Les découvertes du jeune Max Schrems sont effarantes. Au
mois de juillet, cet étudiant autrichien en droit a réussi à se
procurer l’ensemble des données dont Facebook dispose sur lui. En
épluchant les 1222 pages ( !) de son dossier, il a constaté que le
réseau social avait soigneusement archivé toutes les informations qu’il
croyait avoir supprimées depuis belle lurette. Anciens pseudonymes,
messages privés, demandes d’amis refusées... Il soupçonne même
l’existence de fiches sur les internautes non inscrits à Facebook. Max
Schrems a décidé de saisir les autorités compétentes en Irlande, où
Facebook a son siège européen, pour demander une enquête approfondie. À
24 ans, il est en passe de devenir une sérieuse épine dans le pied du
réseau qui valait 70 milliards de dollars.
« Statut : effacé »
« Je ne cherche aucun gain financier ou
personnel. Je veux simplement pouvoir aller sur Facebook sans me soucier
du traitement de ma vie privée », justifie-t-il. Lors de son
échange universitaire en Californie, l’an dernier, il a eu l’occasion de
rencontrer des responsables de Facebook et de parler avec eux des
différences de législation entre les États-Unis et l’Europe en matière
de protection de la vie privée. Les premiers sont très laxistes, et le
vieux Continent beaucoup plus strict. « J’ai écrit un
article sur ce sujet, et j’ai alors découvert que tous les utilisateurs
de Facebook vivant en dehors des États-Unis et du Canada étaient liés
par contrat à Facebook Irlande », une société « qu’ils ont probablement installée là pour bénéficier d’une fiscalité avantageuse ». Hors Amérique du Nord, donc, « Facebook dépend des lois européennes sur la vie privée. Et bien sûr, il ne les respecte pas. » La bataille commence.
Dégainant sa
directive 95/46/CE
qui garantit un tel droit à tout citoyen européen, Max Schrems écrit à
Facebook pour réclamer l’accès à l’ensemble des données le concernant,
via
un formulaire très bien caché
sur le site du réseau. Il doit insister un peu, et finit par recevoir
sur CD-Rom un fichier PDF lourd de plusieurs centaines de mégaoctets et
long de 1222 pages. Avec les quelques étudiants qui l’accompagnent dans
sa démarche, il a créé le site «
Europe versus Facebook » pour partager ses découvertes et expliquer aux internautes
comment faire de même. Il y publie son dossier PDF après l’avoir anonymisé, et
liste très précisément le type d’informations stockées par Facebook pour chacun de ses membres.
Facebook
connaît bien sûr la liste d’amis liée à un profil, mais conserve
également le nom de tous les prétendants refusés. Puisque leur demande a
été rejetée, il y a des chances non négligeables ces personnes soient
totalement étrangères à l’internaute en question. Mais Facebook conserve
tout de même, pour une durée indéterminée, la trace d’un lien virtuel
entre ces individus étrangers l’un à l’autre.
Même
son de cloche du côté des « événements ». Facebook garde la liste
complète des invitations adressées à un membre depuis la date de son
inscription, quelle qu’ait été sa réponse. S’il a dit qu’il viendrait à
la soirée, Facebook le sait. S’il a dit « non » ou « peut-être », idem.
S’il n’a pas répondu parce qu’il ne se sentait pas concerné par cet
événement, Facebook retient qu’il n’a pas répondu mais qu’il était
invité.
Les
messages sont sans doute l’aspect le plus scandaleux du dossier.
Courriers privés et tchats entre amis sont tous archivés dans le même
système de messagerie sur Facebook et y restent pour toujours. Le bouton
« Supprimer » n’a qu’une fonction cosmétique : il permet de masquer le
message aux yeux de l’internaute, mais reste sur les serveurs de
Facebook avec la mention
« statut : effacé ».
Même
subterfuge pour les statuts, les pokes... et les tags de photos : ils
sont indélébiles sur les serveurs. Quand un membre de Facebook décide de
marquer la présence d’un autre membre sur une photo, le consentement de
ce dernier n’est pas requis. Il peut retirer le « tag » après coup s’il
ne souhaite pas être associé à l’image, mais celui-ci devient
simplement invisible sur le site. Facebook garde la trace du lien entre
la personne et la photographie.
Que de réjouissances, encore, au chapitre « Machines » du dossier !
« Facebook
place un fichier “cookie” sur chaque ordinateur qui se connecte au
site. Outre le traçage des internautes, ils s’en servent aussi pour
créer des liens entre les utilisateurs et leurs ordinateurs. Ils ont une
liste complète des ordinateurs qu’une personne a utilisés pour aller
sur Facebook, et une liste de toutes les personnes ayant utilisé un même
ordinateur pour aller sur Facebook. » En clair, Facebook sait qui
fréquente qui, au travail ou à domicile, y compris parmi les personne
n’étant pas « amies » sur le réseau social.
Quant
au chapitre « Checkins », il liste tout simplement toutes les
connections d’un internaute à Facebook depuis son inscription. Chaque
checkin est associé à un numéro unique, une date, une heure, une longitude et une latitude.
« Shadow profiles »
À la page 3 de son dossier, Max Schrems a froncé les sourcils. « Il y avait des adresses e-mail que je n’ai jamais communiquées à Facebook, raconte-t-il à Ecrans.fr. Et pourtant il les connaissait ! »
Étrange, très étrange. Il soupçonne l’outil « Rechercher des amis »,
qui permet d’importer son carnet d’adresses sur Facebook et donc de
fournir au réseau ce genre de coordonnées. Une de ses connaissances
aurait ainsi enrichi le profil de Schrems sans même en avoir conscience.
Puis il fait le lien avec une autre bizarrerie. « Quand
on invite à un événement quelqu’un qui n’est pas sur Facebook, il faut
rentrer son adresse e-mail. Cette personne reçoit alors un courrier
l’encourageant à s’inscrire sur le réseau, avec le nom et la photo de
tous les gens que Facebook pense qu’il peut connaître. » On comprend
que Facebook ait fait le lien entre l’émetteur de l’invitation et son
destinataire, mais comment peut-il suggérer dix autres connaissances
potentielles ? Pour Max Schrems, il n’y a qu’une possibilité : ce
non-inscrit dispose d’une fiche secrète sur Facebook — un « shadow profile » alimenté par les membres du réseau.
Quand on tape un nom dans le moteur de recherche, que
l’on synchronise son mobile ou son carnet d’adresses avec le réseau
social, toutes les informations grappillées seraient ainsi conservées et
recoupées entre elles de manière automatique. Facebook pourrait ainsi
piocher dans ces « shadow profiles » pour envoyer des e-mails très
personnalisés aux internautes non inscrits.
Entre mi-août et mi-septembre, Max Schrems a adressé exactement
22 plaintes
au Commissaire irlandais à la protection des données — une pour chaque
point de fonctionnement de Facebook qu’il estime être illégal. Six
d’entre elles concernent les informations que Facebook conserve alors
que l’internaute les croit supprimées. D’autres dénoncent la
reconnaissance faciale, le système de « tags » sur les photos ou encore
les conditions d’utilisation du site, floues et trop souvent changées.
Les fiches secrètes sur les non-membres du réseau sont particulièrement
problématiques :
« Facebook Irlande rassemble une
quantité excessive d’informations sur les non-membres sans les en
informer ni leur demander leur consentement », accuse la plainte.
Max Schrems est optimiste : « Dans une
interview, le Commissaire a dit que si le contenu qu’on « supprime » de
Facebook n’est pas réellement effacé, c’est bien illégal. Donc on est
plutôt sûrs de nous : on va gagner cette bataille. » L’enquête a débuté cette semaine et les résultats devraient être connus d’ici la fin de l’année.
Source :
http://www.ecrans.fr/Facebook-la-memoire-cachee,13424.html
