visitez. D’ailleurs, c’est ce qui permet à FB de vous proposer de la publicité ciblée.
C’est pour votre bien…
Concernant les profils fantômes, FB peut/pourrait tout à fait au travers des applications utiliser les données de vos contacts, y compris ceux qui ne sont pas inscrits sur FB (notamment par le biais des applications du type anniversaire qui vous invitent à récupérer vos contacts Outlook, mail…). Il ne semble pas très difficile ensuite pour FB de mettre en oeuvre ces données pour créer des profils sur la base des adresses emails récoltées.
Concernant les sous-vêtements, là encore, si vous êtes allé faire un achat en ligne sur l’un des sites partenaires…
Deux choses :
– le fait que fb connaisse mon IP n’a rien à voir avec les sites que j’ai visités. Donc non, fb ne peut pas savoir les sites que j’ai visités avant par l’adresse IP contrairement à ce qui est dit. Il peut juste savoir d’où je me suis connectée.
– Les profils fantômes ne correspondent pas à des profils de gens qui ne se sont jamais inscrits mais aux profils de gens qui se sont inscrits puis ont effacé leur compte. Rien à voir donc.
Quant à savoir la taille des sous-vêtements, si vous ne les donnez pas explicitement, ils n’ont aucune chance de le savoir…
Bref, rien de nouveau sous le soleil. Oui il faut faire attention à ce qu’on met de public (et tout ce qu’on poste en général). Ce n’est pas nouveau.
@Rachel
– Je me relis, et j’ai bien écrit la « dernière adresse IP utilisée », ce qui correspond à ton explication. De plus, Facebook récupère aussi les adresses des sites visités qui ont installé le FB connect et autres boutons de like/share. Autant dire la majorité des sites média non.
– Les « profils fantômes ». Chacun sa définition. Celle de Max Schrems parle de personnes non inscrites mais qui ont tout de même des informations récupérées sur Facebook. C’est pas moi qui le dit, c’est lui.
– La taille de sous-vêtement sera bientôt analysée par reconnaissance d’image. Pas besoin de la donner explicitement.
– Enfin, cet article ne veut pas dire que c’est nouveau, il veut dénoncer le cout de l’audit de Facebook supporté par l’Union Européenne.
Et je suis bien d’accord avec toi sur tous ces gens qui ne font pas attention à ce qu’ils postent. J’en ai même dans mes commentaires…