Selon un document interne rédigé par des ingénieurs de la confidentialité de Facebook, les problèmes de traitement des données personnelles des utilisateurs de Meta ne seraient pas liés aux sombres ambitions de l’entreprise de générer toujours plus de revenus au détriment de la vie privée de ses utilisateurs, mais bien de l’incapacité de Meta à contrôler l’ensemble de ces données.
Le respect de la vie privée de ses utilisateurs a toujours été une épine dans le pied de Meta, en raison du fait que le système économique de l’entreprise de réseaux sociaux repose en majorité sur l’exploitation de leurs données privées à des fins de ciblage publicitaire, tout en essayant de se conformer aux règlementations en la matière. Trouver un équilibre n’a pas été facile. D’ailleurs, cela arrive encore que Meta fasse des erreurs et tarde à se plier aux nouvelles règlementations des autorités locales.
Un problème qui s’est déjà soldé par de nombreux abus et scandales, mais qui ne serait pas réellement la faute de Meta, ou en tout cas, pas volontairement. C’est en tout cas ce que suggère un document interne récupéré par Motherboard.
Le document rédigé par plusieurs ingénieurs de la confidentialité de l’équipe Ad and Business Product de Facebook indique en effet que l’entreprise ne dispose pas des capacités nécessaires pour se rendre compte de l’ensemble des données personnelles des utilisateurs qu’elle possède et sait encore moins à quoi elles sont destinées ni où elles sont conservées.
Impossibilité de se conformer aux exigences
Une situation embarrassante pour Meta qui met l’entreprise dans une position délicate pour se conformer aux législations locales vis-à-vis du traitement des données privées.
« Nous n’avons pas un niveau adéquat de contrôle et d’explicabilité sur la façon dont nos systèmes utilisent les données, et nous ne pouvons donc pas apporter en toute confiance des changements de politique contrôlés ou des engagements externes tels que ‘nous n’utiliserons pas les données X à des fins Y ‘ », indique le rapport. « Et pourtant, c’est exactement ce que les régulateurs attendent de nous, augmentant notre risque d’erreurs et de fausses déclarations. »
Une mauvaise gestion
Le principal obstacle de Facebook vis-à-vis des données personnelles de ses utilisateurs serait lié au manque de systèmes « fermés », selon les ingénieurs. Les systèmes de données de l’entreprise disposeraient donc de « frontières ouvertes » qui mélangeraient les données des utilisateurs propriétaires avec celles d’utilisateurs tiers et d’autres données sensibles.
Pour illustrer la situation particulièrement complexe, les ingénieurs ont fait un parallèle avec une bouteille d’encre versée dans un lac. « Cette bouteille d’encre est un mélange de toutes sortes de données utilisateur (3PD, 1PD, SCD, Europe, etc.). Vous versez cette encre dans un lac d’eau (nos systèmes de données ouverts ; notre culture ouverte)… et ça coule… partout. Comment remettre cette encre dans la bouteille ? Comment l’organisez-vous à nouveau, de sorte qu’il ne coule que vers les endroits autorisés du lac ? », se demandent-ils dans le rapport adressé à la direction de l’entreprise, l’année dernière.
De plus en plus de contraintes en même temps
La situation est devenue problématique ces dernières années, à mesure que de plus en plus de législations sur la protection des données personnelles ont émergé aux quatre coins du monde, notamment en Inde, en Thaïlande, en Afrique du Sud et en Corée du Sud.
Auparavant, Facebook a eu le « luxe » de pouvoir s’adapter aux nouvelles règles en matière de confidentialité – comme le RGPD, en Europe – au fur et à mesure qu’elles apparaissaient, mais aujourd’hui Meta ne semble plus être en mesure de suivre l’évolution.
Les ingénieurs jettent en effet un doute sur la capacité de Meta à se conformer aux nouvelles législations en la matière. Interrogé par Motherboard sur la question, un porte-parole de Facebook a nié que l’entreprise ne respectait actuellement pas les réglementations de confidentialité.
« Étant donné que ce document ne décrit pas nos processus et contrôles étendus pour se conformer aux réglementations en matière de confidentialité, il est tout simplement inexact de conclure qu’il démontre une non-conformité », a déclaré le porte-parole à Motherboard. « Les nouvelles réglementations en matière de confidentialité à travers le monde introduisent des exigences différentes et ce document reflète les solutions techniques que nous construisons pour faire évoluer les mesures actuelles que nous avons mises en place pour gérer les données et respecter nos obligations », a poursuivi le porte-parole.
Un désordre pour mieux se protéger ?
Pour un ancien employé de Facebook qui a confirmé que la mauvaise gestion des données des utilisateurs et que la société n’avait pas forcément d’idée claire sur l’endroit où elles étaient stockées: « C’est un aveu accablant, mais offre également une couverture juridique à Facebook en raison du coût qu’il en coûterait à Facebook pour réparer ce gâchis. Cela leur donne une excuse pour conserver autant de données privées, simplement parce qu’à leur échelle et avec leur modèle commercial et la conception de leur infrastructure, ils peuvent prétendre de manière plausible qu’ils ne savent pas ce qu’ils ont ».
Pour les experts en confidentialité, le document interne est la preuve que Facebook n’est pas conforme aux différents règlements en matière de confidentialité. « Ce document admet ce que nous soupçonnions depuis longtemps : qu’il y a une mêlée générale de données à l’intérieur de Facebook, et que l’entreprise n’a pas le moindre contrôle sur les données qu’elle détient », a déclaré Johnny Ryan, militant de la vie privée et chargé de mission au Conseil irlandais pour les libertés civiles, à Motherboard. « C’est une reconnaissance noire sur blanc de l’absence de toute protection des données. Facebook détaille comment il enfreint chaque principe de la loi sur la protection des données. Tout ce qu’il fait avec nos données est illégal. Vous n’avez pas le droit d’avoir une mêlée générale interne sur les données. »
Est-on à l’aube d’un nouveau scandale impliquant Meta et les données personnelles de ses utilisateurs ? C’est fort possible. Cela intervient cependant à un moment critique pour l’entreprise qui fait face à une situation difficile depuis de nombreux mois maintenant et pour qui la sortie du tunnel ne semble pas se rapprocher.
