L’image est très parlante. Imaginez un flacon d’encre noire que l’on renverse au-dessus d’un lac. En peu de temps, cette encre se répand partout dans l’eau. C’est irréversible et incontrôlable. Et c’est exactement ce qui se passe quand des données personnelles arrivent dans l’énorme système de Facebook pour être traitées à des fins commerciales. C’est en effet ce qui ressort d’un document interne de l’année dernière, révélé par Vice.
Sur une quinzaine de pages, l’auteur tire la sonnette d’alarme sur un constat brutal. De plus en plus de pays votent des lois de plus en plus en restrictives sur la protection des données personnelles et la plate-forme Facebook serait, à l’heure actuelle, totalement incapable de les respecter. En particulier, le réseau social ne pourrait pas se conformer à l’article 5 du RGPD qui stipule que les données doivent être « traitées de manière licite, loyale et transparente » et « collectées pour des finalités déterminées, explicites et légitimes ». Or, chez Facebook, les traitements de données seraient tellement complexes et intégrés les uns aux autres que personne n’est capable de dire où vont les informations récoltées, comment elles sont transformées et dans quel but. C’est le flou total.
« Nous n’avons pas un niveau adéquat de contrôle et d’explicabilité sur la façon dont nos systèmes utilisent les données, et nous ne pouvons donc pas apporter en toute confiance des changements de politique contrôlés ou des engagements externes tels que “nous n’utiliserons pas les données X à des fins Y”. Et pourtant, c’est exactement ce que les régulateurs attendent de nous, augmentant notre risque d’erreurs et de fausses déclarations », peut-on lire dans la synthèse de ce document.
Cette situation est un héritage des années où les données personnelles n’avaient pas encore l’importance qu’elles ont aujourd’hui. Les systèmes de Facebook étaient conçus de façon très ouverte et sans contrôle. Les données pouvaient circuler librement, sans aucune contrainte, à travers les dizaines de milliers d’interfaces de programmation et de tables de bases de données que le groupe utilise dans ses services et ses applications.
A découvrir aussi en vidéo :
Afin de se conformer aux lois, Facebook va devoir ajouter des règles de contrôle, de filtrage et de routage sur l’ensemble des données personnelles traitées par la plateforme publicitaire « Ads ». D’après l’auteur du document, cela n’est possible qu’en modifiant en profondeur l’architecture interne des traitements de données, sachant que certaines fonctionnalités ne pourront pas être conservées dans le futur. Ainsi, il est non seulement préconisé de mettre de l’ordre dans les nombreuses sources de données, mais aussi de créer un point d’entrée unique baptisé « Curated Data Sources », où chaque donnée sera filtrée selon un ensemble de règles d’utilisation prédéfinies, appelé « Purpose Policy Framework » (PPF). Une fois que les données sont associées à ces règles, elles pourraient circuler sans risque d’un système à un autre, en recevant le traitement adapté et légalement compatible.
Un chantier titanesque
Mais compte tenu de l’énormité de Facebook, c’est un travail herculéen qui va nécessiter de lourds investissements, estimés à 750 années-hommes de développement informatique réparties entre 2021 et 2023. On ne sait pas à quel stade ce travail se situe aujourd’hui, ni même s’il a vraiment commencé. À court terme, pour éviter les conflits juridiques, le document propose d’utiliser un système publicitaire simplifié baptisé « Basic Ads », qui ferait tout simplement l’impasse sur l’ensemble des données personnelles générées par les utilisateurs : les likes, les messages postés, la liste d’amis, etc. Selon le document, le lancement de Basic Ads était planifié pour janvier 2022 en Europe. Il semblerait donc que ce projet ait pris du retard.
Interrogé par Vice, Facebook explique que ce document ne présente pas de manière exhaustive les processus et les contrôles mis en place dans ses systèmes. Il serait donc erroné d’en conclure que le réseau social ne respectait pas les lois en vigueur. « Nous avons, en fait, des processus et des contrôles étendus pour gérer les données et nous conformer aux réglementations en matière de protection des données personnelles », a rétorqué un porte-parole. Toutefois, des salariés de Facebook ont concédé, dans un entretien avec Vice, que l’entreprise n’avait effectivement pas le contrôle de chaque donnée traitée.
Source: Vice