L’une des plus grandes histoires de la tech en 2022 n’a pas fait les gros titres, mais elle pourrait bien montrer la direction que prennent les géants de la tech. Elle provient de documents qui ont fait l’objet d’une fuite chez Facebook en avril, puis de la transcription d’une déposition de deux ingénieurs de l’entreprise, publiée en septembre.
Les documents révèlent que les systèmes de surveillance des grandes entreprises technologiques commencent à échapper au contrôle des individus. Vos données sont collectées en si grande quantité et réparties entre tellement de systèmes que même les ingénieurs qui les ont conçus ne savent pas comment gérer ou accéder à ces flux de données.
Et il ne s’agit que des systèmes de Meta, l’une des entreprises les plus riches du monde. Si vous voulez tout supprimer, ou même simplement voir ce qui existe, vous ne pouvez pas le faire. Vos données personnelles se trouvent sur les serveurs de dizaines ou de centaines d’entreprises dont les niveaux de financement, d’expertise technique et de protection de la vie privée varient.
Il ne s’agit pas simplement d’un nouveau scandale concernant la protection de la vie privée. C’est le résultat d’une économie fondée sur la surveillance qui tire profit des informations personnelles des citoyens. L’une des principales technologies de collecte de données au monde est aujourd’hui si vaste et si complexe que personne ne peut la contrôler.
Cet article vous aidera à comprendre les aveux de Meta concernant la protection de la vie privée et leurs conséquences pour vous.
Ce que nous avons appris sur le stockage des métadonnées
En avril 2022, Motherboard a publié un document interne ayant fait l’objet d’une fuite(new window), dans lequel des employés de Meta ont tiré la sonnette d’alarme sur l’incapacité de l’entreprise à se conformer aux prochaines lois sur la protection de la vie privée. Ils ont comparé les données à une goutte d’encre versée dans un lac :
« Imaginez que vous tenez une bouteille d’encre dans votre main. Cette bouteille d’encre est un mélange de toutes sortes de données utilisateur (3PD, 1PD, SCD, Europe, etc.) Vous versez cette encre dans un lac (nos systèmes de données ouverts ; notre culture ouverte)… et elle coule… partout. Comment remettre cette encre dans la bouteille ? Comment l’organisez-vous à nouveau, de sorte qu’elle ne coule que vers les endroits autorisés du lac ? »
Ils concluent : « Nous n’avons pas un niveau adéquat de contrôle et d’explicabilité sur la façon dont nos systèmes utilisent les données, et nous ne pouvons donc pas apporter en toute confiance des changements de politique contrôlés ou des engagements externes tels que “nous n’utiliserons pas les données X à des fins Y”. Et pourtant, c’est exactement ce que les régulateurs attendent de nous, augmentant notre risque d’erreurs et de fausses déclarations ».
En d’autres termes, Meta n’a absolument pas tenu compte des données qu’elle collectait, de la manière dont elles étaient conservées et de l’usage qui en était fait.
L’entreprise recueille toutes sortes d’informations sur vous à partir de trois sources principales :
- Vos interactions avec Facebook et d’autres produits Meta
- Les sites internet tiers qui utilisent le traqueur Meta Pixel(new window)
- Les informations provenant de sources tierces, comme les entreprises d’ évaluation de crédit
La culture d’entreprise de Meta a permis à ses équipes de mélanger et de réutiliser les données de manière créative pour créer de nouvelles fonctionnalités et de nouveaux produits publicitaires.
À peu près au moment où ces documents ont fuité chez Motherboard, deux ingénieurs de Meta témoignaient dans le cadre d’une déposition liée au scandale Cambridge Analytica. À la suite de la révélation par un lanceur d’alerte que les données des utilisateurs de Facebook avaient été secrètement utilisées pour influencer l’élection américaine de 2016, des plaignants ont demandé à voir toutes les données dont disposait l’entreprise à leur sujet. Facebook n’a pas pu le faire.
Selon le témoignage des ingénieurs, il n’était pas possible pour Facebook de leur donner toutes leurs données parce que personne chez Facebook ne sait où elles se trouvent.
« Je ne crois pas qu’il existe une seule personne capable de répondre à cette question. Il faudrait un important travail d’équipe pour pouvoir y répondre », a déclaré un directeur de l’ingénierie, selon des documents publiés pour la première fois par The Intercept(new window).
La personne qui menait l’entretien a alors demandé : « Avons-nous un diagramme de données pour cela ? Comme vous le développez, quelqu’un doit avoir un diagramme qui indique où ces données sont stockées ».
L’ingénieur a répondu : « Nous avons une culture d’ingénierie un peu étrange. Nous ne générons pas beaucoup d’artefacts durant le processus d’ingénierie. En réalité, le code est souvent son propre document de design… Au début, quand je suis arrivé, cela m’a terrifié. »
Ce que cela signifie pour vous
Ensemble, la fuite de Motherboard et la déposition révèlent que Facebook est une entreprise qui néglige l’organisation et la protection des données. Son seul objectif semble être de collecter toujours plus de données grâce à de nouvelles formes de surveillance et d’agrégation de données pour augmenter ses revenus.
Personne chez Meta n’a créé une documentation globale sur la manière dont vos données sont utilisées ou sur leur destination. Cela signifie qu’il n’y a aucune garantie que la fonctionnalité « Télécharger vos informations » de Facebook vous fournira toutes vos données, comme l’exige la loi. Comment cela pourrait-il être possible alors que Facebook ne sait même pas quelles sont les données collectées et à quoi elles servent ?
Ces dernières révélations concernent Meta, mais il s’agit en fait de la limite logique du business model fondé sur la surveillance. Il incite les entreprises à recueillir autant de données que possible parce qu’elles peuvent s’avérer précieuses pour des entreprises ou des personnalités politiques qui espèrent vous influencer avec de la publicité.
Les réglementations doivent être renforcées
En mai 2018, le RGPD (règlement général de protection des données) est entré en vigueur dans l’Union européenne. Il exige, entre autres, que les entreprises obtiennent votre consentement avant de collecter et d’utiliser vos données à des fins spécifiques. Il oblige par ailleurs les entreprises à partager avec vous les données qu’elles recueillent sur vous et à les supprimer ou à les transférer à d’autres entreprises à votre demande.
Le RGPD était un bon premier pas, mais il s’est avéré insuffisant pour protéger à lui seul la vie privée des internautes. L’une des principales raisons de ces difficultés est le problème de l’application de la loi. Les agences de protection des données sont submergées de travail et doivent définir des priorités dans les procédures qu’elles engagent. De plus, il faut parfois des années aux agences de protection des données pour infliger une amende, la soumettre aux tribunaux en cas d’objection et enfin la concrétiser. Google conteste toujours une amende de 4 milliards de dollars(new window) infligée en 2018.
L’aveu des ingénieurs de Meta de ne pas avoir organisé les données collectées semble être une violation claire du RGPD puisque ce dernier exige que les entreprises soient en mesure de restituer et de supprimer toutes les données personnelles d’un utilisateur sur demande. Comment est-il possible pour Meta de supprimer vos données si la société ne sait pas où elles se trouvent ? Pourtant, au moment de la publication de cet article, aucune enquête n’a encore été annoncée publiquement sur ces violations présumées du RGPD.
Même lorsque les amendes sont finalement appliquées, de nombreuses entreprises sont prêtes à payer pour leurs infractions : c’est un coût de fonctionnement. Meta risque une série d’amendes qui pourraient s’élever à plus de 2 milliards de dollars en cas de violations multiples du RGPD(new window). Comme nous l’avons récemment signalé, les géants de la tech ont payé au moins 3 milliards de dollars d’amendes en 2022 sans pour autant laisser entendre qu’ils allaient modifier leurs pratiques commerciales. D’après un régulateur, Apple « préfère payer des amendes ponctuelles plutôt que de se conformer aux règles ».
Ces révélations sur Facebook mettent en évidence un problème encore plus important : les entreprises semblent douter de la volonté des autorités de les obliger à rendre des comptes. Meta a été accusé d’abus de position dominante(new window) en intégrant WhatsApp, Facebook et Instagram. Son seul but aurait été de garder le monopole, une pratique jugée anticoncurrentielle. Il s’avère aujourd’hui que Meta est technologiquement incapable de se conformer aux exigences les plus élémentaires du RGPD.
D’autres réglementations sont à venir, Meta le sait. Les employés ayant rédigé le rapport qui a été communiqué à Motherboard ont estimé qu’il faudrait jusqu’à 750 années de travail d’ingénieur pour mettre au point un moyen de créer les contrôles de données dont ils ont besoin. Meta ne semble pas croire qu’un gouvernement puisse ou veuille l’obliger à se conformer à la loi.
Voici comment fonctionne le capitalisme de surveillance
Un porte-parole de Meta a déclaré au Washington Post(new window) qu’il ne fallait pas s’étonner de tout cela. « Nos systèmes sont sophistiqués et il ne faut pas s’étonner qu’aucun ingénieur de l’entreprise ne puisse répondre à toutes les questions concernant l’endroit où chaque information sur l’utilisateur est conservée ». Cette déclaration ne réfute en rien ce que ces ingénieurs ont réellement dit, à savoir que personne chez Meta ne pouvait répondre à ces questions.
Cependant, ce non-démenti n’en demeure pas moins instructif. « Cela ne devrait pas être une surprise » parce que les systèmes de Meta, gourmands en données, fonctionnent exactement comme prévu. Les entreprises qui utilisent des informations personnelles pour vendre des publicités ciblées collecteront toujours plus de données, quelle que soit la nature de ces données ou la capacité de l’entreprise à les utiliser, les organiser et les protéger. Pour les entreprises spécialisées dans la surveillance, plus de données signifie plus de profits potentiels.
Ce commentaire met aussi un terme à des années de déclarations selon lesquelles les grandes entreprises technologiques se soucient de vous donner le contrôle de vos données. Le « pivot sur la protection de la vie privée » a toujours été de la poudre aux yeux.
Alors que certaines grandes entreprises technologiques pourraient être plus responsables avec vos données, elles sont en contradiction avec les bénéfices d’un système qu’elles ont créé. La seule façon d’empêcher les géants de la tech d’abuser de vos données est de cesser de leur en fournir.
Changer le business model
Depuis le début, notre objectif est de prouver que les entreprises technologiques peuvent gagner de l’argent sans transformer les individus en produits pour les entreprises qui font de la publicité. Internet permet déjà la mise en place de nombreux types de business models, mais seuls les monopoles des grandes entreprises technologiques exigent votre vie privée en guise de paiement.
Proton a opté pour un business model qui offre un accès gratuit à de nombreux services : boite mail, calendrier, drive et VPN(new window), tout en proposant des fonctionnalités premium payantes. Ces frais permettent de développer de nouvelles fonctionnalités et de nouveaux produits tout en offrant une expérience sans publicité.
Notre solution au problème du contrôle des données est tout simplement de ne pas les collecter. Et tous les aspects de nos services ont été conçus pour protéger votre vie privée. La principale mesure de protection des données de Proton est le chiffrement de bout en bout, qui empêche toute autre personne que vous d’accéder à vos données.
En savoir plus sur le chiffrement de bout en bout
Il serait insensé d’espérer que Meta ou toute autre grande entreprise technologique puisse revenir sur sa dépendance à l’égard de vos données. En raison de la recherche de profits toujours plus élevés, elles feront probablement le contraire, en se précipitant vers de nouveaux moyens de recueillir et d’exploiter vos données et votre attention.
La seule solution est d’abandonner les plateformes reposant sur la surveillance et de repartir sur de nouvelles bases avec un nouveau business model pour internet.
—
Traduit et adapté par Elodie Mévil-Blanche.