Facebook condamné à 5 Md $ par la FTC : et après ?

L'amende record de 5 milliards de dollars que Facebook va payer à la Federal Trade Commission américaine (FTC) ne va pas beaucoup entamer les ardeurs du réseau social, toujours déterminé à récupérer le plus de données possible. Sauf dans deux cas précis : la reconnaissance faciale et les numéros de téléphone. L'accord conclu entre Facebook et la FTC est destiné principalement à endiguer les flux de données circulant sur Facebook et l’envoi de ces données à des développeurs tiers. Conformément à l’ordonnance émise par la FTC, acceptée par les deux parties, Facebook a accepté de payer une amende de 5 milliards de dollars et de se soumettre depuis hier à un programme de surveillance étalé sur 20 ans. L’amende sanctionne le refus de Facebook d'adhérer à une ordonnance distincte émise en 2012 par la FTC qui régissait également la confidentialité des données des utilisateurs. Comme beaucoup l'ont fait remarquer, l'amende de 5 milliards de dollars est une petite réprimande : pour le seul premier trimestre 2019, Facebook a enregistré un chiffre d'affaires de 15 milliards de dollars.

Plusieurs changements imposés par la FTC sont structurels, et il est difficile de prédire avec précision leur impact sur l’activité commerciale de Facebook. La restriction la plus importante concerne probablement la création d'un comité indépendant de protection de la vie privée, nommé par le conseil d'administration de l'entreprise, dont les membres ne pourront être révoqués que par une super-majorité du conseil lui-même. C'est important, car Mark Zuckerberg est personnellement propriétaire de la majorité des actions de Facebook, ce qui lui donne le contrôle de l'entreprise. Facebook sera également obligée de désigner des agents de la conformité de la protection de la vie privée, qui devront être approuvés par le comité de protection de la vie privée du conseil d'administration. Ces agents de protection de la vie privée seront responsables de vérifier la bonne application de l'ordonnance de la FTC et fourniront à la Federal Trade Commission des certificats trimestriels attestant que le réseau social respecte les règles. Mark Zuckerberg et le comité de protection de la vie privée feront également l'objet d'une évaluation annuelle par la FTC.

Les restrictions concernant la reconnaissance faciale

Selon l’ordonnance de la FTC, Facebook doit fournir une information claire et visible de son utilisation de la technologie de reconnaissance faciale et obtenir le consentement explicite de l'utilisateur avant toute utilisation qui sort de manière importante du cadre d’usage tel qu’il a été présenté au préalable aux utilisateurs. 

L'impact le plus immédiat et le plus direct sur les utilisateurs de Facebook concerne la reconnaissance faciale et les numéros de téléphone. Les détails du contexte sont précisés dans une plainte distincte intentée par le Département de la Justice des États-Unis contre Facebook, qui réclame des peines civiles en plus de l'amende acceptée par le réseau social. Ce dernier utilise la reconnaissance faciale pour « marquer » les personnes sur les photos. En plus des aspects sociaux, Facebook explique désormais qu'il utilise la reconnaissance faciale pour prévenir un utilisateur quand d'autres utilisateurs téléchargent des photos dans lesquels il apparaît, probablement sans son consentement. Facebook utilise également des photos pour vérifier que l’utilisateur est bien celui qu’il prétend être, dans le cadre de l'autorisation du compte.

Mais avec Facebook, rien n'est jamais simple. Dans sa plainte, le Département de la Justice des États-Unis met en cause les méthodes étape par étape utilisés par Facebook pour convaincre les utilisateurs d'activer la reconnaissance faciale. Ce que conteste le DOJ, c'est que Facebook a activé la reconnaissance faciale de 30 millions d'utilisateurs sans leur consentement, et que 30 millions de nouveaux utilisateurs ont opté pour la reconnaissance faciale sans consentement. Une question restée sans réponse est de savoir si la nouvelle ordonnance de la FTC satisfera le Département de la Justice des États-Unis, dont la plainte distincte a également été déposée mercredi. Une autre question concerne, bien sûr, la façon dont Facebook traitera la reconnaissance faciale pour laquelle un utilisateur a déjà opté. Autre question, enfin : comment Facebook va-t-il anticiper les nouvelles utilisations « matérielles » de la reconnaissance faciale qui demanderont le consentement des utilisateurs.

Les restrictions concernant l’usage du numéro de téléphone

La FTC interdit à Facebook d'utiliser les numéros de téléphone collectés pour activer un dispositif de sécurité (par exemple, authentification à deux facteurs) à des fins publicitaires.

Entre 2015 et 2018, Facebook a encouragé les utilisateurs à s'inscrire à l'authentification à deux facteurs, et celui de l'envoi du code sur mobile. Ce que Facebook n’a pas dit aux utilisateurs, c'est que, selon le Département de la Justice des États-Unis, leur numéro de téléphone était également transmis aux annonceurs. En novembre 2018, Facebook demandait encore aux utilisateurs de fournir un numéro de téléphone pour l'authentification à deux facteurs 2FA sans révéler qu'il transmettait aussi ce numéro aux annonceurs. La FTC ne dit pas grand-chose à ce sujet. Nous ne savons donc pas si la décision mettra fin à cette pratique et si elle obligera aussi Facebook à revenir en arrière et à annuler des actions passées.

Les obligations de Facebook pour la gestion des mots de passe

La FTC demande à Facebook de crypter les mots de passe des utilisateurs et de procéder à des audits réguliers pour détecter si ces mots de passe sont stockés en texte clair. Facebook a interdiction de demander des mots de passe par courriel pour d'autres services quand les utilisateurs s'inscrivent à ses services.

En avril, Facebook a révélé que des centaines de millions de mots de passe étaient stockés dans « un format lisible » sur ses serveurs, et accessibles à ses propres développeurs. La FTC veut y mettre fin. Le règlement de la FTC exige également que Facebook « établisse, mette en œuvre et maintienne un programme complet de sécurité des données ».

Les restrictions concernant la transmission des données utilisateurs aux annonceurs

La FTC demande à Facebook d’exercer une plus grande surveillance sur les applications tierces, y compris sur les apps de développeurs qui omettent de certifier que leurs apps sont conformes aux politiques de la plate-forme Facebook ou de justifier leurs besoins spécifiques en matière de données utilisateur.

L'objectif principal du décret de consentement de la FTC est de superviser la manière dont Facebook vend les données de ses utilisateurs à des annonceurs tiers. Encore une fois, rien ici ne limite la capacité de Facebook à acquérir des données. (La FTC a également déclaré mercredi qu'elle avait poursuivi Cambridge Analytica, le développeur de l'application « thisisyourdigitallife », qui, en 2014 ou autour de cette date, aurait recueilli des informations personnelles auprès des utilisateurs de Facebook alors que l'application avait affirmé qu'elle ne le ferait pas). La FTC et le Département de la Justice des États-Unis estiment que Facebook n'avait pas informé les utilisateurs sur l’utilisation qu’il comptait faire de données recueillies sur les utilisateurs et « leurs amis ». 

En avril 2014, Facebook a annoncé qu'il cesserait de permettre aux développeurs d'applications tiers de recueillir des données sur les amis des utilisateurs de Facebook, ainsi que sur les utilisateurs eux-mêmes. La FTC a toutefois précisé que Facebook avait déclaré en privé aux développeurs qu'ils pouvaient collecter des données sur les amis jusqu'en avril 2015, s'ils avaient déjà une application sur la plate-forme. Au même moment, Facebook a déclaré aux journalistes que le réseau social avait réduit ou supprimé progressivement, ce qu'il appelait la Graph API V1, qui permettait l'accès aux données des « Amis ». L’entreprise a déclaré que la Graph API V2 serait utilisée à la place, laquelle bloquerait l'accès des développeurs tiers à ces données. Sauf que, selon le Département de la Justice des États-Unis, ce que Facebook n'a dit à personne, c'est que plus d'une vingtaine de développeurs « en liste blanche » avaient toujours accès à la Graph API V1 et aux données des « Amis ». 

Une marge de manoeuvre laissée à Facebook par la FTC ?

Ces données comprenaient « les biographies des utilisateurs, les anniversaires, la famille et les relations, les sites Web, les mises à jour de statut, les photos, les vidéos, les liens, les notes, les villes d'origine, les villes de résidence, les cursus de formation, l’historique des emplois, les activités, les centres d’intérêt, les « like » et l’activité des apps, et le statut de connexion ». Toutes ces données ont été envoyées aux développeurs tiers, a déclaré le Département de la Justice des États-Unis. « Dans certains cas, affirme la plainte, la quantité de données demandée par les applications sur les « Amis proches » dépassait largement le nombre d'utilisateurs actifs mensuels des applications. Par exemple, une application mise en évidence dans l'audit a effectué plus de 450 millions de demandes de données, soit environ 33 fois son nombre mensuel d'utilisateurs actifs », affirme la plainte. 

Il semble que la Federal Trade Commission laisse à Facebook une certaine marge de manœuvre pour apprécier si les applications tierces peuvent « justifier » leur besoin de données utilisateur. C'est un peu problématique, étant donné que la plainte du DOJ laisse entendre que Facebook a confirmé le besoin de données uniquement parce que les développeurs d'applications avaient dépensé plus de 250 000 dollars sur Facebook. Les applications dépensant moins ont vu leurs privilèges automatiquement révoqués.  Alors, qu'est-ce qui a changé ? À part les comités de surveillance, c'est difficile à dire. Dans un message posté sur Facebook, M. Zuckerberg s'est engagé une fois de plus à protéger la vie privée : « Nous avons la responsabilité de protéger la vie privée des gens », a-t-il écrit dans un article cité par l'entreprise. « Nous travaillons déjà dur pour être à la hauteur de cette responsabilité, mais maintenant nous allons établir une toute nouvelle norme pour notre industrie ».

Il est clair que financièrement, l'amende aura peu d’impact sur Facebook, sauf pendant un trimestre ou deux. Quand la nouvelle de l’accord a commencé à fuiter, les actions de Facebook ont augmenté. Il convient de préciser aussi que l'accord de la FTC a été approuvé par 3 voix contre 2, les commissaires dissidents s'y opposant fortement. Le commissaire Rohit Chopra a estimé que celui-ci accordait aux dirigeants de Facebook une « immunité totale » et selon lui, cet accord n'apporterait pas de changement significatif. « L’accord permet à Facebook de décider par lui-même de la quantité d'information qu'il peut recueillir auprès des utilisateurs et de ce qu'il peut en faire, à partir du moment où son usage est attesté par une trace écrite », a-t-il écrit.