Un buffet de données, selon le Times
Même si elle avait assuré la Federal Trade Commission (FTC) américaine, dans une entente survenue en 2011, qu’elle ne partagerait plus les données de ses utilisateurs sans leur permission, Facebook a laissé jusqu’à 150 entreprises « partenaires » se servir au buffet, a dévoilé hier le New York Times. Explications.
Qu’a fait Facebook, cette fois ?
Environ 150 entreprises, pour la plupart très connues comme Amazon, Spotify, Microsoft ou Netflix, ont signé avec Facebook des ententes commerciales leur permettant d’accéder non pas à l’ensemble des données du réseau social, mais à certaines portions, qui devaient servir à améliorer leurs propres services. Facebook pouvait aussi, de son côté, en profiter pour amasser des données additionnelles à ajouter à ses bases de données.
Des exemples ?
Les rares utilisateurs du système d’exploitation d’un téléphone mobile BlackBerry utilisant son propre système d’exploitation (plutôt qu’Android) connaissent la fonction BlackBerry Hub, qui peut regrouper en un seul endroit toute l’information provenant de Facebook, Twitter, LinkedIn, de leurs courriels, etc. BlackBerry devait avoir accès à des données de Facebook pour offrir cette fonction.
La Banque Royale du Canada a lancé en 2013 une fonction permettant d’envoyer de l’argent par Facebook Messenger. Selon le Times, la banque canadienne a ainsi obtenu l’autorisation de lire, écrire et supprimer des messages de ses utilisateurs, ce que la Banque nie formellement.
La Royale affirme avoir reçu l’autorisation d’envoyer des messages aux utilisateurs de Facebook de 2013 à 2015, lorsqu’elle proposait un service d’application mobile permettant aux clients d’envoyer de l’argent à leurs amis par l’entremise du réseau social. La banque dit ne pas avoir eu la possibilité de consulter les messages des utilisateurs.
La banque a expliqué qu’elle devait pouvoir envoyer les messages pour confirmer l’identité de l’utilisateur de Facebook recevant l’argent et lui envoyer un accusé de réception pour la transaction. La banque a nié avoir eu accès aux messages privés ou avoir eu besoin d’accéder à ces messages. Le service, qui utilisait l’application mobile de la banque, a été mis hors service en 2015 en raison de sa faible utilisation.
De son côté, le moteur de recherche Bing, de Microsoft, aurait carrément eu accès aux noms des amis de chaque utilisateur Facebook.
Certaines organisations médiatiques, dont le New York Times lui-même, font partie des entreprises qui bénéficiaient de telles ententes.
D’autres entreprises partenaires, notamment la chinoise Huawei et la russe Yandex, compliquent politiquement le dossier pour Facebook en raison de leurs liens allégués avec leur gouvernement respectif.
Dans certains cas, les entreprises auraient continué d’avoir accès à ces données même après que le service pour lequel elles étaient « nécessaires » eut été supprimé. Certaines ententes sont toujours en vigueur.
Et ce n’était pas permis ?
Le débat à ce sujet risque de monopoliser l’attention de très dispendieux avocats pendant longtemps, mais la pratique semble entrer en contradiction avec une entente conclue en 2011 avec la FTC.
Cette entente servait en quelque sorte de règlement à l’amiable à une enquête déclenchée par l’organisme après que l’entreprise eut subitement, en 2009, rendu publiques des données que ses utilisateurs avaient désignées comme étant « privées », sans approbation.
Une clause de cette entente, se défend Facebook, lui permettait de continuer de partager des informations avec des « fournisseurs de service » et que c’est ainsi qu’elle considère ces partenaires. Le contrat entre Facebook et ces entreprises, fait valoir la première, oblige les secondes à respecter ses conditions.
Ce n’est pas si clair, clament d’anciens de la FTC dans l’article du Times. Selon eux, cette clause ne devait permettre à Facebook que de réaliser des transactions courantes pour toutes les entreprises, des paiements par carte de crédit par exemple.
L’entente avec la FTC imposait aussi à Facebook la création d’une équipe chargée d’analyser les nouveaux produits et services pour s’assurer qu’ils respectent les principes de vie privée. Or, rapporte le Times, cette équipe n’a jamais été très populaire chez Facebook et son niveau de surveillance variait passablement d’une entente à l’autre.
Comment Facebook se défend-elle ?
Facebook affirme ne pas avoir enfreint l’accord signé avec la FTC. Dans un message publié sur son site, l’entreprise explique principalement que les utilisateurs dont les données ont été partagées avec d’autres entreprises y ont consenti au moment où ils ont inscrit leur mot de passe Facebook dans les applications de ces entreprises.
Facebook admet que des entreprises ont continué d’avoir accès à certaines données même quand ce n’était plus « nécessaire » et assure qu’elle revoit actuellement tous les accès à ses bases de données.
« Nous avons mis fin à presque tous ces partenariats au cours des derniers mois, sauf pour Amazon et Apple », a aussi indiqué le réseau social.
— Avec La Presse canadienne et l’Agence France-Presse