gdpr-article

Le scandale Cambridge Analytica/Facebook: le transfert illégal de 87 millions de données d’utilisateurs

Cambridge Analytica est une société privée de communication stratégique et d’analyse de données liée au Parti républicain américain. Il lui est aujourd’hui reproché d’avoir influencé les votes des électeurs américains en faveur de Donald Trump lors des dernières élections américaines après avoir collecté et traité les données personnelles de 87 millions d’utilisateurs du réseau social Facebook.

L’affaire remonte à novembre 2014, lorsqu’un chercheur de l’université de Cambridge, Aleksandr Kogan a conçu une application baptisée « Thisisyourdigitallife » en collaboration avec la société Cambridge Analytica. Cette application avait pour objectif de faire réaliser un test de personnalité payant. 270 000 utilisateurs ont autorisé dans le cadre de cette application, l’accès à leurs données Facebook à des fins de recherche.

L’application collectait simultanément les données des utilisateurs (âge, profession, pages qu’ils avaient likées)… mais également celles de leurs amis Facebook. Jusqu’en 2015, les règles de confidentialité de Facebook autorisaient les applications tierces à accéder aux données des utilisateurs mais aussi à celles de leurs amis, à l’insu de ces derniers. Par conséquent, bien que seulement 270 000 utilisateurs aient répondu au test, ce sont les données de pas moins de 87 millions d’utilisateurs qui ont été ainsi collectées, et réutilisées à des fins de ciblage politique parfaitement distinctes du questionnaire initial, dont 2,7 millions d’européens. En France par exemple, seules 76 personnes ont installé l’application mais ce sont les données de 211 667 utilisateurs qui ont pu être collectées, illégalement.

Après la collecte des données via l’application, Aleksandr Kogan a transmis les données à Cambridge Analytica. Grace aux données transmises et à d’autres bases dont elle disposait par ailleurs et dont l’origine semble encore inconnue, Cambridge Analytica a pu, par le recoupement de chaque information disponible à propos de chaque utilisateur, constituer des profils extrêmement précis dans le but notamment de prédire le vote de ceux-ci puis élaborer une campagne extrêmement ciblée de messages publicitaires sur Facebook à leur destination, afin d’influer sur leur choix.

Le profilage découvert apparaît en effet très fin ; il mêle des données personnelles classiques – mais dont certaines sont sensibles et en tous cas largement intrusives (données démographiques, géographiques, ethniques, sexe, religion, diplômes, localisation, statut familial, patrimoine, etc.) –, des données comportementales (sensibilité à la publicité, mobilité, style de vie, consommation, etc.), et des segmentations effectuées par Cambridge Analytica. Il s’agit d’ailleurs là d’un profilage qui est par ailleurs largement répandu dans les domaines de la publicité ciblée ou du marketing comportemental, qui sont directement sur la sellette depuis l’entrée en vigueur du RGPD et ses exigences d’un véritable consentement préalable, spécifique et positif.

Facebook aurait été alerté en 2015 sur le fait que Cambridge Analytica avait aspiré des données via l’application Thisisyourdigitallife. Cependant Facebook nie l’existence d’une quelconque violation des données personnelles, et en tous cas, estime n’assumer aucune responsabilité et être victime d’un partenaire « indélicat ». Selon le réseau social, Aleksandr Kogan aurait eu accès aux données via un mécanisme légitime mais celui-ci aurait outrepassé ses droits en transmettant les données à des tiers. Cambridge Analytica de son côté nie les accusations à son encontre. Elle affirme avoir détruit les données récoltées à l’époque (entre 2014 et 2015) et donc ne pas avoir pu les utiliser dans le cadre de la présidentielle américaine.

Suite à la découverte de ce scandale, Facebook a fait l’objet de nombreuses invitations à s’exprimer sur le sujet, notamment de la part du Parlement européen et de la Commission parlementaire britannique. Facebook ayant été, a minima, le vecteur de ce colossal détournement de données. Soit le réseau social connaissait l’existence de telles pratiques, soit il l’ignorait mais propose alors un service dépourvu de toute véritable protection contre les collectes déloyales puisqu’occultes, par des tiers inconnus des personnes concernées. A ce jour, de nombreuses enquêtes sont en cours. En Angleterre, l’Information Commissionner’s Office (ICO) enquête au sein de Cambridge Analytica afin de fouiller les serveurs et d’effectuer une vérification des données. Une perquisition a déjà eu lieu au sein de leurs locaux. Aux Etats-Unis, les procureurs de New York et du Massachusetts ont lancé une enquête en parallèle de la Commission fédérale du commerce (FTC), un organisme public chargé de veiller à la protection des consommateurs et de la concurrence.

Le 21 mars 2018, Mark Zuckerberg s’est exprimé depuis son compte personnel : « il reconnait que des erreurs ont été commises dans la gestion des données utilisateurs, tout en assurant que son entreprise n’avait pas attendu d’être incriminée pour changer sa politique de confidentialité ». La semaine suivante, Facebook a annoncé la refonte de son interface mobile afin de faciliter le contrôle de leurs données par les utilisateurs. Une routine, puisque depuis 2005, les scandales de ce type sont régulièrement accumulés, à la suite desquels le réseau social a toujours adopté un discours de contrition avant de modifier ses conditions générales… jusqu’au scandale suivant.

Mark Zuckerberg devait répondre le 11 avril aux questions du Congrès américain sur l’affaire. L’audition a laissé pantois plusieurs spécialistes de la privacy, notamment lorsque le jeune dirigeant refuse d’apporter des réponses claires aux questions simples des sénateurs, comme par exemple le fait pour Facebook de continuer à collecter des informations sur la navigation de son utilisateur alors même qu’il s’est déconnecté de Facebook. La Commission européenne quant à elle, a donné deux semaines à Facebook pour répondre à une série de questions concernant l’impact de cette affaire sur les données des utilisateurs européens. Le moins qu’on puisse dire, c’est que le géant américain ne peut en aucun cas jouer la surprise : les condamnations à son encontre sont devenues monnaie courante.

Ce scandale replace au centre du débat l’importance de l’information des utilisateurs quant au sort de leurs données collectées, élément clé du Règlement général sur la protection des données et de la future directive ePrivacy.

1. L’information des personnes concernées quant aux finalités et aux destinataires des données collectées

Cette affaire met en exergue l’importance de l’information circonstanciée et précise des utilisateurs quant aux finalités réellement mises en œuvre dans le cadre de la collecte des données. En effet, dans le cadre de l’application litigieuse, les utilisateurs ont consenti à voir leurs données collectées à des fins académiques, par l’éditeur d’une application précise, mais en aucun cas à que celles-ci soient collectées à des fins de ciblage politique, ni à ce qu’elles soient transférées à des tiers. Aleksandr Kogan n’avait pas la permission de collecter et d’utiliser les données à des fins commerciales, seule la finalité académique était autorisée par Facebook.

Les utilisateurs se devaient donc d’être informés des véritables finalités mises en œuvre et des destinataires potentiels. Mieux : leur consentement était nécessairement requis pour une utilisation de leurs données à des fins qui auraient dû être portées à leur connaissance (rappelons en effet qu’outre les données des personnes qui ont sciemment répondu au questionnaire d’Aleksandr Kogan, ce sont 87 millions de personnes dont les données ont été collectées à leur total insu), ainsi par ailleurs que pour la transmission de leurs données à une entité tierce.

Cette question de l’information quant aux finalités et aux destinataires des données a une résonnance toute particulière à l’aune de l’application prochaine du RGPD. En effet, les responsables de traitement seront désormais dans l’obligation d’informer spécifiquement les personnes concernées de l’ensemble des finalités pour lesquelles les données sont collectées mais également des destinataires des données (art. 13 du RGPD), et de recueillir leur consentement explicite en cas de finalité distincte ou de destinataire tiers. Faute de se conformer à cette obligation, les entreprises s’exposeront à des sanctions dont le montant peut s’élever à 20 millions d’euros ou 4% du chiffre d’affaires annuel, un montant particulièrement significatif qui a aussi été décidé pour convaincre les géants américains du web de s’y conformer…

2. L’information des personnes concernées quant à la violation de leurs données personnelles

A minima donc, Facebook a été négligent dans cette affaire en raison de l’absence d’information de ses utilisateurs quant au transfert illégal des données à un tiers non autorisé pour des finalités non prévues, ou d’absence de mise en place de règles prévenant de tels transferts.

Ainsi, dès décembre 2015, une enquête du Guardian avait mis en lumière le rôle de Cambridge Analytica dans la campagne de Ted Cruz pour la primaire républicaine américaine et l’acquisition de données d’utilisateurs de Facebook sans leur consentement. Facebook s’était alors seulement contenté de suspendre l’application d’Aleksandr Kogan et de demander à Cambridge Analytica la suppression des données.

Mais suite à cette demande de suppression, Facebook n’a pas vérifié si celle-ci avait bien été effectuée. Parallèlement, Facebook n’a pas prévenu ses utilisateurs du transfert illégal ayant eu lieu, ni pris les mesures afin de sécuriser les données personnelles collectées via les applications tierces. En clair, Facebook a laissé faire.

Facebook a donc manqué à ses obligations en tant que responsable de traitement des données. Sous l’empire du RGPD, Facebook sera dans l’obligation de notifier toute violation de données personnelles à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance en cas de risque pour les droits et libertés des personnes physiques (art. 33 du RGPD). Les personnes concernées devront également être informées dans les meilleurs délais si la violation de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes (art. 34 du RGPD). Et bien entendu, Facebook devra avoir déployé un ensemble de mesures organisationnelles et techniques pour empêcher de telles fuites de données ou détournements de finalité, et montrer que dès qu’elle aura pris connaissance de telles pratiques, elle aura pris les mesures qui s’imposent pour les faire cesser sans délai et en minimiser les conséquences pour les personnes concernées.

Ce scandale met surtout en exergue le système de collecte massive des données via les applications tierces de Facebook, qui relèvent non pas d’un dysfonctionnement, mais bien plutôt d’un modèle économique, celui qui lie Facebook à ses partenaires développeurs d’API ou de services, et qui leur ouvre l’accès aux données collectées par Facebook auprès de ses utilisateurs.

3. La remise en cause d’un système de collecte massive via les applications tierces de Facebook

 Dans le cadre de ce scandale, ce sont les conditions d’utilisation des applications tierces de Facebook qui sont pointées du doigt. En effet, de telles conditions permettent aux applications de recueillir non seulement les données d’une personne mais aussi celles de tous ses amis, à l’insu de ceux-ci et sans finalité expressément déterminée pour ce traitement. Sans contrôle de Facebook, les applications tierces peuvent donc aspirer de nombreuses données relatives aux amis des utilisateurs, évènements organisés, publications sur le mur des évènements, orientations culturelles, styles de vie, etc.

Pour faire face au scandale, Facebook a donc annoncé avoir modifié ses règles d’utilisation de ses interfaces de programmation d’applications. Désormais, Facebook indique qu’elle devra approuver toutes les applications qui demandent l’accès à des informations telles que les boutons « J’aime », les photos, les publications, etc. En sus, selon eux, ils ne permettront plus aux applications de demander l’accès à des données personnelles telles que des opinions religieuses ou politiques, des statuts et des relations, etc. Reste à savoir cependant comment Facebook, ou les éditeurs de sites web qui proposent le bouton « J’aime », pourront concrètement informer les utilisateurs des finalités et destinataires de l’information ainsi délivrée selon laquelle l’internaute apprécie tel ou tel contenu…

Enfin dès le 9 avril, Facebook affichera un lien dans le haut du fil d’actualité de ses utilisateurs afin de leur permettre de voir le détail des applications qu’ils utilisent et les informations qu’ils ont partagées avec. Les utilisateurs pourront également supprimer les applications dont ils ne veulent plus. Facebook précise que les utilisateurs sauront ainsi si leurs données ont été utilisées par Cambridge Analytica. C’est sans aucun doute un pas dans la bonne direction, même si cela ne ressemble pas encore au véritable consentement préalable et positif exigé par le RGPD.

Le scandale Cambridge Analytica remet sur le devant de la scène le danger de la monétisation des données personnelles et l’épineuse question de la gratuité des services web qui sont en réalité rémunérés par des collectes de données massives et trop souvent opaques. C’est le modèle économique des grands acteurs du net qui est en train d’être remis en cause à l’aune de l’application du RGPD. Facebook fait l’objet d’une vive contestation quant à sa gestion du respect de la vie privée des personnes, avec pour l’instant quatre condamnations depuis la modification de sa politique de confidentialité : en France (à hauteur de 150.000 euros), en Espagne (1,2 millions d’euros), en Belgique et en Allemagne. Le fondateur de Facebook évoquait ce matin un véritable « changement de philosophie » au sein de son entreprise : cela tombe bien, c’est a minima ce qu’induit le déploiement du RGPD, qui va conduire le marché à effectuer une transition technique et conceptuelle depuis des modèles de « CRM » big data, vers des modèles de « VRM » qui redonnent l’entier contrôle de leurs données, et des choix éclairés et conscients, entre les mains des utilisateurs eux-mêmes.

 

Autres Articles

L’or pour Data Legal Drive aux Trophées du droit

L'or pour Data Legal Drive aux Trophées du Droit Moins d’un an après sa création, la LegalTech DATA LEGAL DRIVE voit sa plateforme digitale de pilotage de la conformité RGPD récompensée par le Trophée d’or des Trophées du Droit. Remis à l’occasion du Legal Tech Show...

lire plus

Prêt pour votre mise en conformité RGPD ?