Facebook vs Cambridge Analytica : et la RGPD dans tout ça ?

Facebook est en proie à un nouveau scandale concernant le commerce des données à caractère personnel avec l’affaire « Cambridge Analytica ». La Réglementation Européenne RGPD à venir est peut-être un début de garde-fou.

L’Affaire Cambridge Analytica

Le cabinet d’analyse spécialisé dans la communication stratégique d’influence, qui fut entre autres au service de Donald Trump pour sa campagne électorale ou au côté du groupe “Leave E.U” pendant le Brexit, aurait récolté sans aucun consentement les données à caractère personnel de plus de 85 millions d’abonnés Facebook. Comment ? En 2013, un universitaire, Aleksandr Kogan, crée une application “Thisisyourdigitallife” fonctionnant, comme beaucoup, directement avec les identifiants Facebook. Toutes personnes l’ayant chargée donnait involontairement le droit d’accès à ses données personnelles, ses likes… et permettait également de donner accès aux données de ses amis.

En 2014, A. Kogan transmet ces données à Cambridge Analytica ce qui constitue une violation des règles d’utilisation de Facebook. Or il s’agit du coeur d’activité de ce réseau social : collecter les données et veiller à ce que l’usage qui en est fait ne soit pas détourné.

Et Facebook dans tout ça ?

Le géant des réseaux sociaux est aujourd’hui utilisé par près de 2,3 milliards de personnes. Via Facebook, il est possible de se connecter à de nombreux sites, les échanges d’informations ont alors lieu ce qui permet aujourd’hui à Facebook de pouvoir établir une cartographie numérique de l’ensemble de ses abonnées. Ces données valent de l’or. Facebook commercialise des annonces avec l’avantage notable de permettre le ciblage de l’auditoire. En 2017, le marché publicitaire représentait près de 98% de son chiffre d’affaires.

Les erreurs

Si les internautes commencent à peine à prendre conscience de l’enjeux représenté par le stockage de leurs données, ils n’ont pas été aidé par des marques qui peinaient à jouer le jeu de la transparence.

• – Le consentement : le cas de l’utilisation des données à caractère personnel figure bien dans les CGU (Conditions Générales d’Utilisations) de Facebook et autre Google (le duopole actuel de ce marché de la donnée) mais ces deux géants savent bien qu’elles ne sont que très rarement lues et ils ne les ont d’ailleurs pas rédigées pour être comprises. Dans le cas de l’affaire “Cambridge Antalytica”, les internautes qui répondaient au questionnaire n’étaient pas informés que les données personnelles de leur groupe d’amis seraient “siphonnées”.
• – La négligence : Facebook informé en 2015 des données récoltées par Cambridge Analytica leur avait demandé de supprimer l’ensemble des profils analysés, demande qui, restée sans suite, n’avait pas fait l’objet de vérification.
• – La responsabilité morale : Facebook, avec cette ultime affaire, met en évidence le caractère commercial de son modèle économique, mettant à distance sa promesse d’être le réseau social “Give people the power to build community and bring the world closer together” (“Donner aux gens la puissance de construire une communauté et de créer ensemble un monde plus proche”) – Mark Zuckerberg, 22 juin 2017 via son compte Facebook.

Et maintenant ?

Après un long silence, le fondateur du réseau social est sommé de s’expliquer face au Congrès Américain. « Cela a constitué un abus de confiance très important et je suis vraiment désolé de ce qui s’est passé. Notre responsabilité est de faire en sorte que cela ne se reproduise pas […] Nous avons la responsabilité de protéger vos données et si nous ne pouvons pas le faire, nous ne méritons pas de vous servir », a-t-il déclaré.

En parallèle, Facebook annonce officiellement sa volonté de veiller à protéger au mieux la vie privée de ses utilisateurs et à examiner de près les applications présentes sur le réseau. Officieusement, une note interne datant de 2016 et révélée le 30 mars dernier affichait la volonté du réseau social de poursuivre sa croissance, coûte que coûte.

RGPD, acronyme d’une solution européenne

Le 25 mai prochain entrera en vigueur la nouvelle réglementation européenne RGPD visant à protéger toutes les données à caractère personnel de ses ressortissants. Toute entreprise, de la start-up au groupe mondial, sous-traitant ou même association souhaitant utiliser les données personnelles d’un ressortissant européen devra être conforme à cette réglementation qu’elle appartienne à l’Union Européenne ou non.

La protection des internautes est renforcée, désormais toute utilisation des données personnelles devra être précédée d’une information claire et explicite du traitement qui en sera effectué et d’un consentement écrit. La réglementation est large, elle couvre la protection des mineurs, le droit à l’oubli, des sanctions renforcées… et donne surtout le droit d’être informé dans les plus brefs délais en cas de piratage des données.

Conclusion : êtes-vous prêts ?

Le RGPD s’appliquera au sein même des entreprises puisque celles-ci devront pouvoir en appliquer chacune des règles de l’information transmise aux collaborateurs de l’utilisation qui ait faite de leurs données, jusqu’à la suppression définitive de celles-ci ou leur protection. Une migration vers un système de gestion des Ressources Humaines conforme au RGPD peut être nécessaire. Il est encore temps.