Le « New York Times » a épluché des centaines de documents internes de Facebook. / Richard Drew / AP

A quel point Facebook, ces dernières années, a-t-il donné à des entreprises extérieures l’accès aux données de ses utilisateurs ? La question est devenue centrale, depuis le scandale Cambridge Analytica, qui a démontré que, au cours de son développement tous azimuts dans les années 2010, l’entreprise a pu laisser exploiter par des entreprises tierces des données personnelles de membres de Facebook, parfois sans qu’ils soient pleinement conscients de l’usage réel, ou possible, des informations qu’ils mettaient en ligne en utilisant le réseau social.

Dans une enquête publiée mardi 18 décembre, le New York Times ajoute sa contribution à la compréhension du phénomène. Le quotidien américain a eu accès à des centaines de documents internes de Facebook, lui permettant d’établir avec plus de précisions les contours de partenariats menés entre le réseau social et d’autres grandes entreprises du numérique, leur donnant accès à des données d’utilisateurs. Cette enquête s’appuie également sur une cinquantaine de témoignages d’anciens employés de Facebook ou de ses partenaires.

A quelles données avaient accès les partenaires de Facebook ?

Cette enquête donne ainsi une liste de partenariats noués avec d’autres géants du numérique, qui étaient toujours actifs en 2017, certains plus récemment encore, selon le New York Times. « La plupart sont désormais clos », assure Facebook dans un communiqué en réponse à la publication de l’article.

Dans le détail, l’enquête du New York Times indique que :

• Netflix, Spotify et la Royal Bank of Canada ont eu accès aux messages privés de leurs utilisateurs sur Facebook ;
• Amazon, Microsoft et Sony ont pu obtenir les informations de contact des amis de leurs utilisateurs, comme leurs e-mails ;
• Yahoo! avait accès aux publications des amis de ses utilisateurs ;
• Apple a été autorisé à accéder aux contacts Facebook d’utilisateurs de produits Apple, même ceux ayant désactivé le partage de données ;
• Facebook a récupéré des données sur ses utilisateurs provenant d’Amazon, Yahoo! ou encore Huawei afin de leur suggérer de nouveaux « amis » qu’ils pourraient connaître.

Selon le New York Times, des partenariats de ce type ont existé avec plus de 150 entreprises fournissant des services ou du matériel massivement utilisés par le grand public, dont les plus anciens datent de 2010.

Ces partenariats étaient-ils justifiés ?

La plupart des accès accordés par Facebook à ses partenaires permettaient, selon le réseau social, de faire fonctionner certains services. Par exemple, explique le réseau social, si le service de streaming musical Spotify avait accès aux conversations privées, c’était pour permettre aux utilisateurs de s’échanger des morceaux de musique par ce canal. Les services de Facebook étant entremêlés à de nombreuses autres plates-formes, des accès aux données existent, ou ont existé, pour leur permettre de fonctionner.

Facebook défend ainsi l’utilité de ces partenariats :

« Les utilisateurs pouvaient accéder à leur compte Facebook ou à des fonctionnalités Facebook sur des appareils ou des plates-formes créés par d’autres entreprises comme Apple, Amazon, BlackBerry et Yahoo!. (…) Les gens ont pu bénéficier de plus d’expériences sociales – comme voir les recommandations de leurs amis Facebook – sur d’autres apps et sites populaires, comme Netflix, le “New York Times”, Pandora et Spotify. »

La question qui peut se poser est celle de l’usage réel que ces entreprises ont fait de ces données : s’il a été circonscrit à l’objectif initial ou si des données ont pu être, par exemple, aspirées et stockées à d’autres fins – comme dans le cas du scandale Cambridge Analytica, qui a sérieusement écorné l’image de Facebook cette année. Une porte-parole de Facebook a assuré au New York Times n’avoir trouvé aucune preuve d’abus. Et Steve Satterfield, responsable des questions de vie privée chez Facebook, a expliqué au quotidien que les partenaires avaient l’interdiction d’utiliser ces données personnelles dans d’autres buts que ceux définis par le contrat

Dans ce cas, quel est le problème ?

Outre les inquiétudes potentielles sur les usages détournés qui auraient pu être faits de l’accès à ces données, deux questions restent délicates à gérer pour Facebook.

Dans certains cas, révèle le New York Times, les accès aux données des utilisateurs ont été laissés ouverts, alors même que les services tiers n’en avaient plus besoin pour leur fonctionnement. Netflix et la Royal Bank of Canada pouvaient, par exemple, toujours accéder, en 2017, aux messages privés Facebook de leurs utilisateurs, bien qu’ils avaient désactivé les fonctionnalités nécessitant cet accès. Une négligence grave, étant donné la sensibilité des données concernées.

Qui plus est, alors que Facebook avait assuré au printemps que les services tiers ne pouvaient plus, depuis 2014, avoir accès aux informations des amis de leurs utilisateurs, le New York Times remarque que certains ont continué à recevoir ce type de données, comme Yahoo!, cet été encore.

L’autre problématique concerne celle du consentement : les utilisateurs avaient-ils donné leur accord pour que leurs données soient rendues accessibles à ces autres entreprises ? Facebook assure que oui, car « vous deviez vous enregistrer avec votre compte Facebook pour utiliser l’intégration proposée par Apple, Amazon ou d’autres partenaires ». Certes, en le faisant, les utilisateurs savaient qu’ils liaient, dans une certaine mesure, leur compte Facebook à ces services. Mais avaient-ils pour autant conscience des droits qui étaient alors précisément accordés à ces entreprises sur leurs données Facebook ? Surtout quand une grande partie de ces entreprises partenaires mentionnées par le New York Times n’apparaissent pas dans le menu des paramètres Facebook permettant aux utilisateurs de contrôler quels apps et sites tiers ont accès à leurs données.