Des chercheurs ont prouvé que certaines données personnelles étaient utilisées à des fins publicitaires alors qu’elles n’étaient pas censées l’être.

Des chercheurs ont prouvé que certaines données personnelles étaient utilisées à des fins publicitaires alors qu’elles n’étaient pas censées l’être. / NICOLAS SIX / QUENTIN HUGON / « LE MONDE »

Facebook le martèle sans cesse ces derniers mois : ses utilisateurs peuvent contrôler les données personnelles qu’ils fournissent au réseau social et la manière dont elles sont utilisées.

Ça, c’est la théorie. En pratique, des chercheurs des universités américaines de Northeastern et de Princeton ont découvert et prouvé que Facebook utilisait des informations que leurs utilisateurs n’avaient pas consenti à donner ou n’avaient pas fournies à des seules fins de sécurité, pour cibler leurs publicités.

Les informations que les utilisateurs n’ont pas fournies

Facebook offre aux entreprises qui veulent afficher des publicités via le réseau social une fonctionnalité très puissante : Audience personnalisée. Google et Twitter proposent des fonctionnalités similaires. Cette dernière permet aux entreprises de montrer leurs publicités Facebook à des utilisateurs qu’elles connaissent par ailleurs, par exemple les clients qui figurent dans leurs fichiers.

Par ailleurs, Facebook propose à ses utilisateurs d’aspirer le carnet d’adresses de leur téléphone – qui comprend des adresses e-mail, des noms, des numéros de téléphone – afin d’aider ces derniers à trouver qui de leurs contacts téléphoniques est également sur Facebook.

Il était connu que Facebook récoltait ainsi sur ses utilisateurs des informations que ces derniers ne leur avaient pas directement données. Mais les chercheurs ont prouvé que Facebook utilisait ces informations pour mieux cibler les publicités à la fois directement sur le réseau social mais plus généralement sur tous ses services, en premier lieu Instagram.

Imaginons un scénario fictif : Marc Montdesucre dispose d’un compte Facebook, associé à une adresse e-mail personnelle. Il n’aime pas trop l’idée que Facebook connaisse son numéro de téléphone et ne l’a donc jamais renseigné dans son profil. Mais son amie, Jeanne Picdesable, a donné à Facebook le contenu de son répertoire téléphonique, dans lequel figure le numéro de téléphone de Marc et son adresse e-mail. Facebook a tout de suite reconnu Marc grâce à cette adresse e-mail et connaît donc désormais son numéro de téléphone. Il se trouve que Marc est client du site Chaussurespascheres.fr, à qui il a donné son numéro de téléphone pour être informé d’une livraison. Or, ce site a décidé de lancer une campagne de publicité grâce à Audience personnalisée et décide donc de donner à Facebook les numéros de téléphone de ses clients afin que le réseau social leur affiche la publicité pour les nouvelles offres de Chaussurespascheres.fr directement sur Facebook. Marc se retrouve à voir la publicité de Chaussurespascheres.fr sur Facebook à cause d’un numéro de téléphone qu’il n’a jamais donné volontairement au réseau social.

Lire aussi : 26 % des Américains disent avoir supprimé l’application Facebook

Facebook l’explique très clairement : il n’est pas possible de désactiver ce type de ciblage publicitaire dans les paramètres. Les utilisateurs de Facebook ne peuvent même pas savoir quelles données personnelles ont été récupérées par le réseau social sans leur consentement. « Les gens sont propriétaires de leurs carnets d’adresses », a expliqué un porte-parole de Facebook au site spécialisé Gizmodo, qui a révélé le travail des chercheurs. Facebook a ainsi assuré que n’importe quel utilisateur qui aurait envoyé son carnet d’adresses à Facebook peut le supprimer tout en reconnaissant qu’il était, en revanche, impossible pour un internaute, y compris s’il ne dispose pas de compte Facebook, de faire supprimer les données personnelles confiées à Facebook par un tiers, un ami ou une entreprise. Ce profil en négatif, constitué d’informations qui n’ont pas été données directement par l’utilisateur constitue ce qui a été surnommé le shadow profile (profil fantôme). C’est la première fois qu’il est avéré que ce shadow profile est utilisé par Facebook pour de la publicité ciblée.

Des données fournies à des fins de sécurité

Il ne s’agit pas de la seule découverte des chercheurs. Il est possible de donner à Facebook son numéro de téléphone pour activer un mécanisme de sécurité antipiratage appelé « authentification à deux facteurs ». Pour se connecter, un utilisateur doit alors à la fois saisir un mot de passe mais également un code envoyé sur son téléphone mobile.

Facebook avait assuré ne pas utiliser ce numéro de téléphone à des fins de ciblage publicitaire, explique Gizmodo. Faux, rétorquent les chercheurs, qui ont constaté qu’un numéro connu de Facebook uniquement par le biais de ce mécanisme de sécurité était disponible, vingt-deux jours plus tard, pour servir de critère à un ciblage publicitaire.

Lire aussi : Comment l’empire Facebook a métamorphosé Instagram

Lorsqu’un utilisateur Facebook entre son numéro de téléphone pour activer la protection supplémentaire, le réseau social ne précise pas qu’il pourra être utilisé à des fins publicitaires.

A Gizmodo, Facebook a expliqué que les utilisateurs pouvaient utiliser l’authentification à deux facteurs sans donner leur numéro de téléphone. Il est, en effet, possible de configurer une application sur son téléphone pour fournir les chiffres ou bien d’utiliser une clé physique, les deux options étant, de surcroît, plus pratiques et plus sûres.