Le test réalisé par un journaliste du New York Times est éloquent. Après avoir connecté son compte Facebook depuis l’application de messagerie unifiée Hub d’un Blackberry Z10, il a analysé les requêtes et les réponses entre son terminal et les serveurs du réseau social. Surprise: le terminal ne réclame pas seulement les informations personnelles sur le principal intéressé, mais aussi sur l’ensemble de ses amis. A savoir: leurs identifiants, leurs dates de naissance, leurs lieux de travail, leurs centres d’intérêts, etc. Et ce n’est pas tout. L’appareil a également récupéré des informations sur les amis des amis. Au total, ce sont donc les données de 295.000 personnes qui ont été transférées.
S’agit-il d’un bug? Malheureusement non. Comme l’a révélé le journal américain, Facebook a signé des accords de transferts de données avec plus de 60 fabricants de smartphones, y compris des poids lourds comme Apple, Samsung, Microsoft, Amazon et Blackberry. Ces contrats leur permettent d’accéder aux API du réseau social afin de mieux implémenter des fonctionnalités du réseau social comme la messagerie ou le carnet d’adresse. Selon Facebook, ces accords remontent « aux débuts de l’ère mobile », quand les boutiques d’applications mobiles n’existaient pas encore. Il fallait alors créer une application pour chaque système et chaque modèle, ce qui est harassant. C’est pourquoi le réseau social a préféré donner aux fabricants un accès direct à ses serveurs.
Des accords qui sont toujours d’actualité
En théorie, l’usage de ces données est strictement réservé au cadre d’utilisation de Facebook. Mais l’affaire Cambridge Analytica a montré que le détournement d’usage est loin d’être impossible. Vis-à-vis des utilisateurs, c’est également problématique. Ces derniers n’ont pas forcément conscience que le fabricant de leur smartphone peut accéder à leurs données Facebook. Depuis avril dernier, 22 accords ont été dénoncés car jugés obsolètes. Mais les autres sont toujours actifs.
La légalité de ces contrats pose question. Aux Etats-Unis, un décret de 2011 contraint Facebook à obtenir le consentement explicite des utilisateurs avant de partager les données personnelles avec un tiers. Mais le réseau social ne considère pas les fabricants de smartphone comme un tiers, plutôt comme un sous-traitant technique. Or, c’est justement l’une des exceptions au consentement explicite qui figure dans le décret. Pour Facebook, ce partage de données est donc totalement légal.
Et quid du RGPD ? Le réseau social n’a fait aucun commentaire à ce sujet. Mais il est probable qu’il va se réfugier derrière la clause des « intérêts légitimes ». Celle-ci permet également de court-circuiter le consentement explicite quand il s’agit, par exemple, d’une nécessité technique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.