Facebook a eu une semaine mouvementée. Plusieurs enquêtes ont pointé du doigt l'activité de Cambridge Analytica, une entreprise d'analyse de données ayant travaillé pour la campagne de Donald Trump, sur la plateforme. Les données personnelles de dizaines de millions d'utilisateurs de Facebook ont été récupérées et exploitées sans leur consentement.
Entre 2010 et 2015, Facebook permettait aux applications tierces de collecter les données personnelles de ses utilisateurs et de leurs amis. En 2015, après avoir réalisé que ces informations pouvaient être utilisées de façon inappropriée, Facebook a bloqué l'accès à sa plate-forme, mais il était déjà trop tard – Cambridge Analytica avait déjà rassemblé les données de millions de personnes. Voici comment Facebook s'est mis dans cette situation.
2010 – Facebook lance Open Graph API 1.0 pour les développeurs, qui permet la collecte de données exhaustives sur ses utilisateurs.
Le 21 avril 2010, Facebook autorise l'accès à son graphique social aux applications tierces, qui peuvent alors réclamer une grande quantité de données, dont les informations sur les amis des utilisateurs, sans avoir à justifier la raison pour laquelle ils veulent ces données.
Ces applications pouvaient obtenir un ensemble de données exhaustives qui incluaient le profil public d'un utilisateur (son nom, sexe, lieu de résidence, fuseau horaire et identifiant Facebook), ainsi que les nom, biographie, anniversaire, niveau d'éducation, convictions politiques, statut relationnel, religion, commentaires, statut de connexion sur le tchat et autres informations de ses amis. En demandant des permissions étendues, les développeurs pouvaient même accéder aux messages privés d'un utilisateur. La liste complète des permissions d'une application peut être trouvée sur la cinquième page de cette étude.
La même année, Mark Zuckerberg écrit une tribune libre pour le Washington Post. Il promet de modifier la politique de confidentialité du site, afin de proposer un contrôle plus granulaire des permissions liées aux données et de réduire la quantité d'informations sur les utilisateurs accessibles au public.
2012 – Facebook modifie légèrement le design de sa page de demande de permissions...
... et les utilisateurs voient moins facilement qu'ils transmettent plus d'informations personnelles. Des captures d'écran de 2012 montrent comment Facebook a modifié les options «Autoriser» et «Ne pas autoriser» sur la page de permissions des jeux en un simple «Jouer». Il n'était pas clairement indiqué aux utilisateurs qu'ils autorisaient le partage de données. Le nouveau design permettait à Facebook de dissimuler l'explication de ce qui était considéré comme des «informations de base» derrière un petit symbole («?»). Les utilisateurs devaient passer leur souris sur ce symbole pour savoir ce qu'ils dévoilaient comme données personnelles.
2013 – Aleksandr Kogan, chercheur à l'Université de Cambridge, développe une application de quiz utilisant Graph API. Plus de 270 000 personnes répondent au sondage, donnant accès à leurs propres données, ainsi qu'à celles de leurs amis.
Aleksandr Kogan, sous couvert d'une entreprise appelée «Global Science Research», embaucha des gens pour répondre à son quiz de personnalité sur Amazon Mechanical Turk, un site où des particuliers peuvent effectuer des tâches simples et répétitives en échange d'une petite compensation. D'après le site d'information The Intercept, Aleksandr Kogan payait des personnes 1 ou 2 $ pour qu'ils répondent au sondage en utilisant leur compte Facebook.
À cause du fonctionnement de Facebook à l'époque, les répondants (plus de 270 000 répondants ayant accepté de transmettre leurs données lui ont aussi donné aux données de dizaine de millions de leurs amis Facebook. Aleksandr Kogan avait dit Facebook et ses utilisateurs que les données seraient anonymisées, mais cela n'a pas été le cas.
De nombreuses personnes ont décrit la collecte et l'utilisation des données d'utilisateurs de Cambridge Analytica comme une «fuite de données», mais dans des tweets désormais supprimés, Alex Stamos, un cadre de Facebook, expliquait qu'Aleksandr Kogan ne s'était introduit dans aucun système auquel il n'était pas censé accéder. «Il a cependant utilisé les données de façon inappropriée après les avoir rassemblées, mais ça ne constitue pas rétroactivement une "violation"», a-t-il expliqué.
2014 – Facebook publie une étude sur une expérience visant à influencer les émotions des utilisateurs via l'algorithme du fil d'actualité, ce qui rend des gens furieux.
Une étude donne naissance à une des premières grosses polémiques sur Facebook et les questions de confidentialité. Les utilisateurs étaient furieux contre Facebook, qui a mené cette étude sans consentement.
En 2012, Facebook soumettait près de 700 000 utilisateurs à une étude dans le but d'essayer de découvrir comment rendre les gens plus heureux ou plus tristes, en fonction de ce que Facebook leur montrait dans leur fil d'actu. Facebook expliqua dans son étude qu'ils avaient suivi leur propre politique d'utilisation des données, qui indique que tous les utilisateurs donnent, avant de créer un compte, leur consentement informé pour cette étude. À l'époque, Forbes avait noté que la clause de «politique de recherche» des conditions d'utilisation du site n'avait été ajoutée qu'en mai 2012, quatre mois après le déroulement de l'étude.
2014 – Facebook commence l'auto-critique de Graph API version 1.0.
Pendant la conférence annuelle de Facebook, F8, de 2014, l'entreprise annonce qu'elle réduira l'utilisation de Graph API, ce qui limite grandement la quantité de données de Facebook auxquelles les applications tierces ont accès. Il faudrait aussi que les développeurs d'application obtiennent l'autorisation de Facebook avant de demander aux utilisateurs l'accès aux données sensibles.
Un communiqué de presse publié pendant l'événement indique : «Les utilisateurs nous ont dit qu'ils étaient inquiets au sujet le partage d'informations avec les applications, et qu'ils souhaitaient avoir un plus grand contrôle de leurs données.»
Toutefois, les permissions des applications utilisées entre 2010 et 2015 n'ont pas été limitées rétroactivement, et il est probable que des tiers aient stocké les données des utilisateurs de Facebook collectées sur leurs propres serveurs.
2015 – Facebook arrête l'utilisation de Graph API v1.0.
Le 30 avril 2015, Facebook bloque l'accès à Graph API et met à jour sa plate-forme pour transmettre moins de données, surtout celles des amis des utilisateurs. Facebook propose également un contrôle plus fin des informations que ses utilisateurs partagent avec les développeurs, ainsi qu'un nouvel écran d'authentification avec l'ajout d'un lien «Modifier les informations transmises».
2015 – Un article de Guardian explique que la campagne présidentielle de Ted Cruz a utilisé les «données psychologiques» de millions d'utilisateurs de Facebook. Facebook prend ensuite des mesures légales afin d'obliger Cambridge Analytica à détruire les données de ses utilisateurs.
Grâce à une enquête du Guardian, Facebook apprend qu'Aleksandr Kogan, le chercheur derrière Global Science Research, avait vendu l'ensemble de données des utilisateurs de Facebook qu'il avait acquis à des «fins de recherche» à une entreprise appelée Stategic Communications Laboratories, devenue par la suite Cambridge Analytica.
Facebook avait à l'époque vérifié que l'entreprise avait acquis des données d'utilisateurs, mais ne l'a pas reconnu publiquement. D'après la déclaration d'un porte-parole de Facebook, le réseau social a tenté de forcer juridiquement l'entreprise à détruire «toutes les données collectées de façon inappropriée». D'après Andrew Bosworth, un responsable de Facebook, Cambridge Analytica «avait certifié dans un document juridique avoir détruit les données». C'est pourquoi Facebook ne l'a pas bloquée à l'époque.
2016 – La campagne de Donald Trump, alors candidat à la présidentielle, fait appel à Cambridge Analytica.
La campagne de Donald Trump commence à se pencher sérieusement sur la publicité sur Facebook avant l'élection présidentielle. Un comité d'action politique soutenant Donald Trump réalise un clip publicitaire anti-Clinton destiné à des audiences spécifiques identifiées par Cambridge Analytica. Une enquête de Channel 4, en Grande-Bretagne, montrera ensuite Mark Turnbull, un directeur de Cambridge Analytica, affirmant que l'entreprise était derrière la campagne vidéo «Defeat Crooked Hillary» («faites perdre Hillary la corrompue») sur Facebook.
17 mars 2018 – Le New York Times et le Guardian affirment dans leurs enquêtes que Cambridge Analytica détient encore les données de 50 millions d'utilisateurs, obtenues de façon inappropriée.
En fait, Cambridge Analytica n'a pas détruit l'intégralité des données des utilisateurs de Facebook. Après la publication de ces enquêtes, Facebook a bloqué Cambridge Analytica, ainsi que Christopher Wylie, d'Eunoia Technologies, un sous-traitant embauché par l'entreprise. C'est lui qui a révélé au New York Times et au Guardian, des informations sur l'utilisation faite par Cambridge Analytica de ces données issues de Facebook.
20 mars 2018 – La Commission fédérale américaine (FTC) du commerce lance une enquête contre Facebook et Cambridge Analytica.
La FTC enquête pour savoir si Facebook a enfreint ou non un accord de 2011 avec l'agence gouvernementale concernant la protection de la vie privée des utilisateurs. Les législateurs américains ont également demandé que Mark Zuckerberg, PDG de Facebook, témoigne devant le Congrès.
21 mars 2018 – Mark Zuckerberg sort de son silence et annonce un nouvel outil qui permet de supprimer facilement les autorisations d'accès des applications à vos données.
«Nous avons la responsabilité de protéger vos données, et si nous ne pouvons pas le faire, alors nous ne méritons pas de travailler pour vous. J'essaye de comprendre exactement ce qui s'est passé et comment s'assurer que ça ne se reproduise pas», a-t-il dit dans un post.
Il a annoncé que Facebook n'autoriserait plus l'accès aux données de ses utilisateurs aux développeurs d'applications après trois mois d'inactivité ; que les utilisateurs devraient fournir moins d'informations aux développeurs d'applications ; et que toutes les applications ayant accédé à de grosses quantités de données avant 2014, lorsque la plate-forme réduit radicalement la quantité de données partagées avec les tiers, seraient contrôlées.
Voici ce pouvez faire immédiatement si vous êtes inquiet pour vos données sur Facebook : vérifiez vos paramètres d'applications tierces sur Facebook (voici une explication plus détaillée sur comment le faire) et faites très attention à la partie «Applications que d'autres utilisent».
Mark Zuckerberg répond enfin au scandale de Facebook et Cambridge Analytica
Cambridge Analytica dit avoir remporté l'élection pour Trump. Voilà ce que ça veut vraiment dire.
Ces hommes ont aidé la création de Cambridge Analytica. Voici leur nouvelle start-up très similaire.
Ce post a été traduit de l'anglais.