Facebook et Cambridge Analytica, une faille qui pourrait coûter très cher
Le géant Facebook traverse actuellement la plus grande crise de sa jeune histoire, engendrée par la société Cambridge Analytica, société spécialisée dans le traitement de données. Celle-ci aurait récupéré les données de plus de 50 millions d’utilisateurs du réseau social sans leur consentement. L’affaire révélée au grand jour a déjà des conséquences importantes pour Facebook, de la levée de boucliers de ses utilisateurs à sa chute en bourse.
Décryptage par Judith Rochfeld, professeur de droit à l’Université Paris 1 Panthéon-Sorbonne et Directrice du Master 2 « Droit du commerce électronique et de l’économie numérique ».
« Le droit a été violé, que ce soit en Europe ou aux Etats-Unis, et il devrait aujourd’hui s’appliquer sans les tolérances que l’on a longtemps admises »
Dans quel contexte intervient l’affaire Cambridge analytica, dans laquelle Facebook est impliqué ?
Le cas est gravissime. Rien moins qu’une forme de déstabilisation de l’une des plus anciennes démocraties occidentales. Après les soupçons d’ingérence d’une puissance étrangère dans l’élection américaine (la Russie), voici avérée la manipulation de données personnelles de 50 millions d’utilisateurs de Facebook par profilage et pressions occultes sur leurs opinion et vote. Mark Zuckerberg a beau présenter ses excuses pour les « erreurs » commises (sic), il devra en répondre devant le Congrès des Etats-Unis et le Parlement européen. Mais déjà un autre couperet est en train de s’abattre puisque le réseau social fait l’objet d’une importante campagne de désabonnement (comme Snapchat ou Whatsapp avant lui) ainsi que d’une baisse de 14% de la valeur de ses actions.
Il faut dire que les faits sont sidérants (quand même ne sont-ils pas encore fermement établis et que l’on s’exprimera au conditionnel). Global Science Research, société dirigée par un psychologue de Cambridge, a élaboré une application de test de personnalité pour les utilisateurs de Facebook, « thisisyourdigitallife ». 270 000 d’entre eux auraient accepté d’effectuer ce test et de livrer consciemment leurs données. Au-delà de cette face émergée et consentie, l’application aurait aussi ouvert aux données des amis de ses utilisateurs, soit près de 50 millions de personnes… qui, elles, n’auraient pas été informées et n’auraient pas consenti à cette utilisation. Les données collectées auraient alors été transférées à Cambridge analytica une entreprise d’analyse de données et de softpower sise en Angleterre : sur la base de profilages puissants et d’exploitation par algorithmes de ces données, elle prétend prédire les votes et, dans ce sillage, a procédé à l’envoi massif de messages d’influence à compter de 2015, en l’occurrence positifs envers Donald Trump et négatifs pour le camp démocrate et sa candidate (description livrée par l’un des responsables de Cambridge Analytica)… le tout en « parallèle » de la campagne officielle et de ses règles relatives à la teneur et au volume des messages ou aux plafonds de dépenses. Une campagne illégale donc, qui va faire l’objet d’une enquête d’autant qu’il faut rappeler que D. Trump fut victorieux dans certains Etats à 40 000 voix près et que l’on réalise en conséquence que pèse un soupçon de pressions occultes sur les votes, pressions qui ont pu modifier le résultat d’une élection à une échelle inédite… ce dont s’est d’ailleurs vantée la firme sans ambages (le caractère inédit est toutefois à nuancer car le même type de soupçons existe pour l’élection de 2015 au Nigeria).
Quelles sont les conséquences directes de cette affaire ?
Evidemment le résultat choque. Il serait cependant naïf de s’étonner d’une partie du procédé : ces absorptions de données par des applications tierces au réseau sont monnaie courante bien qu’elles aient été dénoncées par des lanceurs d’alerte ; elles servent le modèle économique de Facebook (30% de commission « contre » cette autorisation d’accès aux données des utilisateurs) ; des recherches menées en 2010 sur 1 800 applications présentes sur Facebook auraient montré que 11% d’entre elles impliquaient l’accès et l’utilisation des données des amis des utilisateurs. Mais il est vrai que la pratique était censée s’être arrêtée en 2014 (non pour des raisons éthiques, paraît-il, mais par crainte que la fourniture massive de données permette à d’autres de recréer un réseau social concurrent…).
Ce qui choque également tient en l’apparent sentiment d’impunité de ses firmes. Elles semblent tenir la régulation en échec alors même que celle-ci serait plus que nécessaire : Facebook notamment n’assume toujours pas ce qu’il est devenu, à savoir une entreprise privée, certes, mais d’une puissance quasi-étatique qui ne peut plus se comporter sans intégrer cette dimension. La réalité est plus compliquée que cela : dans ces pratiques, le droit a été violé, que ce soit en Europe ou aux Etats-Unis, et il devrait aujourd’hui s’appliquer sans les tolérances que l’on a longtemps admises ; dans le futur, à partir du 25 mai précisément, il le devrait encore davantage dans l’Union européenne parce qu’entrera en application le règlement général sur la protection des données personnelles qui renforce considérablement les sanctions et augure justement d’un changement majeur d’efficacité (2% du chiffre d’affaires mondial ou 10 millions d’euros ; 4% ou 20 millions).
Quelles règles peuvent donc être mises en cause ?
Il faut ici distinguer deux versants. En premier lieu, celui européen relatif à la protection des données, qui isole particulièrement les données sensibles que sont les orientations politiques. Ce corpus devrait en effet s’appliquer à Cambridge Analytica : s’il s’agit d’une société américaine enregistrée au Delaware, le siège de son activité se situe au Royaume-Uni ; le droit européen — et celui du règlement prochainement jusqu’à 2019 (Brexit oblige) — a donc vocation à s’appliquer, ce qui a d’ores et déjà déclenché une enquête de l’autorité britannique chargée des données. Sur ce fondement, le fait pour cette société de traiter des données dont la collecte ne s’est pas entourée d’une information (sur la finalité, les données traitées, la durée…) et d’un consentement (ou d’un autre fondement légitime de traitement) constitue des manquements graves (et l’on passe sur les conditions du profilage, d’utilisation d’algorithmes, sur la finalité d’influence politique, sur l’absence de « minimisation » des traitements, etc.).
En second lieu, à l’égard de Facebook, on doit se préoccuper du droit états-unien : son activité a été développée à partir des Etats-Unis, à l’égard de citoyens américains (sauf informations contraires), ce qui semble exclure le droit européen. Or, ce droit s’attache par exemple à la teneur des conditions générales du réseau et aux paramétrages de la confidentialité. Le manque de transparence des premières a déjà été sanctionné comme pratiques commerciales déloyales par la Federal Trade commission. Mais en l’espèce, si on les lit bien, elles prévoient que chacun donne accès aux « likes » de ses « amis » en utilisant une application, ce sauf activation de paramètres de confidentialité. Précisément, la FCC a ouvert une enquête pour non-respect d’engagements pris en 2011 à cet égard (constat qui pourrait ouvrir à des demandes de consommateur en réparation de leur préjudice). On pourrait aussi, et pour ne s’arrêter qu’aux points saillants, rappeler à Facebook lorsqu’il avance qu’il a involontairement laissé s’échapper les données (re-sic) qu’il endosse en droit Californien une obligation de notification des failles de sécurité (y avoir manqué pourrait soutenir des demandes d’indemnisation des personnes touchées).
Attendons donc de voir quelles sanctions vont effectivement s’appliquer. Mais, immédiatement, rappelons que c’est le couperet le plus moderne, à savoir la sanction réputationnelle, qui est actionné via la prise de conscience des citoyens et les désabonnements massifs… N’y plaçons pas des espoirs démesurés tant le passé a montré la puissance de l’attachement au réseau, devenu aliénation (notamment par manque d’alternative et risque de perte des relations sociales) et misons aussi sur le renforcement à venir des sanctions pécuniaires.
Par Judith Rochfeld