Protection des données personnelles : La crise Facebook/Cambridge Analytica va-t-elle marquer un net tournant ?

Les GAFA (mais aussi tous les acteurs numériques ayant fait de la collecte de données personnelles un juteux marché) ont toujours été vent debout contre tout cadre réglementaire qui leur ajouterait des contraintes plus fortes dans l’obtention et l’usage commercial des traces numériques des internautes. Pourtant, le 25 mai prochain, la donne législative va bouger dans toute l’Union européenne avec l’entrée en vigueur du nouveau Règlement Général de la Protection des Données (RGPD). Celui-ci vise à mieux protéger les informations que les usagers du Web laissent volontairement ou à leur insu durant leur navigation digitale. La crise que traversent Facebook et Cambridge Analytica devrait accélérer cette prise de conscience. Les communicants sont les premiers concernés. Pourquoi ?

Déjà sous la mitraille de nombreuses critiques pour sa gestion aléatoire des données personnelles de ses utilisateurs, Facebook se serait volontiers épargné l’épisode Cambridge Analytica. Un épisode qui jette une lumière crue sur le petit monde pas toujours ragoûtant et parfois borderline de l’exploitation commerciale du Big Data. L’affaire est en effet loin d’être anodine même si elle ne surprend pas les experts du secteur qui dénoncent déjà depuis plusieurs années les dérives des uns et le laxisme des autres dans la gestion et la protection des empreintes digitales des internautes. Dans ce dossier, il n’y a nul piratage à l’origine de la crise mais un simple universitaire anglo-russe, Aleksandr Kogan. Ce dernier avait mis au point un test psychologique basé sur l’exploitation des données individuelles d’utilisateurs Facebook dans le cadre d’une étude académique. Le fruit de ces recherches incluant un fichier estimé à 50 millions de comptes Facebook américains a été alors transmis illégalement à l’agence d’analyses de données et de conseil en communication, Cambridge Analytica. Laquelle a ensuite appliqué ses propres modèles algorithmiques pour cerner précisément les intentions de vote des profils recueillis, cibler ces derniers à des fins politiques (en l’occurrence, la campagne électorale de Donald Trump en 2016) sans que les principaux intéressés ne soient au courant à aucun moment. Bienvenue dans le monde des données brassées sans votre consentement ou presque.

Une brève histoire de la perception des données numériques

Pour mieux comprendre pourquoi Facebook (mais la crise aurait pu s’abattre sur d’autres géants du Web) en est arrivé à ce point de rupture, il faut quelque peu remonter le fil chronologique et culturel de l’usage des informations personnelles qu’un tiers peut récolter. En Europe, mais surtout en Allemagne et en France, l’exploitation des données personnelles (surtout depuis que les GAFA en ont fait leur pétrole algorithmique et commercial) a toujours fait l’objet d’une surveillance accrue et de nombreuses passes d’armes entre les régulateurs nationaux et les géants du Web. Pour une raison historique entre autres. Dans le passé des deux pays, les fichiers d’individus ont effectivement largement contribué à la perpétuation de crimes de masse comme le fichage des Juifs et l’extermination qui s’en est ensuivie dans les camps de concentration. D’où une extrême sensibilité sur le sujet qui a perduré et qui perdure encore de nos jours. La crainte du « Big Brother is watching you » n’est pas une lubie sortie de nulle part.

En revanche, les Etats-Unis (et globalement le monde anglo-saxon) ont toujours nourri une attitude nettement plus décontractée et à vocation utilitaire et mercantile de la donnée. Avant même l’apparition des services Web et des médias sociaux, le consommateur américain n’a jamais vraiment rechigné à confier des données persos en échange par exemple de coupons de réduction dans un supermarché, des services préférentiels, etc. D’où un cadre juridique longtemps plus flou que celui bâti Outre-Atlantique et un intense lobbying des GAFA par la suite pour maintenir cette situation. Tant la data informatique est le nerf de la guerre sans merci qu’ils se livrent entre eux pour conquérir toujours plus d’abonnés, disposer de toujours plus de puissance algorithmique gavée aux données et au final pour s’imposer toujours mieux en matière de publicité en ligne pour les annonceurs et autres services personnalisés.

La perception des données évolue dans l’opinion publique

Ce sont les données qui ont permis à Google, Facebook, Amazon, Apple et consorts d’asseoir leur omnipotence sur le Web. Si en Europe, ceux-ci ont souvent été regardés d’un œil suspicieux malgré leurs discours lénifiants en matière de protection de la vie privée de ses utilisateurs, la question s’est largement moins posée aux USA. Jusqu’à ce jour du 6 juin 2013 où un informaticien spécialisé en sécurité dénommé Edward Snowden décide de révéler ce qu’il a appris du temps de sa collaboration avec la NSA (National Security Agency), qui effectue du renseignement informatique pour le compte du département de la Défense des Etats-Unis. A la documentariste Laura Poitras et au journaliste du Guardian Glenn Greenwald, il confie des dizaines de milliers de documents émanant de la NSA et décrivant le programme de surveillance massif de l’agence américaine. C’est l’électrochoc au sein de l’opinion publique américaine (mais aussi dans le monde entier) qui découvre ainsi que la NSA dispose d’accès secrets sur les serveurs des géants du Web (bien que ceux-ci s’en défendent encore) et collecte des masses d’informations sur les citoyens américains.

Dès lors, la perception des données personnelles va commencer à évoluer aux Etats-Unis. Des collectifs, des associations, des médias, des juristes et des élus politiques s’intéressent de plus en plus à la façon dont ces données sont traitées, comment elles sont protégées, jusqu’où elles font l’objet de transactions pécuniaires et pour quels objectifs. De surcroît, la suspicion va enfler à mesure que les cyber-piratages et les intrusions malveillantes se multiplient en parallèle dans les serveurs de grandes entreprises qui se voient dépouillées de leur data comme les numéros de cartes bancaires de leurs clients, leurs habitudes de consommation et même des informations à caractère médical, politique, religieux, sexuel, etc. Or, la communication autour de ces faits à répétition est souvent empreinte d’opacité, de silence ou d’aveu à retardement comme par exemple Yahoo qui mettra des années à reconnaître qu’il s’est fait subtiliser à plusieurs reprises les codes d’accès de ses utilisateurs par des hackers. Dans pareil contexte, il n’est donc guère étonnant que le thème des données personnelles soit devenu un enjeu de communication énorme. Y compris (et surtout) pour ceux qui en recueillent et s’en servent pour conquérir des marchés et des clients.

L’affaire Facebook, un tournant crucial ?

Ce que le New York Times et l’Observer viennent de mettre à jour avec l’usage frauduleux de données issues de Facebook fait par la compagnie Cambridge Analytica, n’est ni plus ni moins du même ordre que le scandale Snowden. Plus encore que la surveillance à grande échelle instaurée par la NSA, on y apprend des choses encore plus effarantes comme le raconte Fabrice Epelboin, un expert familier des arcanes informatiques mondiales (1) : « Ils ont monté un système qui consiste à faire une psychanalyse via le big data de chaque utilisateur de Facebook. On appelle ça le ciblage psychométrique. Et ensuite, ils ont distribué la bonne information à la bonne personne. Imaginons que vous êtes démocrate et que vous avez voté Bernie Sanders : on va vous transmettre un mail avec les accusations de tricherie contre Hillary Clinton lors des primaires afin de vous inciter à l’abstention (…) Dans la même logique, si vous êtes républicain, un peu paranoïaque, un peu dépressif, on va pousser la news qui va vous promettre de construire un mur pour vous protéger des Mexicains ». Tout cela grâce au croisement psychométrique et algorithmique de données de millions de comptes Facebook. Forcément, la confiance ne pouvait qu’être rompue à l’égard de la plateforme de Menlo Park qui doit désormais faire face à une fronde digitale planétaire baptisée « Delete Facebook » !

La sanction n’a d’ailleurs guère tardé à tomber. Outre une communication de crise totalement à la dérive avec Mark Zuckerberg et Sheryl Sandberg aux abonnés absents pendant plusieurs jours après les révélations des deux journaux, la capitalisation boursière de Facebook est passée de 540 milliards de dollars avant la crise à environ 480 millions (2), entraînant de plus dans sa chute un recul boursier de Google, autre grand consommateur devant l’éternel de données personnelles. De part et d’autre de l’Atlantique, les régulateurs s’en mêlent. Ainsi aux USA, la FTC (Commission fédérale des télécommunications) fait part de son intention d’enquêter et ressort du tiroir en guise d’avertissement, un décret de 2011 où un réseau social doit notifier et obtenir l’autorisation explicite d’un utilisateur pour que ses données fassent l’objet d’autres usages. Il est même prévu à chaque manquement une amende de 40 000 dollars (3). A raison de 50 millions de profils concernés, l’addition pourrait être corsée ! Gros investisseur de la Silicon Valley, Roger McNamee n’est guère tendre pour Facebook (4) : « Le problème, c’est le mépris insensé pour les droits des utilisateurs à la vie privée et une indifférence vis-à-vis du respect des données que les utilisateurs ont confiées à Facebook ».

RGPD kesako ?

Une pareille affaire ne pouvait constituer plus belle aubaine et publicité pour le nouveau Règlement Général de la Protection des Données (RGPD) qui entre en application le 25 mai prochain parmi les 28 états membres de l’Union européenne. Pour précisément faire face aux évolutions technologiques et à la complexification de la gestion des données personnelles, le législateur entend renforcer la protection des individus et des données qui leur sont liées. Le site spécialisé Numérama souligne notamment les avancées contenues dans le nouveau texte (5) : « Il faut par exemple que les entreprises récoltent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles, ou qu’ils s’assurent que les enfants en-dessous d’un certain âge aient bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social. Le RGPD inclut aussi une reconnaissance d’un droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données, pour pouvoir passer d’un réseau social à l’autre, d’un FAI à l’autre ou d’un site de streaming à l’autre sans perdre ses informations, le droit d’être informé en cas de piratage des données. Les internautes pourront aussi être défendus par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données ».

Même si l’on pense spontanément aux GAFA qui brassent des zétabytes de données, ce texte concerne toutes les entreprises, y compris les plus petites.  Si des données personnelles originaires de l’UE sont extraites, stockées et réutilisées par quiconque (même s’il n’est pas géographiquement implanté dans cette même UE), les traitements informatiques doivent être déclarés. Dans le cas contraire, la loi prévoit des sanctions financières allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent. Autant dire qu’avec des montants si élevés, le risque s’accroît pour les géants du Web dont la data est l’oxygène digital irremplaçable. Certes, le texte ne va pas résoudre à lui tout seul les dérives ou les contorsions que d’aucuns vont probablement tenter tant il peut s’avérer compliqué de constater concrètement l’infraction. Néanmoins, le scandale Facebook montre que les fuites existent et peuvent alors entamer sérieusement le crédit réputationnel de l’entreprise qui sort des clous ou qui ferme les yeux. Tout récemment, le New York Times vient d’ailleurs d’annoncer que le chef de la sécurité chez Facebook, Alex Stamos, serait sur le point de partir (6). Il aurait exprimé son désaccord sur la façon dont la plateforme sociale aurait manqué de transparence envers le public sur le fait que deux milliards d’utilisateurs ont été utilisés pour viraliser la propagande russe pendant l’élection présidentielle de 2016

Et pourtant le consommateur n’est pas irrémédiablement opposé

L’utilisation des données personnelles par des géants du Web ou des tiers était déjà un sujet brûlant depuis de nombreuses années. Aujourd’hui, c’est Facebook qui se trouve dans l’œil du cyclone mais des acteurs comme Google, voire Amazon, ont déjà vécu des avatars similaires. En France, on ne compte plus le nombre d’amendes à six chiffres que la CNIL (Commission Nationale Informatique et Liberté) a infligées à Google pour ces manquements répétés sur la protection des données individuelles. Or, la question va encore plus se poser avec acuité à l’heure où les assistants personnels connectés de Google et Amazon se déploient progressivement dans les domiciles des particuliers. Là aussi, les petites enceintes vont à leur tour capter encore un peu plus de l’intimité quotidienne de ses utilisateurs. Il sera alors du ressort de ces deux entreprises (comme bien d’autres) de faire preuve de plus de proactivité et de transparence sur les données enregistrées si elles veulent maintenir une certaine confiance.

En effet, les consommateurs ne sont pas irrémédiablement opposés à la collecte de données par une entreprise commerciale ou autre. Au cours du 14ème palmarès de la Relation Client 2018 dévoilé en mars 2018, Kantar TNS et BearingPoint ont fortement souligné que l’enjeu pour les sociétés demeure celui-ci (7) : « Oser collecter la donnée intime de leurs clients, oser les nouvelles technologies et […] les approches différenciées selon le profil des clients ». Autre enseignement apporté : les consommateurs sont en demande de personnalisation. Ils sont 67% à être attentifs à des offres personnalisées et même plus de 50% à être prêts à partager plus de données personnelles, y compris médicales (8). On le voit donc. Ce n’est pas tant la collecte des données qui pose problème au sein de l’opinion publique (y compris en Europe où la sensibilité est plus affirmée) que la communication des entreprises qui est faite (ou pas) autour de l’usage des données et du choix offert à l’internaute de confier ou ne pas confier en toute connaissance de cause. Sur ce point, il est clair que les GAFA ne brillent pas par leur empressement à se positionner sur cette attente. Bien que çà et là, ils aient ponctuellement mis en place quelques outils en ce sens (comme le Google Dashboard/My Account qui permet en principe à l’utilisateur de définir ce qu’il laisse voir ou pas sur les services de Google), l’ensemble reste nébuleux.

Pourtant, cela serait une grave erreur de persister à jouer entre les interstices. Plus des crises comme celle de Snowden et la NSA ou comme Facebook et Cambridge Analytica surviendront, plus la confiance s’ébréchera envers toute entité ayant décidé que les données persos étaient de facto leur propriété. La donne n’est pas (n’est plus) aussi binaire. D’ailleurs, des réseaux sociaux communiquant largement sur la protection des données (voire l’anonymisation renforcée) connaissent un regain d’intérêt auprès des consommateurs. Fondateur du réseau social Whaller, Thomas Faure confirme (9) : « On constate depuis trois jours une hausse des inscriptions avec des milliers d’abonnements au lieu de quelques centaines habituellement ». Les plus réfractaires ou les durs d’oreille pourront toujours prétendre qu’il s’agit là d’un contrecoup éphémère et que le cours des choses reprendra comme avant. Ce point est loin d’être acquis. Même si la gestion des données personnelles n’est pas toujours chose aisée à comprendre, leur mauvaise utilisation ou l’absence de communication vertueuse sur ce thème vont engendrer des pressions réputationnelles beaucoup plus exigeantes. Souvenez-vous ! Il y a 25 ans, la protection de l’environnement faisait sourire dans les comités de direction et faisait essentiellement l’objet de « greenwashing ». Aujourd’hui, elle est un levier intrinsèque de business et de responsabilité sociétale. Scruté de surcroît par des ONG et des associations citoyennes. Les données personnelles numériques sont dorénavant du même registre.

Sources

– (1) – Cyril Simon – « Scandale Facebook : «Pas besoin de fake news pour manipuler l’opinion publique» – Le Parisien – 19 mars 2018
– (2) – Elsa Conesa et Alexandre Counis – « Facebook mis en cause des deux côtés de l’Atlantique » – Les Echos – 21 mars 2018
– (3) –Anaïs Moutot – « Comment s’est faite l’exploitation des données aspirées » – Les Echos – 21 mars 2018
– (4)– Aymeric Renou et Cyril Simon – « La colère des utilisateurs de Facebook » – Le Parisien – 22 mars 2018
– (5) – Julien Lausson – « RGPD : 10 questions pour comprendre le nouveau règlement sur la protection des données » – Numérama – 15 février 2018
– (6) – Nicole Perlroth et Sheera Frenkel – « The End for Facebook’s Security Evangelist » – New York Times – 20 mars 2018
– (7) – Thomas B. – « Quelles sont les marques qui ont la meilleure relation client en France ? » – La Réclame – 16 mars 2018
– (8) – Ibid.
– (9) – Aymeric Renou et Cyril Simon – « La colère des utilisateurs de Facebook » – Le Parisien – 22 mars 2018