En juillet 2019, Facebook a conclu un accord avec la Federal Trade Commission (FTC) concernant une litanie de violations de la vie privée du géant technologique.

L’accord, approuvé fin avril par la division civile du ministère de la Justice, est particulièrement mémorable pour avoir infligé une amende de 5 milliards de dollars à Facebook. Mais il prévoit également une série de changements dans les mécanismes internes de confidentialité et la culture d’entreprise de Facebook. Six mois après la mise en œuvre de ces améliorations, Michel Protti, responsable de la protection de la vie privée pour les produits de Facebook, et Erin Egan, responsable de la politique de confidentialité, se sont entretenus avec WIRED au sujet de ces efforts qui, selon eux, entraînent des changements concrets.

“J’ai travaillé sur les questions de données et de politique de confidentialité chez Facebook pendant neuf ans, et pendant cette période, j’ai vu de mes propres yeux comment nous avons changé et continuons à nous développer en tant qu’entreprise et à mesure que la technologie évolue”, explique Erin Egan. Elle compare l’accord de la FTC au “passage au mobile” de Facebook en 2012, dans lequel l’entreprise s’est rapidement recentrée sur le développement de tous ses outils et services pour fonctionner nativement sur les smartphones. “C’est quelque chose que nous faisons, quand nous avons des priorités claires, nous avançons rapidement et nous nous adaptons, cela fait partie de notre ADN.”

Le passage actuel au respect de la vie privée, cependant, intervient après plus d’une décennie d’examen minutieux des graves défaillances de Facebook en matière de respect de la vie privée et de partage des données. Les défenseurs de la vie privée et les analystes politiques ont également exprimé leur scepticisme quant aux mandats de la FTC depuis le début, car elle ne prévoit pas de limites générales sur les entités avec lesquelles Facebook peut partager des données ou les types de données que l’entreprise peut collecter. Et une partie importante de l’accord de la FTC laisse les méthodes d’amélioration de la protection de la vie privée à Facebook lui-même, un arrangement douteux étant donné les antécédents de la société.

Dans le cadre de l’accord, Facebook partage avec la FTC des mises à jour trimestrielles et annuelles sur ses progrès ; la société soumet son premier rapport trimestriel à la fin de cette semaine. Ces rapports de conformité sont signés par le PDG Mark Zuckerberg, et l’accord de la FTC comprend une condition selon laquelle “toute fausse certification exposera [Facebook] à des sanctions civiles et pénales individuelles”. Facebook se soumettra également à l’examen d’un évaluateur indépendant, dont le premier commencera la semaine prochaine. Aucun de ces rapports et conclusions ne sera rendu public. La FTC a refusé de commenter cette histoire.

Protti et Egan affirment tous deux que l’entreprise apporte des changements substantiels. Chaque nouvel employé suit désormais une formation pour renforcer le fait que la protection de la vie privée est la responsabilité de chacun dans tous les services. L’entreprise a également commencé à effectuer des évaluations annuelles des risques en matière de protection de la vie privée dans 30 de ses unités commerciales “clés” afin d’identifier les lacunes et les problèmes potentiels et de les corriger – un processus qui, selon Protti et Egan, a déjà permis d’apporter des améliorations. Et le conseil d’administration de l’entreprise dispose désormais d’un comité de protection de la vie privée chargé de superviser et de vérifier les améliorations apportées, ce qui constitue un mécanisme de responsabilisation. “De notre point de vue, nous avons fait d’importants progrès, mais il nous reste encore beaucoup de travail à faire”, déclare Protti. “Nous sommes dans les premières phases d’un effort pluriannuel et continu pour faire évoluer notre culture, nos opérations et nos systèmes techniques afin de respecter la vie privée des gens.”

Michel Protti affirme que l’entreprise a revu son processus d’examen de la protection de la vie privée pour les produits et services qui partagent les données des utilisateurs de manière nouvelle. Un point spécifique de l’accord de la FTC est que Facebook ne peut plus utiliser les numéros de téléphone des clients collectés pour l’authentification à deux facteurs pour la publicité ciblée et pour recommander des amis, une pratique controversée que Facebook a admis seulement après une enquête de Gizmodo en 2018. Selon Protti, Facebook veut non seulement respecter ses obligations réglementaires, mais aussi aller au-delà grâce à des validations techniques, une documentation et des contrôles de mise en œuvre plus solides. Il a souligné l’importance de la collaboration entre les équipes pour s’assurer que les protections de la vie privée d’un produit ou d’une fonctionnalité ne fonctionnent pas seulement comme prévu, mais que la conception elle-même est solide.

En outre, Michel Protti indique que les examens de la protection de la vie privée portent sur des sujets tels que la transparence, les contrôles des utilisateurs et les politiques de conservation des données, le cas échéant. Malgré des années de controverse quasi constante sur la vie privée et l’amende record de la FTC, Michel Protti et Erin Egan soutiennent tous deux que Facebook a déjà construit tous ses logiciels en tenant compte de la vie privée dès le départ, mais que l’entreprise s’engage maintenant plus profondément dans cette maxime. “Ce processus d’examen de la protection de la vie privée, depuis qu’il a été lancé, nous a amenés à retarder le lancement de certains produits, ce qui n’est pas forcément une mauvaise chose”, explique Protti, “car au bout du compte, le plus important est de faire ce qu’il faut pour l’utilisateur final”.

Dans un exemple récent, Protti affirme que Facebook a retardé le lancement de son service Accounts Center, qui offre des fonctionnalités dans toutes les applications de l’entreprise. Une série d’études sur la protection de la vie privée a montré que les contrôles des utilisateurs et les mécanismes de transparence n’étaient pas assez clairs quant aux informations qui seraient utilisées en fonction des fonctionnalités activées ou désactivées. “Nos experts internes ont renvoyé l’équipe produit pour qu’elle révise son plan”, explique Protti. “Et le résultat final a été un centre de contrôle redessiné et, dans l’ensemble, un produit bien meilleur et plus clair. Il a fallu un peu plus de temps pour le lancer, mais nous sommes plus heureux et plus fiers de ce que nous avons construit grâce à cela.”

Selon Protti et Egan, le plus grand défi de la refonte de la politique de confidentialité de Facebook est de communiquer la profondeur de l’engagement de l’entreprise et de s’assurer que tous les utilisateurs comprennent comment leurs données sont utilisées, ainsi que les outils et les contrôles qui sont à leur disposition. “Je me réveille tous les jours en pensant à la façon dont nous pouvons continuer à aider les gens à comprendre que notre modèle d’entreprise est axé sur la protection de la vie privée”, explique Erin Egan. “Il n’a jamais été aussi important et stimulant d’aider le monde à comprendre que la vie privée des gens et les expériences personnalisées que nous créons pour eux ne doivent pas être en contradiction les unes avec les autres. Je pense que certaines entreprises présentent cela comme une publicité personnalisée ou comme un moyen de protéger la vie privée. Et ce n’est pas vrai. Vous pouvez avoir les deux.”

Mais les défenseurs de la vie privée et les chercheurs qui ont étudié les géants technologiques comme Facebook pendant des années ont trouvé une montagne de preuves du contraire. “La vérité fondamentale est que les monopoles capitalistes de surveillance ne peuvent pas être réformés”, déclare Evan Greer, directeur adjoint du groupe Fight for the Future, spécialisé dans les droits numériques et la protection de la vie privée. “L’accord de la FTC bricole sur les bords, mais permet largement à Facebook de se surveiller lui-même, ce dont il a toujours montré qu’il était incapable. Il n’existe pas de solution miracle pour ‘réparer’ Facebook, mais l’accord de la FTC ne fait qu’effleurer la surface. Ce dont nous avons vraiment besoin, c’est que le Congrès adopte une législation fédérale forte sur la protection des données.”

Les analystes politiques soulignent que sans pouvoir voir aucun des rapports que Facebook soumet à la FTC, le public devra avoir confiance dans le fait que le régulateur a un aperçu adéquat de ce qui se passe dans l’entreprise grâce aux rapports certifiés et à l’évaluateur indépendant, et que la FTC tient réellement Facebook pour responsable. De manière générale, la FTC a établi des mécanismes de surveillance similaires dans son accord de 2011 avec Facebook, y compris des audits indépendants périodiques, mais les mesures étaient largement insatisfaisantes. L’Electronic Privacy Information Center a contesté l’accord entre Facebook et la FTC en 2019, mais il a été débouté.

“Je comprends que de tels rapports puissent contenir des données sensibles de l’entreprise, mais tout comme les documents d’évaluation de l’impact sur la vie privée, ils peuvent être modifiés pour pouvoir être publiés”, déclare Lukasz Olejnik, chercheur et consultant indépendant en matière de protection de la vie privée. “Il n’y a aucune raison pour que ces rapports de Facebook ne soient pas publiés sous une forme quelconque.” Zuckerberg a établi une feuille de route solide et convaincante pour le voyage de Facebook vers la protection de la vie privée en 2011, après le premier accord de l’entreprise avec la FTC, y compris l’embauche d’Egan pour rejoindre l’équipe.

“Nous nous engageons clairement et formellement à long terme à faire ce que nous avons toujours essayé de faire et ce que nous prévoyons de continuer à faire, c’est-à-dire vous donner des outils pour contrôler qui peut voir vos informations et vous assurer que seules les personnes que vous souhaitez voir peuvent les voir”, a écrit M. Zuckerberg. “Je me réjouis de travailler avec la Commission à la mise en œuvre de cet accord. J’espère que cet accord montre clairement que Facebook est le leader lorsqu’il s’agit d’offrir aux gens le contrôle des informations qu’ils partagent en ligne.” Deux ans plus tard, deux chercheurs de l’université de Cambridge ont publié une étude sur la manière dont quelqu’un pourrait utiliser les données librement disponibles sur Facebook pour déterminer la personnalité et les préférences des utilisateurs. Cette recherche est devenue le fondement du scandale de Cambridge Analytica.

GQ via Wired

(Source : Social Net Link, 23 octobre 2020)