Rue89 - 22/10/2011 à 18h49
Un étudiant autrichien en droit a réclamé à Facebook une copie des données que le réseau social détenait de lui. La firme de Palo Alto (Californie) a ainsi dû envoyer 1 222 pages à Max Schrems, 24 ans, qui partage depuis ses étonnantes découvertes – des contenus supprimés par l'utilisateur restent notamment archivés par le site de Mark Zuckerberg – et demande des comptes aux autorités irlandaises, pays du siège européen de Facebook.
Lire sur Ecrans.fr
ecrans.fr/ - samedi 22 octobre 2011 11:01
Facebook : la mémoire cachée
par Camille Gévaudan
Photo Glenn J. Mason, CC BY
L’appétit vorace de Facebook pour les données personnelles n’est un secret pour personne. Régulièrement, son estomac numérique gargouille auprès de ses membres pour réclamer son dû. « Donnez-moi votre numéro de mobile, que je puisse renvoyer votre mot de passe en cas d’oubli ! » « Expliquez-moi vos opinions politiques, que je puisse mieux cibler mes publicités ! » « Dites-moi ce que vous lisez, ce que vous écoutez, ce que vous regardez, ce que vous cuisinez, que vos amis puissent en profiter ! » Et la plupart des 800 millions d’inscrits, dociles, jettent leurs gros steaks de vie privée dans la gueule béante du réseau social. Ce que personne ne semble savoir, en revanche, c’est que le monstre est dépourvu de système digestif. Il se contente de stocker les données, toujours plus de données, sans jamais en effacer aucune.
Les découvertes du jeune Max Schrems sont effarantes. Au mois de juillet, cet étudiant autrichien en droit a réussi à se procurer l’ensemble des données dont Facebook dispose sur lui. En épluchant les 1222 pages ( !) de son dossier, il a constaté que le réseau social avait soigneusement archivé toutes les informations qu’il croyait avoir supprimées depuis belle lurette. Anciens pseudonymes, messages privés, demandes d’amis refusées... Il soupçonne même l’existence de fiches sur les internautes non inscrits à Facebook. Max Schrems a décidé de saisir les autorités compétentes en Irlande, où Facebook a son siège européen, pour demander une enquête approfondie. À 24 ans, il est en passe de devenir une sérieuse épine dans le pied du réseau qui valait 70 milliards de dollars.
« Statut : effacé »
« Je ne cherche aucun gain financier ou personnel. Je veux simplement pouvoir aller sur Facebook sans me soucier du traitement de ma vie privée », justifie-t-il. Lors de son échange universitaire en Californie, l’an dernier, il a eu l’occasion de rencontrer des responsables de Facebook et de parler avec eux des différences de législation entre les États-Unis et l’Europe en matière de protection de la vie privée. Les premiers sont très laxistes, et le vieux Continent beaucoup plus strict. « J’ai écrit un article sur ce sujet, et j’ai alors découvert que tous les utilisateurs de Facebook vivant en dehors des États-Unis et du Canada étaient liés par contrat à Facebook Irlande », une société « qu’ils ont probablement installée là pour bénéficier d’une fiscalité avantageuse ». Hors Amérique du Nord, donc, « Facebook dépend des lois européennes sur la vie privée. Et bien sûr, il ne les respecte pas. » La bataille commence.
Dégainant sa directive 95/46/CE qui garantit un tel droit à tout citoyen européen, Max Schrems écrit à Facebook pour réclamer l’accès à l’ensemble des données le concernant, via un formulaire très bien caché sur le site du réseau. Il doit insister un peu, et finit par recevoir sur CD-Rom un fichier PDF lourd de plusieurs centaines de mégaoctets et long de 1222 pages. Avec les quelques étudiants qui l’accompagnent dans sa démarche, il a créé le site « Europe versus Facebook » pour partager ses découvertes et expliquer aux internautes comment faire de même. Il y publie son dossier PDF après l’avoir anonymisé, et liste très précisément le type d’informations stockées par Facebook pour chacun de ses membres.
Facebook connaît bien sûr la liste d’amis liée à un profil, mais conserve également le nom de tous les prétendants refusés. Puisque leur demande a été rejetée, il y a des chances non négligeables ces personnes soient totalement étrangères à l’internaute en question. Mais Facebook conserve tout de même, pour une durée indéterminée, la trace d’un lien virtuel entre ces individus étrangers l’un à l’autre.
Même son de cloche du côté des « événements ». Facebook garde la liste complète des invitations adressées à un membre depuis la date de son inscription, quelle qu’ait été sa réponse. S’il a dit qu’il viendrait à la soirée, Facebook le sait. S’il a dit « non » ou « peut-être », idem. S’il n’a pas répondu parce qu’il ne se sentait pas concerné par cet événement, Facebook retient qu’il n’a pas répondu mais qu’il était invité.
Les messages sont sans doute l’aspect le plus scandaleux du dossier. Courriers privés et tchats entre amis sont tous archivés dans le même système de messagerie sur Facebook et y restent pour toujours. Le bouton « Supprimer » n’a qu’une fonction cosmétique : il permet de masquer le message aux yeux de l’internaute, mais reste sur les serveurs de Facebook avec la mention « statut : effacé ».
Même subterfuge pour les statuts, les pokes... et les tags de photos : ils sont indélébiles sur les serveurs. Quand un membre de Facebook décide de marquer la présence d’un autre membre sur une photo, le consentement de ce dernier n’est pas requis. Il peut retirer le « tag » après coup s’il ne souhaite pas être associé à l’image, mais celui-ci devient simplement invisible sur le site. Facebook garde la trace du lien entre la personne et la photographie.
Que de réjouissances, encore, au chapitre « Machines » du dossier ! « Facebook place un fichier “cookie” sur chaque ordinateur qui se connecte au site. Outre le traçage des internautes, ils s’en servent aussi pour créer des liens entre les utilisateurs et leurs ordinateurs. Ils ont une liste complète des ordinateurs qu’une personne a utilisés pour aller sur Facebook, et une liste de toutes les personnes ayant utilisé un même ordinateur pour aller sur Facebook. » En clair, Facebook sait qui fréquente qui, au travail ou à domicile, y compris parmi les personne n’étant pas « amies » sur le réseau social.
Quant au chapitre « Checkins », il liste tout simplement toutes les connections d’un internaute à Facebook depuis son inscription. Chaque checkin est associé à un numéro unique, une date, une heure, une longitude et une latitude.
« Shadow profiles »
À la page 3 de son dossier, Max Schrems a froncé les sourcils. « Il y avait des adresses e-mail que je n’ai jamais communiquées à Facebook, raconte-t-il à Ecrans.fr. Et pourtant il les connaissait ! » Étrange, très étrange. Il soupçonne l’outil « Rechercher des amis », qui permet d’importer son carnet d’adresses sur Facebook et donc de fournir au réseau ce genre de coordonnées. Une de ses connaissances aurait ainsi enrichi le profil de Schrems sans même en avoir conscience.
Puis il fait le lien avec une autre bizarrerie. « Quand on invite à un événement quelqu’un qui n’est pas sur Facebook, il faut rentrer son adresse e-mail. Cette personne reçoit alors un courrier l’encourageant à s’inscrire sur le réseau, avec le nom et la photo de tous les gens que Facebook pense qu’il peut connaître. » On comprend que Facebook ait fait le lien entre l’émetteur de l’invitation et son destinataire, mais comment peut-il suggérer dix autres connaissances potentielles ? Pour Max Schrems, il n’y a qu’une possibilité : ce non-inscrit dispose d’une fiche secrète sur Facebook — un « shadow profile » alimenté par les membres du réseau.
Quand on tape un nom dans le moteur de recherche, que l’on synchronise son mobile ou son carnet d’adresses avec le réseau social, toutes les informations grappillées seraient ainsi conservées et recoupées entre elles de manière automatique. Facebook pourrait ainsi piocher dans ces « shadow profiles » pour envoyer des e-mails très personnalisés aux internautes non inscrits.
Entre mi-août et mi-septembre, Max Schrems a adressé exactement 22 plaintes au Commissaire irlandais à la protection des données — une pour chaque point de fonctionnement de Facebook qu’il estime être illégal. Six d’entre elles concernent les informations que Facebook conserve alors que l’internaute les croit supprimées. D’autres dénoncent la reconnaissance faciale, le système de « tags » sur les photos ou encore les conditions d’utilisation du site, floues et trop souvent changées. Les fiches secrètes sur les non-membres du réseau sont particulièrement problématiques : « Facebook Irlande rassemble une quantité excessive d’informations sur les non-membres sans les en informer ni leur demander leur consentement », accuse la plainte.
Max Schrems est optimiste : « Dans une interview, le Commissaire a dit que si le contenu qu’on « supprime » de Facebook n’est pas réellement effacé, c’est bien illégal. Donc on est plutôt sûrs de nous : on va gagner cette bataille. » L’enquête a débuté cette semaine et les résultats devraient être connus d’ici la fin de l’année.