Les
découvertes du jeune Max Schrems sont effarantes. Au mois de juillet, cet
étudiant autrichien en droit a réussi à se procurer l’ensemble des données dont
Facebook dispose sur lui. En épluchant les 1222 pages ( !!! ) de son dossier,
il a constaté que le réseau social avait soigneusement archivé toutes les
informations qu’il croyait avoir supprimées depuis belle lurette. Anciens
pseudonymes, messages privés, demandes d’amis refusées... Il soupçonne même
l’existence de fiches sur les internautes non inscrits à Facebook. Max Schrems
a décidé de saisir les autorités compétentes en Irlande, où Facebook a son
siège européen, pour demander une enquête approfondie. À 24 ans, il est en
passe de devenir une sérieuse épine dans le pied du réseau qui valait 70
milliards de dollars. (Libération)le site de max schrems http://www.europe-v-facebook.org/FR/fr.html
Annexes :
1)
article Libération
2)
article Le Figaro
1) Article Libération
Facebook : la mémoire cachée
par
Camille Gévaudan
tags
: vie privée , facebook , Europe , droit
Photo Glenn J. Mason,
CC BY
L’appétit
vorace de Facebook pour les données personnelles n’est un secret pour personne.
Régulièrement, son estomac numérique gargouille auprès de ses membres pour
réclamer son dû. « Donnez-moi votre numéro de mobile, que je puisse
renvoyer votre mot de passe en cas d’oubli ! » « Expliquez-moi
vos opinions politiques, que je puisse mieux cibler mes
publicités ! » « Dites-moi ce que vous lisez, ce que vous
écoutez, ce que vous regardez, ce que vous cuisinez, que vos amis puissent en
profiter ! » Et la plupart des 800 millions d’inscrits, dociles,
jettent leurs gros steaks de vie privée dans la gueule béante du réseau social.
Ce que personne ne semble savoir, en revanche, c’est que le monstre est
dépourvu de système digestif. Il se contente de stocker les données, toujours
plus de données, sans jamais en effacer aucune.
Les
découvertes du jeune Max Schrems sont effarantes. Au mois de juillet, cet
étudiant autrichien en droit a réussi à se procurer l’ensemble des données dont
Facebook dispose sur lui. En épluchant les 1222 pages ( !) de son dossier,
il a constaté que le réseau social avait soigneusement archivé toutes les
informations qu’il croyait avoir supprimées depuis belle lurette. Anciens
pseudonymes, messages privés, demandes d’amis refusées... Il soupçonne même
l’existence de fiches sur les internautes non inscrits à Facebook. Max Schrems
a décidé de saisir les autorités compétentes en Irlande, où Facebook a son
siège européen, pour demander une enquête approfondie. À 24 ans, il est en
passe de devenir une sérieuse épine dans le pied du réseau qui valait 70
milliards de dollars.
« Statut : effacé »
« Je
ne cherche aucun gain financier ou personnel. Je veux simplement pouvoir aller
sur Facebook sans me soucier du traitement de ma vie privée », justifie-t-il. Lors de son échange universitaire
en Californie, l’an dernier, il a eu l’occasion de rencontrer des responsables
de Facebook et de parler avec eux des différences de législation entre les
États-Unis et l’Europe en matière de protection de la vie privée. Les premiers
sont très laxistes, et le vieux Continent beaucoup plus strict. « J’ai
écrit un article sur ce sujet, et j’ai alors découvert que tous les
utilisateurs de Facebook vivant en dehors des États-Unis et du Canada étaient
liés par contrat à Facebook Irlande », une société « qu’ils
ont probablement installée là pour bénéficier d’une fiscalité
avantageuse ». Hors Amérique du Nord, donc, « Facebook dépend
des lois européennes sur la vie privée. Et bien sûr, il ne les respecte
pas. » La bataille commence.
Dégainant
sa directive 95/46/CE qui garantit un tel droit à tout citoyen
européen, Max Schrems écrit à Facebook pour réclamer l’accès à l’ensemble des
données le concernant, via un formulaire très bien caché sur le site du réseau. Il
doit insister un peu, et finit par recevoir sur CD-Rom un fichier PDF lourd de
plusieurs centaines de mégaoctets et long de 1222 pages. Avec les quelques
étudiants qui l’accompagnent dans sa démarche, il a créé le site « Europe versus Facebook »
pour partager ses découvertes et expliquer aux internautes comment faire de même. Il y publie son dossier PDF après
l’avoir anonymisé, et liste très précisément le type d’informations stockées par
Facebook pour chacun de ses membres.
Facebook
connaît bien sûr la liste d’amis liée à un profil, mais conserve également le
nom de tous les prétendants refusés. Puisque leur demande a été rejetée, il y a
des chances non négligeables ces personnes soient totalement étrangères à
l’internaute en question. Mais Facebook conserve tout de même, pour une durée
indéterminée, la trace d’un lien virtuel entre ces individus étrangers l’un à
l’autre. Même
son de cloche du côté des « événements ». Facebook garde la liste
complète des invitations adressées à un membre depuis la date de son
inscription, quelle qu’ait été sa réponse. S’il a dit qu’il viendrait à la
soirée, Facebook le sait. S’il a dit « non » ou
« peut-être », idem. S’il n’a pas répondu parce qu’il ne se sentait
pas concerné par cet événement, Facebook retient qu’il n’a pas répondu mais
qu’il était invité. Les
messages sont sans doute l’aspect le plus scandaleux du dossier. Courriers
privés et tchats entre amis sont tous archivés dans le même système de
messagerie sur Facebook et y restent pour toujours. Le bouton
« Supprimer » n’a qu’une fonction cosmétique : il permet de
masquer le message aux yeux de l’internaute, mais reste sur les serveurs de
Facebook avec la mention « statut : effacé ». Même
subterfuge pour les statuts, les pokes... et les tags de photos : ils sont
indélébiles sur les serveurs. Quand un membre de Facebook décide de marquer la
présence d’un autre membre sur une photo, le consentement de ce dernier n’est
pas requis. Il peut retirer le « tag » après coup s’il ne souhaite
pas être associé à l’image, mais celui-ci devient simplement invisible sur le
site. Facebook garde la trace du lien entre la personne et la photographie. Que
de réjouissances, encore, au chapitre « Machines » du dossier ! « Facebook
place un fichier “cookie” sur chaque ordinateur qui se connecte au site. Outre
le traçage des internautes, ils s’en servent aussi pour créer des liens entre
les utilisateurs et leurs ordinateurs. Ils ont une liste complète des
ordinateurs qu’une personne a utilisés pour aller sur Facebook, et une liste de
toutes les personnes ayant utilisé un même ordinateur pour aller sur
Facebook. » En clair, Facebook sait qui fréquente qui, au travail ou à
domicile, y compris parmi les personne n’étant pas « amies » sur le
réseau social. Quant
au chapitre « Checkins », il liste tout simplement toutes les
connections d’un internaute à Facebook depuis son inscription. Chaque checkin
est associé à un numéro unique, une date, une heure, une longitude et une
latitude.« Shadow profiles »
À
la page 3 de son dossier, Max Schrems a froncé les sourcils. « Il y
avait des adresses e-mail que je n’ai jamais communiquées à Facebook,
raconte-t-il à Ecrans.fr. Et pourtant il les connaissait ! »
Étrange, très étrange. Il soupçonne l’outil « Rechercher des amis »,
qui permet d’importer son carnet d’adresses sur Facebook et donc de fournir au
réseau ce genre de coordonnées. Une de ses connaissances aurait ainsi enrichi
le profil de Schrems sans même en avoir conscience.
Puis
il fait le lien avec une autre bizarrerie. « Quand on invite à un
événement quelqu’un qui n’est pas sur Facebook, il faut rentrer son adresse
e-mail. Cette personne reçoit alors un courrier l’encourageant à s’inscrire sur
le réseau, avec le nom et la photo de tous les gens que Facebook pense qu’il
peut connaître. » On comprend que Facebook ait fait le lien entre
l’émetteur de l’invitation et son destinataire, mais comment peut-il suggérer
dix autres connaissances potentielles ? Pour Max Schrems, il n’y a qu’une
possibilité : ce non-inscrit dispose d’une fiche secrète sur Facebook — un
« shadow profile » alimenté par les membres du réseau.
Quand
on tape un nom dans le moteur de recherche, que l’on synchronise son mobile ou
son carnet d’adresses avec le réseau social, toutes les informations
grappillées seraient ainsi conservées et recoupées entre elles de manière
automatique. Facebook pourrait ainsi piocher dans ces « shadow
profiles » pour envoyer des e-mails très personnalisés aux internautes non
inscrits.
Entre
mi-août et mi-septembre, Max Schrems a adressé exactement 22
plaintes au Commissaire irlandais à la protection des données — une pour
chaque point de fonctionnement de Facebook qu’il estime être illégal. Six
d’entre elles concernent les informations que Facebook conserve alors que
l’internaute les croit supprimées. D’autres dénoncent la reconnaissance
faciale, le système de « tags » sur les photos ou encore les
conditions d’utilisation du site, floues et trop souvent changées. Les fiches
secrètes sur les non-membres du réseau sont particulièrement
problématiques : « Facebook Irlande rassemble une quantité
excessive d’informations sur les non-membres sans les en informer ni leur
demander leur consentement », accuse la plainte.
Max
Schrems est optimiste : « Dans une interview, le Commissaire a dit
que si le contenu qu’on « supprime » de Facebook n’est pas réellement
effacé, c’est bien illégal. Donc on est plutôt sûrs de nous : on va gagner
cette bataille. » L’enquête a débuté cette semaine et les résultats
devraient être connus d’ici la fin de l’année.
2) Article Le Figaro
Les étranges profils fantômes de Facebook
Mots clés : données personnelles,
réseaux sociaux, profil fantôme, Max Schrems, FACEBOOK
VIDÉO - Un étudiant autrichien attaque Facebook Europe après avoir découvert que le géant conservait sur ses serveurs tous les faits et gestes de ses utilisateurs et créait des profils fantômes pour attirer de nouveaux internautes. Explications.
• Comment cet étudiant a-t-il fait cette découverte ?
Lors d'un
échange universitaire en Californie, Max Schrems, étudiant autrichien en droit
de 24 ans, a pu rencontrer des responsables de Facebook. «Je me suis rendu
compte qu'ils prétendaient dialoguer avec les autorités des problématiques
liées à la vie privée et aux données personnelles, mais qu'en fait ils ne le
faisaient pas»,explique-t-il à 20minutes.fr. «Aux États-Unis, leur
discours c'est un peu : 'Pourquoi on devrait y prêter attention? Les Européens
sont mignons avec leurs lois'»
Une fois rentré
en Autriche, le jeune homme a demandé à Facebook de lui procurer l'ensemble des
données qu'il garde sur lui. Le formulaire de demande est bien caché sur le site de
Facebook, et précise que le demandeur doit invoquer une loi relative à la
protection des données pour que Facebook réponde à sa demande. Tous les utilisateurs
de Facebook en Europe étant liés au siège européen de la firme, situé en
Irlande, Max Schrems a brandi une directive européenne pour obtenir une copie du précieux
fichier.
Ce dernier lui
est arrivé par courrier sous la forme d'un CD contenant un fichier PDF de plus
de 1200 pages.
• Qu'a découvert exactement Max Schrems ?
En examinant
minutieusement les 1200 pages de document, l'étudiant a découvert que le site
gardait sur ses serveurs, pour un temps limité ou indéfiniment, tous les faits et gestes de ses utilisateurs : statuts,
commentaires, pokes, «j'aime», messages privés, messages instantanés, demandes
d'amis (acceptées et refusées), invitations (acceptées et refusées), jours,
heures et lieux de connexion, photos (ajoutées par soi-même ou par les autres),
liens postés ...
Max Schrems a
également noté que le site gardait en mémoire des éléments qu'il avait pourtant
supprimés de son profil (photos, statuts, commentaires, messages privés etc).
Même si ces derniers n'apparaissent plus sur son profil, Facebook n'a pas
effacé ces données de ses serveurs : elles sont simplement devenues invisibles.
Ceci se reproduit même pour les messages privés ou les conversations
instantanées que l'étudiant avait supprimés de son profil.
Plus inquiétant
encore, Facebook compile de nombreuses informations ... sur des personnes qui
ne sont pas inscrites sur Facebook. C'est ce que Max Schrems nomme les «profils
fantômes». L'existence de telles pratiques est confirmée par ce formulaire bien caché qui propose aux non-utilisateurs
«que Facebook cesse de stocker (leurs) données dans sa base de données».
• Comment Facebook peut-il créer des profils fantômes
?
Les
utilisateurs de Facebook sont régulièrement invités à retrouver des gens qu'ils
connaissent sur le réseau social en utilisant leur(s) adresse(s) mail. L'outil
«recherche d'amis» demande à l'utilisateur de donner son adresse mail et son
mot de passe. Facebook peut alors «aspirer» le carnet d'adresses de
l'internaute afin de le comparer à sa base de données d'utilisateurs : s'il y a
correspondance, l'outil suggérera d'ajouter le contact retrouvé à la liste
d'amis.
Problème,
plutôt que de supprimer les adresses mails qui n'ont rien donné, Facebook les
garde précieusement. Cela lui permet de créer une base d'utilisateurs
potentiels qu'il va pouvoir mailer. Et cette dernière va vite s'enrichir de
numéros de portable (synchronisation de l'application Facebook avec le carnet
d'adresse d'un smartphone) ou de photos ( «tag» de photos, Facebook permettant
d'identifier les personnes non-inscrites à son service). Cette technique permet
également au réseau social d'obtenir toutes les adresses mails, privées ou
professionnelles, de ses utilisateurs, sans leur accord.
• Quel intérêt a Facebook de garder toutes ces
données ?
L'intérêt est à
la fois marketing, sécuritaire et publicitaire. Plus Facebook obtient de
données précises sur ses utilisateurs, plus l'entreprise peut les revendre cher
(de façon anonyme) aux annonceurs, qui pourront ainsi faire de la publicité
ciblée en fonction de l'âge, du sexe, de la ville, des hobbies de l'internaute
ciblé. Or Facebook vit essentiellement de cette activité.
Garder en
mémoire les adresses IP de connexion des utilisateurs de Facebook permet aussi
à la société de repérer plus facilement les tentatives de piratage de compte.
Si un compte Facebook, consulté en temps normal depuis la France, tente d'être
ouvert depuis la Chine, le réseau social demandera automatiquement plusieurs
renseignements supplémentaires (date de naissance par exemple) afin d'être sûr
de l'identité de la personne qui tente de se connecter.
Même
raisonnement pour les refus d'ajouts d'amis. Si un compte nouvellement crée est
refusé à de multiples reprises par des utilisateurs n'ayant aucun lien entre
eux, il y a de fortes chances qu'il s'agisse d'un faux compte ou d'un
harceleur. Les algorithmes du réseau social peuvent donc ainsi repérer plus
facilement les personnes nuisibles.
Quant aux
comptes fantômes, ils permettent d'améliorer de façon substantielle l'outil
«suggestion d'amis», et d'attirer plus d'internautes vers le réseau social.
Imaginons un internaute qui n'est pas inscrit sur Facebook. Son adresse mail a
pu être «aspirée» par le réseau social grâce à ses amis ou collègues de bureau
qui ont utilisé l'outil de recherche d'amis. Cet internaute va alors recevoir
un mail lui proposant de rejoindre Facebook ... accompagné des photos de
plusieurs de ses amis présumés. Redoutablement efficace pour obtenir une
nouvelle inscription.
• Facebook a-t-il réagi officiellement ?
Facebook a
communiqué deux déclarations officielles au Guardian. Dans ces
dernières, le réseau social explique que la plupart des données communiquées à
Max Schrems «ne sont pas des données personnelles», et qu'il n'y a donc pas
lieu à polémiquer. Facebook estime ainsi que les adresses IP de connexion ne
font pas parti des données personnelles, ce que contestent les différentes Cnil européennes.
• L'affaire va-t-elle être portée en justice ?
Max Schrems a
saisi l'équivalent irlandais de la Cnil en déposant un total de
vingt-deux plaintes listant les manquements de Facebook à la législation
européenne de protection des données personnelles. «Il n'existe aucune garantie
que les forces de l'ordre américaines ou les autorités européennes ne puissent
pas accéder à ces informations sensibles sur les citoyens européens»,
explique-t-il dans une de ses plaintes, considérant que «Facebook Irlande ne
garantit pas une sécurité suffisante de ces données».
L'étudiant
autrichien a également ouvert un site, Europe vs Facebook, où il incite les internautes à réclamer eux-aussi leur dossier personnel au réseau social.
Il y liste égalementl'ensemble
de ses revendications. Le jeune homme réclame que Facebook soit plus
transparent «quant à l'utilisation qu'il fait des données personnelles», que
l'usager doive «sans aucune équivoque, consentir à n'importe quelle utilisation
de ses données, après avoir été correctement informé sur la forme spécifique
d'utilisation de celles-ci», que Facebook stoppe les profils fantômes, et
permette facilement aux internautes «de se débarrasser définitivement des
données personnelles que nous publions sur Facebook.»
Une telle action
n'est pas vaine. En Allemagne, la Cnil locale a remporté une victoire contre les profils
fantômes. Désormais, les utilisateurs du réseau social choisiront eux-mêmes
à qui ils veulent envoyer une invitation à rejoindre Facebook. L'importation
d'un carnet d'adresse mail ou la synchronisation d'un téléphone sera précédée
d'un message d'avertissement. Les non-utilisateurs du réseau social recevant
une invitation devront également savoir pourquoi ils ont été contactés. Ils
auront également la possibilité de bloquer tous les mails provenant de
Facebook. Mais comme le note le Spiegel, «Facebook n'a pas voulu
préciser si ces nouvelles règles ne s'appliqueront qu'à l'Allemagne ou à
d'autres pays.»
Par
Chloé Woitie
Aucun commentaire:
Enregistrer un commentaire
Aidez-moi à améliorer l'article par vos remarques, critiques, suggestions... Merci beaucoup.