Le montant exact de l’amende avait été révélé par la presse onze jours plus tôt. La Federal Trade Commission (FTC), l’autorité de la concurrence américaine, l’a officiellement confirmée mercredi 24 juillet : Facebook va payer 5 milliards de dollars d’amende (4,43 milliards d’euros) aux Etats-Unis pour avoir mal protégé les données de ses utilisateurs.

Cette sanction-record s’accompagne d’un accord entre Facebook et la FTC, dont les détails ont été révélés dans le même temps. Cet accord oblige le réseau social à mettre en place de nouvelles mesures de protection et de contrôles indépendants, des conditions d’utilisation et d’accès aux données personnelles des utilisateurs de ses services (qui incluent, outre Facebook, les applications Messenger, Instagram ou encore Whatsapp).

Ces annonces viennent couronner des mois de révélations et de controverses liées au scandale Cambridge Analytica. Cette entreprise britannique, prestataire de la campagne présidentielle de Donald Trump, avait récolté les informations de 87 millions d’utilisateurs de Facebook (dont des Américains) sans leur consentement, qui ont ensuite servi à l’entreprise à faire du marketing électoral. Ce scandale, qui a plongé Facebook dans la tourmente, avait, en avril 2018, conduit la FTC à lancer une enquête sur le sujet.

Un comité indépendant de protection de la vie privée

Parmi les mesures annoncées mercredi dans le cadre de l’accord : la création d’un nouveau comité indépendant sur la protection de la vie privée, qui sera constitué de personnalités extérieures à Facebook. Les membres de ce comité « doivent être indépendants et seront nommés par un comité de nomination indépendant. Les membres ne peuvent être licenciés que par une majorité des membres du conseil d’administration de Facebook », précise la FTC dans son communiqué.

Dans son propre communiqué sur le sujet, l’entreprise explique également qu’elle va procéder à des audits internes réguliers, afin de vérifier que les services de Facebook respectent la confidentialité et l’intégrité des données personnelles de ses utilisateurs. Certains de ces rapports devront être directement soumis, chaque trimestre, au nouveau comité indépendant de protection de la vie privée, ainsi qu’à Mark Zuckerberg en personne.

Sur son profil, le fondateur et dirigeant de Facebook a réagi en évoquant des « changements structurels majeurs sur la manière de concevoir des applications, et de diriger l’entreprise », induits par l’accord passé avec la FTC. Mark Zuckerberg précise :

« Quand nous lancerons un nouveau service qui requiert un accès aux données des utilisateurs, ou quand nous modifierons un service déjà existant d’une manière où il aura un nouvel accès aux données utilisateurs, nous devrons documenter tous les risques potentiels induits par ces changements, et les mesures que nous avons prises pour les réduire. Ces démarches importantes vont nécessiter le travail de centaines d’ingénieurs, et d’un peu plus d’un millier de personnes en tout au sein de notre entreprise. Nous estimons, par conséquent, qu’en respectant ce processus, lancer un nouveau produit nous prendra plus de temps. »

Facebook a également précisé qu’il allait ajouter des fonctionnalités permettant aux utilisateurs de mieux contrôler les accès à leurs données personnelles.

L’entreprise a enfin annoncé, la même journée, qu’elle allait restreindre les accès aux données personnelles d’utilisateurs fournis à des dizaines de partenaires qui ont développé dans le passé des applications s’appuyant sur un profil Facebook pour fonctionner. Ces partenaires n’auraient plus dû avoir accès aux données de profils Facebook dans le cadre de ces applications depuis la fin 2018 : mais Facebook a admis qu’un bug aurait pu permettre à certains d’entre eux de continuer à accéder à ces données.

Des remèdes contestés

Dans son communiqué, la FTC s’est certes félicitée d’avoir mis en place un nouveau comité indépendant qui va supprimer, selon elle, « le contrôle absolu du PDG de Facebook sur les décisions affectant la confidentialité des utilisateurs ».

Mais la teneur de la décision et l’efficacité des remèdes proposés sont contestées. En témoigne la courte majorité avec laquelle la FTC s’est prononcée sur ces décisions : 3 voix contre 2. Les deux commissaires démocrates ont ainsi publié des déclarations marquant leur désaccord, à l’image de Rebecca Kelly Slaughter, qui explique :

« Bien que la décision soit historique, pour la soutenir il faudrait que j’aie confiance dans sa capacité à dissuader Facebook de violer à nouveau la loi dans le futur. Ce n’est pas le cas. »

La commissaire estime qu’il aurait fallu, plutôt que de sceller un accord, « poursuivre en justice Facebook et son PDG Mark Zuckerberg ». Mme Slaughter estime aussi que l’immunité accordée dans le deal aux dirigeants de Facebook est « trop large ». M. Zuckerberg et ses collaborateurs ne pourraient ainsi être inquiétés pour des faits antérieurs à juin 2019, alors que « pas une semaine ne passe sans un nouvel article révélant des agissements potentiellement illégaux de Facebook », regrette-t-elle.

Un montant « insuffisant »

Mme Slaughter dénonce aussi un accord qui n’impose pas de limites contraignantes à la collecte de données réalisée par Facebook dans le cadre de ses services, ou la façon dont l’entreprise peut transférer des informations à des tiers. Des restrictions auraient dû être imposées, et devraient aussi concerner les échanges de données entre Facebook et ses filiales Whatsapp et Instagram, que M. Zuckerberg veut justement rapprocher, estime la commissaire.

Rohit Chopra, autre commissaire démocrate de la FTC, qui a aussi voté contre la décision, a également déclaré :

« L’accord proposé fait bien peu pour changer le modèle économique de publicité comportementale de Facebook ou ses pratiques. »

Mme Slaughter estime enfin le montant de l’amende « insuffisant » et inapte, notamment, à « éliminer les bénéfices tirés des violations ». « Facebook gagne quasiment 5 milliards de dollars par mois », a-t-elle rappelé.