TFE de Max le Grelle, 6è secondaire, sur la protection des données personnelles sur Facebook
Introduction :
Le XXIème siècle est une période riche en découvertes dans tous les domaines. La technologie ne fait pas exception, et l’ouverture des frontières virtuelles grâce à Internet et à ses outils nous permettent au jour le jour de rester en contact avec le monde entier. Ces outils comprennent notamment les réseaux sociaux qui se sont insérés dans notre quotidien. On peut clairement dire que ça a complètement révolutionné notre manière de vivre.
2 milliards : ce chiffre représente le nombre d’utilisateurs que rassemble Facebook, le plus grand réseau social au monde. Ce géant de l’internet est devenu quasi indispensable pour toute la planète. On peut y retrouver des amis de longue date, garder le contact malgré des milliers de kilomètres qui nous séparent, on peut partager avec nos amis, notre famille, des connaissances, tous nos moments les plus riches en émotion : on partage nos rires, nos larmes, nos encouragements, nos félicitations, et encore biens des choses. On peut clairement dire que Facebook reflète notre quotidien. En d’autres mots ; c’est le miroir de notre vie. On y laisse à peu près les mêmes informations personnelles que dans la vie réelle. Si ce n’est que c’est derrière un écran, et sur une plateforme gérée par une énorme entreprise assoiffé de faire du bénéfice.
On donne tellement d’informations personnelles à Facebook que ce dernier nous connait même mieux que nos amis les plus proches. Les données qu’on lui donne sont stockées, partagées, utilisées, et vendues souvent, sans même notre accord.
Je me suis dès lors posé cette question « Quels sont nos droits en Belgique face à l’utilisation de nos données personnelles par Facebook ? »
J’ai choisi ce sujet car nous avons tous une vie virtuelle et qu’il est important de connaitre les enjeux mais aussi les risques encourus. De plus, je voulais pouvoir partager les nouveaux droits et les nouvelles lois qui sont mises en place afin de préserver nos données personnelles. J’espère qu’à la fin de la lecture de ce travail, chacun aura les capacités de naviguer sur les réseaux sociaux en connaissance de cause et en tant que personne responsable de sa vie privée sur internet.
Dans ce travail, je vais explorer différents points permettant de mieux répondre à ma question de recherche. D’abord, il est important d’en voir l’aspect théorique, que ce soit pour les données personnelles, mais aussi plus largement pour les réseaux sociaux. Afin de mieux comprendre des termes ou des outils informatiques complexes comme les cookies, les lois, etc.
Ensuite, il y a tout une partie concernant Facebook avec son historique, mais aussi comment l’entreprise utilise nos données, dans quel but et par quel moyen. Je fais un point sur l’actualité de 2018, avec le scandale de Cambridge Analytica et parle évidemment de la nouvelle réglementation entrée en vigueur (RGPD) pour permettre une meilleure compréhension des changements à venir et comment ceux-ci vont améliorer la protection des données.
Le dernier point a pour objectif de permettre à tous les utilisateurs de disposer de connaissances de base pour vivre avec les réseaux sociaux en en comprenant les implications et notre part de responsabilité.
Afin de réaliser ce travail de fin d’étude, je me suis beaucoup basé sur le site officiel de la commission de la protection de la vie privé (CPVP). Cette institution très importante a notamment permis la mise en place du RGPD.
J’ai aussi utilisé des vidéo-conférences proposées sur le site TEDx, une entreprise qui organise des conférences avec des experts dans le monde entier.
Pour rester dans le cadre de ma question de recherche, il y a des parties que j’ai omis de citer mais qui peuvent être intéressantes afin d’élargir le sujet. Je n’aborde pas l’historique de la relation entre Facebook et la loi. Facebook a déjà eu divers problèmes au niveau légal et a déjà été condamné par différentes instances européennes. Concernant la théorie sur les données personnelles, je n’ai pas tout retranscrit dans ce travail, car cela n’apportait à mon sens rien de concret en plus.
La limite du sujet est la loi, dans le sens où, en général, les grandes sociétés comme Facebook vont avoir les moyens pour détourner les lois à leur avantage, ou réussir à passer à travers dû au manque d’explicitation des textes juridiques.
Les Réseaux sociaux ou les médias sociaux :
Ce chapitre présente la définition d’un réseau social, afin de s’assurer de bien comprendre ce terme mais aussi, ce que les réseaux sociaux nous ont apportés, ainsi que des informations destinées à mieux comprendre ce qu’est la société « Facebook »
Il y a 25 ans, des scientifiques venant de CERN ont créé le « World wide web ». Depuis, internet a transformé la manière dont nous communiquons, dont nous travaillons, et même dont nous vivons. Des entreprises comme celles de Mark Zuckerberg1, Noah Glass2, Sergueï Brin3, Larry Page4 ou encore Steve Jobs5 ont radicalement transformé notre quotidien. Notamment avec l’apparition des réseaux sociaux, un terme actuellement utilisé pour dire « médias sociaux » lequel a été définit par Andreas Kaplan6 et Michel Haenlein7 comme « un groupe d’applications en ligne qui se fondent sur la philosophie et la technologie du net et permettent la création et l’échange du contenu généré par les utilisateurs » Ce terme regroupe une grande variété de sites ; les blogs, les wikis, le site de partage vidéo (YouTube), ou photos (Flickr, Instagram, Facebook…)… Malgré ce que de nombreuses personnes pensent, le premier media social historique n’est pas Facebook mais un site créé par deux informaticiens à la fin des années 1970 (1978) nommé Computerized Bulletin System, qui a permis pour la première fois l’échange d’informations entre les utilisateurs par le biais du numérique telle que des réunions, des notes, …
Les données à caractère personnel
Aujourd’hui, nous livrons quotidiennement nos données personnelles au monde, on les partage en demandant une carte de fidélité dans un supermarché, en s’inscrivant à un cours de danse, en participant à un tournoi… Mais surtout, nous partageons nos données sur internet, parfois par volonté, mais aussi sans en être conscient.
Qu’entend la loi par « Données personnelles » ?
La loi stipule que les données à caractère personnel sont des données concernant une personne directement ou indirectement identifiée ou identifiable grâce à une photo par exemple, un nom, une adresse, un numéro de téléphone, une adresse mail, une empreinte digitale, et bien d’autres caractéristiques.
Les lois
Cette définition est basée sur la loi de la vie privée (abrégé « loi vie privée ») du 8 décembre 1992, qui vise à protéger l’utilisation abusive des données à caractère personnel de tous les individus. Cette loi demande une totale transparence concernant les données personnelles. Par exemple ; Il faut prévenir les personnes quand leurs données sont utilisées, par qui elles le sont et dans quel(s) but(s). Elle détermine aussi les règles d’utilisations de ces données ; ce qu’on peut et ce qu’on ne peut pas en faire.
Elle ne prend pas uniquement en compte les droits et les devoirs de la personne dont les données sont traitées, mais aussi ceux de la personne qui s’occupe de les traiter. Suite à cette loi, la CPVP ou commission de la protection de la vie privée a été créée. Cette commission a pour but de vérifier le respect de l’utilisation des données personnelles de tous les citoyens par rapport à la loi vie privé.
Suite à l’adoption de cette loi vie privé en 1992, elle a subi quelques modifications, dont la première a été faite le 11 décembre 1998, mue par la volonté de concilier les règles concernant les données personnelles pour tous les états membres de l’Union Européenne. Une deuxième modification importante a eu lieu le 26 février 2003, en réaction à l’évolution foudroyante de notre « société de l’information ». La CPVP était de plus consultée sur des sujets de plus en plus complexes et précis par les citoyens et les services publiques. On voyait les limites de la loi vie privé de 1992 qu’il fallait améliorer. Il y a donc eu une décision de créer de nouveaux secteurs se concentrant chacun sur des sujets d’expertise spécifiques.
Traitement des données personnelles
Le traitement des données personnelles concerne toutes les opérations ou ensemble d’opérations qui permettent la collecte de données, leur préservation, leur utilisation, leur modification, leur communication, etc. En liaison à cette idée, toutes les fois où l’on doit remplir un formulaire, on confie des données qu’une personne va recueillir. Ce qui correspond donc à un traitement de données pour l’individu qui va réunir nos données complétées. Tout comme un achat en ligne, ou un site qui relève une adresse et un numéro de la carte de crédit.
Dès réalisation des opérations (collecte, communication, …), la loi prend effet. Cela même qu’en partie, par des moyens automatisés, la loi est de vigueur dans le registre des immatriculations automobles, dans l’historique des différentes opérations effectuées sur un compte en banque, dans un fichier comprenant les enfants inscrits dans une école, etc. La loi n’est dès lors pas d’application lorsque les données ont des fins purement personnelles et domestiques : un agenda personnel, par exemple.
- Faire une déclaration
La personne en charge des données personnelles, devient dès lors le responsable du traitement. Cet individu est garant de suivre toutes les obligations imposées par la loi pour assurer la sécurité des données personnelles, et sera donc la personne qui sera tenue fautive en cas d’un éventuel problème.
Le responsable du traitement doit, avant la mise en place de quelque opération (par exemple, la conservation des données personnelles), faire une déclaration auprès de la commission de la vie privée où il doit décrire clairement plusieurs points :
- La dénomination du traitement.
- Les objectifs.
- Le type de données traitées.
- A quelles lois répondre afin d’en faire le traitement ?
- A qui sont destinés les données rassemblées ?
- Les garanties que les données fournies à des tierces personnes ne peuvent pas fuiter.
- De quelle manière les utilisateurs seront informés sur la collecte de leurs données.
- Les coordonnées d’un responsable qui va permettre la liaison avec la personne concernée8 qui pourra exercer son droit d’accès aux données collectés.
- Si des données sont envoyés à l’étranger, quelles genres de données et à quelle fin sont-elles envoyés ?
- La limite de conservation des données utilisées, diffusées ou simplement stockées.
Il y a cependant des exceptions à l’obligation de déclaration ;
- Si le traitement est réalisé par une société pour gérer ses employés ou leurs salaires, si c’est un traitement en lien avec la comptabilité, et les traitements ayant pour but la gestion de la clientèle ou des fournisseurs.
- Si le traitement est effectué par une fondation ou une ASBL concernant ses membres, ses bienfaiteurs et les personnes qui sont des « habituées » par rapport au responsable.
- Si le traitement est exécuté par des écoles et établissements scolaires concernant leurs étudiants.
Les informations sensibles
Quelques informations personnelles ne peuvent être collectées car elles sont connotées « sensibles » . On parle de données comme :
- Les renseignements relatifs à la race, aux convictions religieuses et politiques, à la préférence sexuelle, à la santé, à des poursuites judiciaires ou à des condamnations pénales ou administratives. Ces données sont très protégées par les lois concernant la vie privée et ne peuvent, à part dans des cas très spécifiques, en aucun cas être demandées, transmises, collectées, utilisées et modifiées. La personne ne respectant pas cette restriction peut se voir exposée à une amende allant de 550 à 550.000 euros.
Les cookies
La beauté d’un cookie en informatique est bien loin de celle d’un cookie en biscuit : à vrai dire, il n’y a aucune ressemblance. Un cookie sur internet est un petit fichier texte qui va être créé sur votre disque dur à la suite de votre navigation sur le web. Il va rassembler toutes les informations qui peuvent être intéressantes afin d’améliorer l’utilisation d’internet. Par exemple : enregistrer votre langue et par conséquent vous afficher un site internet dans votre langue. S’il y a récemment des recherches pour un nouvel aspirateur dans votre historique, les cookies vont faire en sorte que des publicités d’aspirateurs apparaissent ou encore, les cookies permettent de sauvegarder vos mots de passe et votre nom d’utilisateur afin de ne plus devoir les remettre à chaque fois qu’on retourne sur un site.
Comme précisé ci-dessus, un cookie est un fichier texte qui va se mettre sur votre disque dur, il ne peut donc pas être un virus, ni un logiciel espion, car il n’est pas exécutable. Mais là n’est pas le problème, ce qui dérange, c’est que les cookies soient utilisés et revendus à des entreprises qui vont donc avoir accès à vos données. Et cela, sans que quiconque ne soit informé.
Selon la loi, tous les sites utilisant des cookies (ce qui est maintenant commun à tous les sites sur le web) sont obligés de préciser si l’utilisateur veut ou pas la création de cookie. On pourrait penser que la navigation privée permet de passer au-dessus des cookies mais détrompez-vous, ce n’est malheureusement pas le cas.
De plus, les cookies peuvent être volés. C’est-à-dire que lorsque la navigation n’est pas protégée, par exemple lors de l’utilisation d’un Wi-Fi dans un espace publique qui n’est pas chiffré9 ou encore quand le site ou l’on surfe utilise le protocole HTTP ordinaire et pas HTTPS10. Dans les deux cas, le réseau qui est utilisé n’est pas chiffré et les communications entre le client et le serveur peuvent donc être lues et volées par des personnes mal intentionnées.
Ce chapitre rassemble les éléments nécessaires à une meilleure compréhension du terme « informations à caractère personnel » et ce que leur traitement implique pour les « responsables du traitement » et pour la personne qui partage ses données. Facebook arrive-t-il à respecter ces contraintes ? Comment et dans quel(s) but(s) la firme récolte nos informations ?
Ce chapitre présente la création de Facebook, avec ses avantages et ses inconvénients, et se recentre sur le traitement de nos données personnelles sur Facebook.
- L’historique de Facebook
Créé en 2004, Facebook a pour mission de donner la capacité à ses utilisateurs de créer des communautés et de rapprocher tous les individus de la planète en un seul site. Les usagers de Facebook l’utilisent afin de rester connectés avec leurs proches en partageant des photos, des images, des vidéos et en échangeant des messages. Facebook permet aussi de savoir ce qu’il se passe autour du globe.
Tout a commencé avec la fondation de « The Facebook » par Mark Zuckerberg, destinée aux étudiants de l’université d’Harvard. Très vite, le projet s’étend sur les campus des universités de Stanford, Columbia et Yale. Avec son équipe composée par Dustin Moskovitz, Chris Hughes et Eduardo Saverin. The Facebook est utilisé par la quasi-totalité des universités et des écoles secondaires d’Amérique et du Canada. En 2005, « The Facebook » devient officiellement « Facebook » et en 2006, Facebook ouvre enfin ses portes à n’importe qui voulant se créer un compte. Cette énorme société, qui emploie plus de 25.000 personnes et compte plus de 2 milliards d’utilisateurs actifs11 est aujourd’hui le troisième site le plus visité dans le monde, après Google et YouTube.
- Les avantages et les inconvénients de Facebook
On peut clairement dire aujourd’hui que Facebook et les nombreux réseaux sociaux qui ont suivi ont transformé notre quotidien. Nous pouvons maintenant partager tout et n’importe quoi avec n’importe qui se situant n’importe où et à n’importe quel moment. Nous pouvons savoir tout ce qui se passe dans le monde entier, juste en défilant notre fil d’actualité. De plus, Facebook est très facile d’accès : il suffit simplement de se créer un compte et d’utiliser son compte soit via le site, soit par une application disponible sur tous les téléphones du monde.
Cependant Facebook avait quelques points très négatifs souvent méconnus par la plupart des utilisateurs :
-
Une fois votre compte créé, le supprimer
totalement était très difficile. Tout ce que vous pouviez faire, c’est
désactiver votre compte mais sans en supprimer les données. Par
conséquent, il en restera toujours des traces et toute personne pourra
rechercher votre profil et le retrouver comme vous l’avez laissé.
-
Toutes les photos, images et vidéos postées
étaient permanentes. Même en n’étant plus visibles sur votre mur, vous
pouviez les retrouver sur n’importe quel site ayant un lien avec
Facebook. Par exemple, une photo supprimée sur Facebook pouvait être
très facile à retrouver pour n’importe qui sur Google image.
- Il y’a aucune certitude que ses informations personnelles ne soient pas utilisées à des fins commerciales par Facebook. Il faut donc faire très attentions a tout ce que l’on fait sur son Facebook et à tout ce que l’on poste.
Après l’énumération des points positifs et négatifs les plus importants présents sur Facebook, nous pouvons avoir un avis plus critique envers ce réseau social. Mais qu’est-ce qu’ une donnée personnelle ?
- Nos informations personnelles sur Facebook
Récemment, Facebook a reçu de nombreuses critiques concernant sa politique de traitement des données personnelles des utilisateurs. Toute personne ayant un compte ou non sur le plus grand réseau social du monde est exposée sur internet car tout ce qu’on y poste, écrit, partage, aime, commente, etc. est enregistré, utilisé et revendu à des sociétés afin de cibler le publique et toucher le plus grand nombre de personnes.
Tous les jours, Facebook enregistre sur ses serveurs près de 500 To de données. A titre de comparaison, un téléphone peut posséder en général entre 32 Go à 64 Go de capacité et, je n’en doute pas, vous avez sûrement une bonne tonne de photos et de vidéos enregistrées dans votre téléphone avec « seulement » 32Go ou 64Go. Sachant que 1 To fait 1024 Go. Si on fait le calcul, ça voudrait dire que Facebook collecte tous les jours 16.000 téléphones de 32Go ou 8.000 téléphones de 64Go. Je n’ose même pas imaginer le nombre d’informations que la firme possède au total.
- Comment Facebook récolte nos données ?
Facebook a décidé dès le départ de baser son modèle d’entreprise sur la publicité. Pour cela, la firme ne va pas hésiter à jouer avec les lois. On sait depuis 2013 que, malgré le fait qu’une option « supprimer la publication » soit disponible, Facebook ne va pas pour autant la supprimer de ses serveurs et par conséquent cette option est totalement inutile car elle ne fait que faire disparaitre la publication de la surface de Facebook, mais les informations concernant cette publication sont toujours accessibles si on se met un tout petit peu à chercher.
De plus, après l’apparition et la possession de WhatsApp et d’Instagram par Facebook, la firme peut utiliser les données que vous possédez sur les trois réseaux sociaux pour permettre un meilleur ciblage des annonceurs. Selon une étude du Boston Consulting Group, les données personnelles des utilisateurs représenteraient 600 euros et Facebook toucherait 5 euro par utilisateur. Sachant qu’en 2017, Facebook comptait deux milliards d’utilisateurs actifs, cela fait une bonne somme d’argent ! On peut dire que les données personnelles constituent une vraie mine d’or.
- Dans quel but ?
Lorsque Marck Zuckerberg a créé Facebook, une de ses phrases fétiches pour vendre son site était : « Facebook c’est gratuit, et ça le restera toujours ». Dès lors, on peut se demander comment cette firme fait pour faire autant de profit alors que son utilisation ne nous coûte pas un sou. C’est tout simplement, comme de nombreux sites actuels, grâce à la publicité. Les recettes publicitaires de Facebook en 2017 ont représenté 98.5% du chiffre d’affaire total de l’entreprise.
Et pourquoi Facebook est autant apprécié par les annonceurs ? Tout simplement car Facebook regorge de nos informations personnelles et, sans nous demander notre avis, partage ces informations. Grâce à notre historique de navigation, les publicités peuvent nous cibler et nous proposer des produits qui nous intéressent.
- Sommes-nous au courant ?
Les lois demandent à tous les sites traitants les données de déclarer comme dit au-dessus certains points. Facebook ne peut échapper à cette règle et comme la déclaration est accessible à n’importe qui, on peut la retrouver dans la fameuse partie nommé « conditions d’utilisation », que tout le monde accepte sans jamais les lire. Sans le savoir, en acceptant les conditions d’utilisation à l’aveugle, nous laissons la main libre à la plus grande entreprise du monde sur toutes nos données personnelles. Nous abandonnons tout simplement tous nos droits car une fois les conditions acceptées et nos informations partagées, ils ne nous appartiennent plus.
Si on regarde attentivement la politique de confidentialité d’Instagram, on peut voir, écrit noir sur blanc : « Nous pourrons partager votre contenu d’utilisateur et vos données personnelles avec des entreprises qui font légalement partie du même groupe de sociétés qu’Instagram » ou encore ; « Nous pourrons également partager certaines informations, telles que des données de cookies, avec des partenaires publicitaires tiers. Ces informations permettent aux réseaux publicitaires tiers, entre autres choses, de diffuser des publicités ciblées susceptibles de vous intéresser réellement » mais de plus ; « Instagram, ses Filiales et ses Prestataires de services pourront transférer les informations qui vous concernent, y compris vos données personnelles, à l’étranger ». La totalité des utilisateurs ont accepté ces règlements sans même les lire. Mais ce n’est pas grave selon eux, car le traitement de nos données permet l’amélioration de l’utilisation d’Instagram ou de Facebook.
Cette partie reprend effectivement ce que Facebook fait avec nos données personnelles donc au niveau de la loi, la firme est totalement légale mais il existe quand même des applications espionnes comme les jeux connectés à Facebook, ou lorsqu’on appuie sur un bouton « j’aime ».
Heureusement, de nombreux organismes dans le monde plaident contre le traitement abusif de nos données. C’est le cas de la CPVP, la commission de la protection de la vie privé qui en conteste les récoltes illégales. Car contrairement à ce que l’on pense, la collecte ne s’arrête pas au site directement et ne touche pas seulement les utilisateurs inscrits sur Facebook, mais aussi à tous les sites présent sur le World Wide Web et à toute personne s’aventurant à un endroit où il y a la présence d’un petit plug-in12 de Facebook. Par exemple : un bouton « J’aime », « partager » ou aussi lorsqu’on connecte sur un site ou une application via son identifiant Facebook.
Donc, si on se connecte à Spotify via Facebook, la firme va pouvoir tout simplement collecter des informations sur nos préférences musicales et les revendre à des sociétés tierces. Il ne faut pas nécessairement utiliser ces petits plug-in pour que les cookies récoltent nos données et se mettent à jour, mais simplement qu’ils soient présents sur la page Web.
- Qui est en tort ?
On pourrait se dire que le géant du Web est la cause de toutes les polémiques concernant les données personnelles. Cependant, nous avons notre part de responsabilité car, comme précédemment dit, tout est écrit explicitement et nous avons donné notre accord à l’inscription. Nous sommes donc censés être au courant de l’utilisation de nos informations. On leur donne volontairement trop de données nous concernant.
Il est possible sur Facebook de télécharger un fichier qui rassemble toutes nos données collectées depuis la création de notre compte. Je me suis prêté à l’exercice et ai téléchargé ce fameux dossier. Je suis sur Facebook depuis 2010 et le fichier pèse 600 mégaoctet. Il contient absolument tout ; les applications que j’ai utilisées via Facebook, toute ma liste d’amis avec leurs informations telles que leur numéro de téléphone, leurs nom, prénom, date de naissance, tous mes messages privés, que ce soit des conversations écrites, des photos partagées, des vidéos ou encore des conversations audio. Il y a aussi tout ce qui a été posté sur mon mur donc toutes les vidéos, les messages, les photos et même les posts sur lesquels j’ai été tagué. Tout ce que j’ai aimé, partagé et commenté se retrouve aussi dans ce fichier. Tout ça pour dire que nous nourrissons la bête qui se fait appeler « Facebook », nous la goinfrons de toutes nos données. Nous sommes donc les plus importants fournisseurs d’informations sur notre vie privée sur les réseaux sociaux.
- Nos amis dans la vraie vie sont nos pires ennemis sur Facebook
Si on est conscient de ce que Facebook fait avec nos données, on fait sans doute plus attention à nos actions sur le réseau social. Cependant, on n’est jamais à l’abri. Malgré toutes les précautions qu’on peut prendre, nos amis peuvent nous trahir sans même s’en rendre compte. Par exemple, en nous taguant sur des posts rigolos ou intéressants, en partageant des choses sur notre mur, en nous invitant à des groupes, des évènements. En récoltant toutes ces données qui ne nous touchent pas directement, Facebook peut identifier très rapidement nos centre d’intérêts et nous coller une certaine publicité.
- Cambridge Analytica, preuve d’une faille dans la protection des données personnelles sur Facebook ?
En mi-mars 2018,
des révélations qui font aujourd’hui transpirer Marck Zuckerberg et son
réseau social concernent les données de près de 87 millions
d’utilisateurs dans les mains de la firme Cambridge Analytica13,
une entreprise d’analyse de données qui ensuite, a travaillé pour la
campagne du candidat républicain à la présidentielle Américaine de 2016,
nommé Donald Trump.
Facebook sera ensuite accusé d’avoir servi d’outil de désinformation14 et de manipulation politique lors de l’élection de Trump. Le géant américain a avoué que les données personnelles de quasi tous ses utilisateurs ont pu être récupérées sans notification ni accord par des sociétés tierces.
Facebook se base sur ses recettes publicitaires pour continuer à alimenter son entreprise, cependant elle voit aujourd’hui, suite à ce scandale, une perte de confiance de la part des utilisateurs et des investisseurs. Ce qui a notamment généré l’Hashtag #DeleteFacebook qui prône un abandon massif du plus grand réseau social.
Selon une étude menée par ifop15 et publiée par Le Parisien16 suite à l’éclatement de l’affaire Cambridge Analytica. 67% des français n’ont pas confiance en Facebook. La raison la plus entendue étant : « Une peur de voir nos données personnelles utilisé à notre insu ».
Ce sondage démontre que 25% des français interrogés envisageaient de supprimer leur compte définitivement, ce qui représente une personne sur quatre. Depuis mars 2018, le groupe a perdu près de 10 % en Bourse, soit près de 8 milliards d’euros.
Une nouvelle est lancée le 18 avril 2018 : une ex-cadre de Cambridge Analytica nommé Britanny Kaiser aurait révélé qu’il y aurait bien plus de personnes concernées que les 87 millions d’utilisateurs annoncés.
Il n’y a pas que l’application « This Is Your Digital Life17 » qui avait collecté les données d’utilisateurs et de leurs amis. Bien d’autres applications dans ce style auraient déjà été utilisées aux mêmes fins. Lors de son audition devant le congrès britannique, Brittany Kaiser a reconnu qu’ « un large éventail de questionnaires de ce type a été utilisé. » Cependant, le chiffre final du nombre d’utilisateurs concernés n’était pas connu à l’heure de cette recherche.
- Les décisions prises par Marck Zuckerberg
Suite à ce scandale, le patron et créateur de Facebook doit prendre de nouvelles mesures concernant sa politique des données personnelles.
La première est directement reliée à Cambridge Analytica : une section « aide » de Facebook permet de savoir si vos données personnelles ont été utilisées par cette société et quelles sont ces informations. Si vous êtes une personne concernée parmi les 87 millions d’utilisateurs, on vous encourage grandement à mettre à jour les informations qui ont été exploitées.
Le réseau social annonce effectuer des modifications sur les interfaces de programmation de Facebook pour une meilleure protection des données et éviter toute fuite et exploitation abusive potentielle. Par « Interface de programmation de Facebook », on entend les groupes, les évènements et les pages. Il ne sera plus possible non plus de trouver une personne sur Facebook sur base d’un numéro de téléphone ou/et d’une adresse mail.
Une bonne nouvelle devrait faire son apparition sur la firme de Zuckerberg : la restriction aux applications de pouvoir collecter et utiliser certaines données personnelles. Il ne sera plus autorisé de collecter des informations sensibles telles que : orientation sexuelle, préférence politique, appartenance religieuse, etc.). Les développeurs ne pourront plus garder les données d’un utilisateur inactif depuis plus de 3 mois.
Le règlement général sur la protection des données (RGPD)
Le 25 mai 2018. Une nouvelle réglementation nommée « Le règlement général sur la protection des données (RGPD) » ou en anglais : « General data protection regulation (GDPR) » est mise en place. Cette règlementation décidée à Bruxelles en 2016 demande à toutes les entreprises qu’elles respectent les nouvelles règles concernant la protection des données.
Ce règlement vient rafraîchir les anciennes lois datant de 1995 avec une compréhension bien cadrée sur ce qui, avec le « boom » numérique, est devenu un produit valant de l’or : nos informations personnelles.
En résumé, le RGPD fixe un cadre pour la collecte et l’utilisation des données personnelles des pays européens sur toutes les plateformes, même étrangères.
Ce texte affiche deux grands objectifs :
Notre avancée technologique étant en plein essor, il s’agit de pouvoir répondre aux nouveaux futurs traitements de nos données.
Réunir toutes les lois déjà présentes au niveau européen afin d’éviter les confusions et les différences juridiques d’un pays à l’autre.
Les changements pour les utilisateurs :
La majorité numérique
Pour les usagers, ce nouveau règlement va surtout mettre en place un consentement par écrit et instaurer une « majorité numérique » c’est-à-dire que jusqu’à un certain âge, une personne va devoir demander la permission de ses parent(s) ou tuteur(s) pour pouvoir aller sur un site qui traite les données de ses utilisateurs. Cette « majorité numérique » est actuellement recommandée à l’âge de 16 ans par les Etats-membres18 Cependant, les pays peuvent indépendamment décider de baisser cette majorité jusqu’à 13 ans. C’est le cas de l’Espagne.
En France la majorité a été fixée à 15 ans et en Belgique nous ne le savons pas encore. Dès la citation de cette « majorité numérique », des contraintes ont été trouvées. Tout le monde le sait, contourner une limitation d’âge pour accéder à un site n’est vraiment pas compliqué. D’après un sondage réalisé en 2014, près d’un jeune sur deux âgé de 11 à 12 ans était déjà inscrit sur Facebook.
Cependant, le RGPD met la pression sur les entreprises pour s’assurer du respect de cette limitation d’âge. Facebook a donc décidé de racheter la firme « Confirmed », une société spécialisée dans la vérification des identités sur internet et l’empêchement de création de faux comptes.
- Le droit à l’effacement
Grace au RGPD, nous utilisateurs, allons pouvoir bénéficier de l’effacement de nos données par l’entreprise qui les traite. Sous certaines conditions.
Nous pouvons bénéficier de ce droit si nos données personnelles ne servent plus au but de leur traitement : si les données stockées par l’entité qui les a traitées ne servent plus à l’objectif premier pour lequel on a donné notre consentement, alors on peut demander leur suppression dans les cas suivants :
On est plus d’accord avec le traitement de nos données et s’il n’y a pas d’empêchement juridique pour pouvoir retirer son accord.
Nous ne voulons plus que nos données soient traités par l’entité.
La société qui traite nos données les a utilisées de façons illégale.
Ces données doivent être retirées pour respecter une obligation légale.
Nos données ont été collectées lors d’un accord donné pendant notre enfance19.
Si nos données ont été rendues publiques et que nous appliquons notre droit à l’effacement, en veillant à ce que les conditions citées ci-dessus soient respectées.
L’entité qui est « la responsable du traitement » doit alors, dans les plus courts délais possibles et sans frais supplémentaires, effacer nos informations.
- Le droit à la portabilité des données
Ce droit tout nouveau compris par le RGPD va permettre de faciliter la transition de nos données d’un service à un autre. L’exemple qui suit a été donné par la CPVP20 « Une comparaison peut être faite avec ce qui existe à l’heure actuelle en matière de téléphonie. Vous pouvez facilement changer d’opérateur téléphonique, tout en gardant l’entièreté de vos contacts et de vos communications. »
Ce droit a donc des objectifs. Tout d’abord, il veut permettre aux utilisateurs de pouvoir recevoir les données partagées avec l’entité qui les traite à tout moment et ensuite, nous aurons la possibilité de demander le transfert de nos données d’une entité a une autre, sans que l’entité initiale puisse refuser.
- Le droit d’accéder à nos données.
Avec ce droit, nous pouvons demander à l’entité qui traite nos données de savoir quelles sont les renseignements dont elle dispose sur nous. Nous pouvons demander une copie de toutes nos informations traitées par cette entité.
- Le droit de faire rectifier nos données.
Ce droit nous permet de demander de compléter ou de modifier des informations nous concernant si elles sont incorrectes ou imparfaites.
- Le droit à la limitation du traitement de nos données.
Ce droit nous permet de demander une limite de l’usage de nos données par l’entité qui les traite. Par cette limitation, l’entité dite « responsable du traitement » ne pourra, sauf exception, plus que stocker les informations. Elle ne pourra donc plus les partager, les publier, les modifier, les communiquer, etc.
Nous pouvons demander une limitation dans quatre cas ;
- En faisant appel à notre droit de rectification de nos données et pendant la durée de l’opération, leur traitement pourra être limité.
- Si le traitement que l’entité fait de nos données est illégal, et que nous ne voulons pas avoir recours à l’effacement de ces données, nous en pouvons limiter l’usage.
- Si le responsable du traitement n’utilise plus nos données pour un objectif précis, elles sont donc inutiles, sauf si elles peuvent être utilisées dans le cadre d’une constatation, et dans l’exercice ou la défense de droits en justice.
- Si nous refusons l’usage de nos données, alors celle si seront limitées jusqu’à la vérification d’un motif légitime.
Dans tous ces cas, lorsque la limitation du traitement des informations n’est plus en vigueur, l’entité reste obligée d’informer l’utilisateur de la date et du traitement qui sera effectué.
Sous certaines conditions, la limitation du traitement pourrait ne pas permettre simplement le stockage des renseignements, mais par exemple demander que nos informations soient stockées et communiqué à des entreprises tierces.
Ces conditions sont les suivantes :
- Notre consentement a été donné
- Si la demande d’un autre traitement permet la constatation et l’exercice ou la défense de droits en justice.
- Pour protéger les droits d’une autre personne physique ou pour des motifs d’intérêt pour l’Union Européenne.
Les changements pour les entreprises : Le monde entier est concerné
Le RGPD a été voté en Europe pour assurer la protection des citoyens européens face à l’explosion numérique de ces dernières années. Mais ce ne sont pas uniquement les entreprises européennes qui vont devoir respecter les nouvelles règles instaurées ce 25 mai 2018. Car celles-ci concernent aussi toute firme présente sur n’importe quel continent et liée à l’Europe. Ainsi, la plus grande société mondiale rassemblant des milliards d’utilisateurs, Facebook, va devoir changer sa manière de gérer leurs données.
- Les nouvelles règles importantes que les sociétés vont devoir appliquer
Le RGPD ne fait pas les choses à moitié, en effet, il y aura énormément de nouvelles règles qui vont devoir être respectées d’ici fin mai.
Parmi ces règles, la demande du chiffrement publique des données traitées. C’est-à-dire, l’ accès pour tout le monde aux statistiques des données traitées dans la société.
Mais encore, « l’étude d’impact sur la vie privée » est une étude qui va devoir se faire avant tout nouveau traitement de données. Pour prévenir toute exploitation illégale ou fuite de données, cette analyse anticipative permettra d’avoir une vision d’ensemble sur tous les risques possibles, les mesures à prendre pour éviter tout problème éventuel et, en cas de catastrophe, en estimer les degrés d’impact.
Toute entreprise d’autorité publique ou organisme public qui requiert un suivi important et journalier des données des utilisateurs ou toute entreprise qui traite des information dites « sensibles »21 devra nommer un DPO (Data Protection Officer), un délégué à la charge de la protection des données qui devra vérifier le bon respect des règles du RGPD, aider les contrôleurs dans leurs étapes et répondre aux demandes et questions des utilisateurs voulant appliquer leurs droits.
Afin de s’assurer du respect de ces nouvelles règles, la mise en vigueur du RGPD est accompagnée par la création du comité européen de la protection des données. Sa mission est d’arbitrer en cas de contestation du texte de la nouvelle loi devant les tribunaux. Les sanctions seront enforcées, car le texte prévoit la somme de 4% du chiffre d’affaire de la société pénalisée, avec un plafond situé à 20 millions maximum.
- Une course contre la montre pour les sociétés concernées.
Approchant de la date fatidique du 25 mai, les entreprises qui n’ont pas été mises au courant à temps se sont engagées dans un sprint acharné pour faire respecter ces nouvelles lois. La CPVP prévoit lors de la mise en vigueur officiel de la RGPD un contrôle qui aura surtout pour but d’accompagner les entreprises dans le parfait respect des règles.
- Les changements à venir sur Facebook
Pour se conformer aux règles du RGPD, Facebook va a changé la manière dont sont utilisées nos données. Marck Zuckerberg veut absolument regagner la confiance de ses utilisateurs en leur mettant des outils claires et simples pour réguler le traitement des données par le géant américain.
Tout d’abord, Facebook nous invite à explorer les nouveaux outils mis à disposition, dont le premier concerne le ciblage publicitaire. A la fin d’un texte rappelant l’usage que fait le réseau social avec vos données et comment le ciblage publicitaire peut être bénéfique pour la navigation, la firme doit demander notre accord sur le traitement de nos données.
Ensuite, Facebook énumère les informations sensibles (préférences sexuelles, confession religieuse ou conviction politique), et nous assure que si on active le partage de ce genre d’information, nous pouvons limiter la visibilité des données sensibles à seulement certaines personnes. Cependant, le réseau social stipule clairement que ces données pourront être utilisées pour personnaliser certaines fonctionnalités et produits.
La reconnaissance faciale : elle permet d’identifier automatiquement une personne. Une fois activée, cette option permet de recevoir une notification si on est identifié sur une photo publiée. Facebook nous indique que cela permet d’améliorer notre sécurité car, si un étranger utilise une de nos photos pour un faux compte ou encore utilise notre photo pour parler en notre nom, on sera directement averti et en mesure d’engager les démarches judiciaires qui en découlent.
Facebook se penche sur l’accord parental : cet accord sera nécessaire pour un enfant âgé entre 13 ans (âge minimum pour pouvoir s’inscrire sur Facebook) et 15 ans (majorité numérique en France). En Belgique, la majorité numérique n’a pas encore été décidée et officialisée. Un enfant de cette tranche d’âge doit demander à ses parents une autorisation pour que Facebook traite ses données à des fins publicitaires, ou que la firme ait accès à ses informations sensibles. Et s’il désire les modifier ou les publier, il devra de nouveau faire appel à ses parents. Les mineures numériques reçoivent une version de Facebook avec des contraintes. Cependant, et la majorité le sait, détourner une limitation d’âge est super simple. Sur Facebook, l’autorisation parentale est accordée soit par mail, soit en renseignant le compte de l’un des parents du mineur. Pour recevoir l’autorisation d’un « adulte numérique », l’enfant pourra simplement créer une fausse adresse mail ou encore un faux compte Facebook car Facebook n’a aucun moyen de vérifier le lien de parenté.
Facebook annonce son intention d’améliorer la lisibilité et la compréhension, par des phrases plus explicites dans les CGU (Conditions générales d’utilisations). Il y est toutefois stipulé noir sur blanc que Facebook et ses applications liées, que ce soit Instagram, WhatsApp ou encore Oculus VR, peuvent traiter les données de ses utilisateurs. Si nous ne sommes pas d’accord une solution nous est proposée : supprimer notre compte ou de le désactiver.
La présentation des paramètres par rapport à la vie privée et l’outil permettant de télécharger toutes ses données collectées par Facebook a été améliorée : plus claire, plus épurée. Avec cet outil, nous pouvons explorer les différentes catégories, comprendre leurs structures et avoir un meilleur contrôle sur nos données. L’option « télécharger ses données » peut être otenue par catégorie (seulement les photos ou messages privés, par exemple) ou en gros bloc comprenant absolument toutes les informations que Facebook a récoltées sur nous.
De nouvelles interfaces et outils permettant d’avoir plus de contrôle sur nos informations personnelles ne seront disponibles que pour les utilisateurs d’Amérique du nord et d’Europe, ce qui représente 500 millions de personnes sur 2 milliards (nombre d’utilisateurs actifs sur Facebook). Facebook espère calmer les tensions médiatiques des occidentaux européens et américains, tout en gardant un Facebook sans modifications pour l’Afrique, l’Amérique du Sud, l’Asie et l’Australie.
Pour conclure, l’arrivé du RGPD annonce une nouvelle ère dans la politique de la protection des données en Europe. Mais il ne faut pas se reposer sur cette nouvelle réglementation pour améliorer la protection de nos informations, nous pouvons « surfer responsable » sur internet.
Comment se comporter sur les réseaux sociaux pour éviter tout abus de nos données personnelles ?
Il ne faut pas attendre un changement radical des grandes sociétés car elles trouveront toujours une astuce pour atteindre leur but : faire du bénéfice, nos données représentant un enjeu financier colossal. Ce n’est pas une raison pour se déconnecter définitivement de toutes sortes de médias sociaux, mais il faut apprendre à vivre avec.
Le premier pas pour naviguer en sécurité vient de nous. Il faut être conscient qu’on est les seuls responsables de nos données et il faut être conscient des droits que nous confèrent les lois.
Il faut faire la distinction entre partager des informations en publique ou en privé. (Attention car, contrairement à son nom « les messages privés » ne sont pas inaccessibles pour les sociétés et tout ce qui est partagé en « privé » est collecté, stocké et utilisé.) Tout ce que l’on poste sur internet peut être retrouvé par n’importe qui. Par exemple, un futur recruteur lors d’une recherche d’emploi va systématiquement taper notre nom sur les réseaux sociaux et sur Google. Il faut donc s’assurer de ne pas poster des choses que l’on pourrait regretter plus tard.
Il faut vérifier les paramètres de sécurité implantés dans le réseau social ou le site utilisé. Sur Facebook, il y a la possibilité de pouvoir partager ses données seulement à ses amis, et de limiter la visibilité de ce qu’on partage à nos amis. Malgré le fait que la firme voie ces données, on est protégé un minimum de l’usurpation de notre identité. Avec la remise à neuf des paramètres de sécurité sur Facebook, tout le monde devrait y jeter un œil et décider de ce qui est mieux pour la protection de ses données.
Un conseil qui peut être perçu comme évident est de choisir des mots de passe complexes. Chaque site qui requiert une inscription et par conséquent un mot de passe doit en recevoir un unique. De plus, il faut éviter de mettre dans notre mot de passe des informations susceptibles d’être publiées sur internet (exemple : date d’anniversaire, le nom d’un parent, de notre animal de compagnie…) Il faut éviter aussi des suites logiques de lettres ou de chiffres et plutôt opter pour une combinaison de majuscules, de symboles spéciaux, de lettres et de chiffres. (Attention, enregistrer les mots de passe dans un fichier sur un ordinateur ou un téléphone ne sert pas à grand chose, car ces appareils sont toujours susceptibles de se faire pirater et en faisant ça, on facilite l’accès à nos comptes pour les pirates de l’informatique.)
Aujourd’hui, de plus en plus d’applications permettent de se connecter à nos comptes grâce à un authentificateur à deux facteurs qui, lorsqu’on veut se connecter, nous envoie un mail ou encore un sms, ce qui augmente significativement la protection de notre compte.
Il faut éviter un maximum d’utiliser les wifi publics. Ces derniers ne sont pas du tout protégés et des crackeurs peuvent s’y connecter très facilement et récolter toutes sortes d’informations.
Pour finir, il est important d’utiliser internet et ses outils en ayant un minimum de connaissances sur les conséquences d’une mauvaise utilisation. Nous avons de nombreux moyens de nous protéger un minimum par nous-même et cette protection n’est pas à négliger.
Conclusion
Ce travail a permis de mettre en avant des points importants pour continuer à vivre avec l’explosion des nouvelles technologies. On y a vu l’aspect commercial de Facebook et les traitements réservés à nos données. Nous publions et partageons tellement de choses avec le monde entier de nos jours, qu’il est important de bien comprendre les enjeux que tout ceci implique, dont pourquoi et comment Facebook traite nos informations. On comprend que la firme arrivait à outrepasser les lois précédentes lui permettant de récolter nos données sans en avertir explicitement l’utilisateur.
Le nouveau règlement concernant la protection des données (RGPD), en vigueur depuis le 28 mai 2018, a changé la donne. Il est bon de rappeler que nous avons des lois qui nous protègent face à tout éventuel abus, comme c’était le cas dernièrement avec le scandale Cambridge Analytica. Nous avons des droits sur nos données, qu’il ne faut hésiter à utiliser si les conditions ne sont pas respectées et qu’il y a la présence d’un quelconque abus.
Le dernier chapitre se focalisant sur la manière dont nous pouvons améliorer notre protection de nos données permet de constater que nous pouvons déjà individuellement faire quelque chose contre l’utilisation massive de nos informations sur internet.
Malheureusement, certains points qui peuvent être intéressants n’ont pas été relevés ici :
- L’ensemble des conditions à réunir pour pouvoir exercer tel ou tel droit et les prérequis pour traiter les informations personnelles d’une personne tierce.
- Concernant le RGPD, il n’y a pas tout ce que cette nouvelle réglementation va mettre en place et toutes les conséquences que cela va créer, car cette recherche est volontairement centrée sur les changements imposés à Facebook.
- Si seul l’impact sur Facebook est abordé, comme Marck Zuckerberg l’a dit devant le tribunal : Twitter et Google fonctionnent de la même manière. Par conséquent, ces trois entreprises vont devoir se soumettre à la nouvelle loi.
Personnellement, ce travail m’a appris énormément de choses et m’a conforté dans mon non-investissement sur les réseaux sociaux. Cependant, j’espère pouvoir faire réagir certains qui tous les jours publient tout ce qu’ils font, ou du moins leur donner les clés pour éviter de se faire utiliser comme produit (le maximum possible) par le plus grand réseau social. Tout le scandale Cambridge Analytica m’a fait comprendre à quel point nous sommes vulnérables et manipulables.
Pour conclure, la préservation de nos données est pour moi un droit fondamental. Il ne faut absolument pas perdre le contrôle sur notre vie virtuelle car cette vie et la vie réelle sont intimement liées et si l’une bascule, l’autre tombe avec.
- Lexique
- WWW = World Wide Web
- CPVP = Commission de la Protection de la Vie Privée
- RGPD = Réglementation Général de la Protection des Données
- GDPR = General Data Protection Regulation
- DPO = Data Protection Officer
- DPD = Directeur de la Protection des Données
- CGU = Conditions générales d’utilisations
- Bibliographie
- Vidéos/Conférences
- Ouvrages
- Articles
- R. DUVIGNAU, « Données personnelles : Facebook condamné par la CNIL à 150 000 euros d’amende », dans Le monde, 16 mai 2017
- P-A CHARDEL, « Surveillés et consentants », Sciences humaines, consulté le 26 novembre 2017
- A. JENNOTTE, « La Belgique fait plier Facebook : les quatre questions que pose le jugement », dans Le soir, 16 février 2018
- BELGA, « Si Facebook ne cesse pas de tracer les internautes belges, il devra payer jusqu’à 100 millions d’euros », dans La libre, 16 février 2018
- D. FAYON, « Les réseaux sociaux menacent-ils nos libertés individuelles ? », page consulté le 14 décembre 2017
- L’écho des lois : « Données personnelles : vie privée en danger ? », de Thibaud Le Floch, diffusé par LCP en 2014.
- R. BOULESTIN, « Facebook aligne deux milliards d’utilisateurs actifs. Quid des autres réseaux sociaux ? » dans ITespresso le 28 juin 2017
- L. GALLET, « Pourquoi Facebook continue de transférer vos données aux Etats-Unis » dans L’Express l’Expansion le 9 octobre 2015
- AFP, « Comment Facebook change vos données personnelles en or » dans La libre, le 20 mars 2018
- « Que fait Facebook de nos données personnelles ? » dans Master Intelligence Economique et Stratégies Compétitives le 2 novembre 2015
- D. LEAL « Facebook doit arrêter de pister les internautes belges sous peine d’astreintes » dans RTBF le 16 février 2018
- L. CO, « Comment Facebook aspire mes données privées » dans Le Soir+ le 21 février 2018
- « Cambridge Analytica : ce scandale qui ébranle Facebook. Rien ne va plus pour Mark Zuckerberg » dans Les numériques le 14 avril 2018
- M. CHARTIER, « Scandale Facebook : plus de 87 millions de personnes touchées ? » dans Les numériques le 5 avril 2018, modifié le 18 avril 2018
- COMBINED NEWS SERVICES, « What is ‘This Is Your Digital Life’? The Facebook app you may be alerted about » dans pix11 le 10 avril 2018
- J. CADOT “Vie privée : ce que Facebook va changer pour se conformer au droit européen » dans Numerama le 18 avril 2018
- M. CHARTIER, « Comment le RGPD va permettre de mieux protéger nos données personnelles », dans Les numériques le 24 mars 2018
- A. GERLACHE, « A quel âge faut-il fixer la « majorité numérique » ? » dans RTBF le 12 février 2018
- Sites internet : pour des raisons de liens obsolètes aujourd’hui, les sources complémentaires sont disponibles sur simple demande : info@www.wearecoders.eu