I
I
I
I
I
I
   
Anne-Sophie Barthez
Pascal Beauvais
Valérie-Laure Benabou
Paul Cassia
Thomas Clay
Martin Collet
Alexis Constantin
Pascal Lokiec
Etienne Pataut
Sophie Robin-Olivier
Judith Rochfeld
Guillaume Tusseau
 
 
AVRIL 2018
FB et Cambridge Analytica
  
 
AVRIL 2018
 
 
 
 

FB et Cambridge Analytica

 Le cas est gravissime. Rien moins qu’une forme de déstabilisation de l’une des plus anciennes démocraties occidentales. Après les soupçons d’ingérence d’une puissance étrangère dans l’élection américaine (la Russie), voici avérée la manipulation de données personnelles de 87 millions d’utilisateurs de Facebook (FB) par profilage et pressions occultes sur leurs opinion et vote. Marc Zuckerberg a beau présenter ses excuses pour les « erreurs » commises (sic), il devra en répondre devant le Congrès des Etats-Unis et le Parlement européen. Mais déjà un autre couperet est en train de s’abattre puisque le réseau social fait l’objet d’une importante campagne de désabonnement (comme Snapchat ou Whatsapp avant lui) ainsi que d’une baisse de 14% de la valeur de ses actions.

Il faut dire que les faits sont sidérants (quand même ne sont-ils pas encore fermement établis et que l’on s’exprimera au conditionnel). Global Science Research, société dirigée par un psychologue de Cambridge (Aleksandr Kogan, en dehors de ses activités universitaires), a élaboré une application de test de personnalité pour les utilisateurs de FB, « thisisyourdigitallife ». 270 000 d’entre eux auraient accepté d’effectuer ce test et de livrer consciemment leurs données. Au-delà de cette face émergée et consentie, l’application aurait aussi ouvert aux données des amis de ses utilisateurs, soit près de 87 millions de personnes… qui, elles, n’auraient pas été informées et n’auraient pas consenti à cette utilisation. Les données collectées auraient alors été transférées à Cambridge analytica une entreprise d’analyse de données et de softpower sise en Angleterre : sur la base de profilages puissants et d’exploitation par algorithmes de ces données, elle prétend prédire les votes et, dans ce sillage, a procédé à l’envoi massif de messages d’influence à compter de 2015, en l’occurrence positifs envers Donald Trump et négatifs pour le camp démocrate et sa candidate (description livrée par l’un des responsables de Cambridge Analytica)… le tout en « parallèle » de la campagne officielle et de ses règles relatives à la teneur et au volume des messages ou aux plafonds de dépenses. Une campagne illégale donc, qui va faire l’objet d’une enquête d’autant qu’il faut rappeler que D. Trump fut victorieux dans certains Etats à 40 000 voix près et que l’on réalise que pèse en conséquence un soupçon de pressions occultes sur les votes, pressions qui ont pu changer le résultat d’une élection à une échelle inédite… ce dont s’est d’ailleurs vantée la firme sans ambages (le caractère inédit est toutefois à nuancer car le même type de soupçons existe sur l’élection de 2015 au Nigeria).

Evidemment le résultat choque. Il serait cependant naïf de s’étonner d’une partie du procédé : ces absorptions de données par des applications tierces au réseau sont monnaie courante bien qu’elles aient été dénoncées par des lanceurs d’alerte (par exemple Sandy Parakilas, ancien responsable de la sécurité des données au sein de Facebook en 2011-2012) ; elles servent le modèle économique de Facebook (30% de commission « contre » cette autorisation d’accès aux données des utilisateurs) ; des recherches menées en 2010 sur 1 800 applications présentes sur FB auraient montré que 11% d’entre elles impliquaient l’accès et l’utilisation des données des amis des utilisateurs. Mais il est vrai que la pratique était censée s’être arrêtée en 2014 (non pour des raisons éthiques, paraît-il, mais par crainte que la fourniture massive de données permettent à d’autres de recréer un réseau social concurrent…).

Ce qui choque également tient en l’apparent sentiment d’impunité de ses firmes. Elles semblent tenir la régulation en échec alors même que celle-ci serait plus que nécessaire : FB notamment n’assume toujours pas ce qu’il est devenu, à savoir une entreprise privée, certes, mais d’une puissance quasi-étatique qui ne peut plus se comporter sans intégrer cette dimension. La réalité est plus compliquée que cela : dans ces pratiques, le droit a été violé, que ce soit en Europe ou aux Etats-Unis, et il devrait aujourd’hui s’appliquer sans les tolérances que l’on a longtemps admises ; dans le futur, à partir du 25 mai précisément, il le devrait encore davantage dans l’Union européenne parce qu’entrera en application le règlement général sur la protection des données personnelles qui renforce considérablement les sanctions et augure justement d’un changement majeur d’efficacité (2% du chiffre d’affaires mondial ou 10 millions d’euros ; 4% ou 20 millions). Mais quelles règles sont en cause ? Il faut ici distinguer deux versants.

 



En premier lieu, celui européen relatif à la protection des données, qui isole particulièrement les données sensibles que sont les orientations politiques. Ce corpus devrait en effet s’appliquer à Cambridge Analytica : s’il s’agit d’une société américaine enregistrée au Delaware, le siège de son activité se situe au Royaume-Uni : le droit européen — et celui du règlement prochainement — a donc vocation à s’appliquer, ce qui a d’ores et déjà déclenché une enquête de l’autorité britannique chargée des données (dans ce contexte, le Brexit soulève des interrogations mais un texte national devrait être adopté que l’on anticipe comme d’un niveau de protection identique à celui de l’Union afin que le Royaume-Uni puisse bénéficier d’une « décision d’adéquation » de cette dernière et soit reconnu comme pays tiers vers lequel les européens peuvent transférer leurs données). Sur ce fondement, le fait pour cette société de traiter des données dont la collecte ne s’est pas entourée d’une information (sur la finalité, les données traitées, la durée,…) et d’un consentement (ou d’un autre fondement légitime de traitement) constitue des manquements graves (et l’on passe sur les conditions du profilage, d’utilisation d’algorithmes, sur la finalité d’influence politique, sur l’absence de « minimisation » des traitements, etc.).

En second lieu, à l’égard de FB, on doit se préoccuper du droit états-unien : son activité a été développée à partir des Etats-Unis, à l’égard de citoyens américains (sauf informations contraires), ce qui semble exclure le droit européen. Or, ce droit s’attache par exemple à la teneur des conditions générales du réseau et aux paramétrages de la confidentialité. Le manque de transparence des premières a déjà été sanctionné comme pratiques commerciales déloyales par la Federal Trade commission. Mais en l’espèce, si on les lit bien, ces conditions prévoient que chacun donne accès aux « likes » de ses « amis » en utilisant une application, ce sauf activation de paramètres de confidentialité. Précisément, c’est davantage à ce dernier égard qu’une sanction pourrait s’abattre : FB avaient pris des engagements les concernant, en 2011 devant cette autorité ; ils ne semblent ne pas avoir été respectés (la FCC a ouvert une enquête sur ce point et un constat en ce sens pourrait permettre des demandes de consommateur en réparation de leur préjudice). On pourrait aussi, et pour ne s’arrêter qu’aux points saillants, rappeler à FB lorsqu’il avance qu’il a involontairement laissé s’échapper les données (re-sic) qu’il endosse en droit Californien une obligation de notification des failles de sécurité des données traitées (y avoir manqué pourraient soutenir des demandes d’indemnisation des personnes touchées, à nouveau).

Attendons donc de voir quelles sanctions vont effectivement s’appliquer. Mais, immédiatement, rappelons que c’est le couperet le plus moderne, à savoir la sanction réputationnelle, qui est actionné via la prise de conscience des citoyens et les désabonnements massifs… N’y plaçons pas des espoirs démesurés tant le passé a montré la puissance de l’attachement au réseau, devenu aliénation (notamment par manque d’alternative et risque de perte des relations sociales) et misons aussi sur le renforcement à venir des sanctions pécunaires.