Une nouvelle application de réseaux sociaux fait son entrée sur le marché pour capter votre attention, gracieuseté de Meta. Threads, un clone apparent de Twitter, vous permet de publier des mises à jour textuelles de 500 caractères et possède une interface utilisateur similaire. L’application fait partie d’Instagram, vous pouvez donc vous connecter avec votre compte Instagram et commencer immédiatement à suivre vos contacts habituels. Au 10 juillet, cinq jours après son lancement, 100 millions de personnes ont rejoint(nouvelle fenêtre).
Deux aspects de Threads concernant la vie privée ressortent immédiatement :
- Il collecte une quantité énorme de données personnelles vous concernant dans plusieurs catégories.
- Threads n’est pas disponible dans l’Union européenne, où Meta est déjà en difficulté avec les régulateurs de la vie privée.
Ces premiers jours de Threads rendent difficile de tirer trop de conclusions sur les implications en matière de confidentialité de la nouvelle application. Mais il est clair que Meta n’oriente pas ses produits vers davantage de confidentialité, malgré des milliards d’amendes liées à la vie privée et des avertissements internes que l’entreprise ne sait pas comment elle utilise les données des personnes. En fait, Threads suggère tout le contraire.
Cet article est un aperçu de ce que nous savons jusqu’à présent sur la manière dont Threads traite la confidentialité, basé sur la politique de confidentialité de l’entreprise, ses divulgations sur iOS et d’autres informations qui ont été révélées depuis le lancement de l’application.
Ce que Threads sait sur vous
Grâce aux exigences de confidentialité de l’App Store d’Apple, nous connaissons les spécificités des données que Threads collecte lui-même. La propre politique de confidentialité(nouvelle fenêtre) de Threads est un complément à celle d’Instagram(nouvelle fenêtre), donc toutes les autres règles d’Instagram et Meta s’appliquent.
Mais Threads ajoute une collecte de données supplémentaire pour permettre son interopérabilité prévue avec des services tiers. Il collecte également certaines données surprenantes pour des raisons qui ne sont pas entièrement claires. Par exemple, Threads recueille d’une manière ou d’une autre des informations sur le crédit des personnes pour « la fonctionnalité de l’application ». (Il n’est pas clair comment Meta détermine la solvabilité, mais The Intercept a suggéré(nouvelle fenêtre) que l’entreprise pourrait utiliser une sorte de « profilage par corrélation ».) Et il collecte des « informations sensibles », telles que votre ethnie, orientation sexuelle, opinions politiques et données biométriques, pour des raisons de « personnalisation du produit ».
Ci-dessous, les types de données que Threads collecte sur vous pour diverses raisons, selon les divulgations(nouvelle fenêtre) de l’App Store.
Ce qui est important à noter, c’est que cette liste est identique à celles des applications Facebook et Instagram. Donc, si vous utilisez ces autres produits Meta, vous avez déjà cédé ces informations à l’entreprise.
- Santé et forme physique
- Achats — Historique des achats
- Informations financières — Informations de crédit, Informations de paiement, Autres informations financières
- Localisation — Localisation précise, Localisation approximative
- Informations de contact — Adresse physique, Adresse e-mail, Nom, Numéro de téléphone, Autres informations de contact des utilisateurs
- Contact
- Contenu utilisateur Messages dans l’application, Photos ou Vidéos, Contenu de jeu, Service client, Données audio, Autres contenus utilisateur
- Historique de recherche dans l’application
- Historique de navigation
- Informations sensibles : inclut les données raciales ou ethniques, l’orientation sexuelle, les informations sur la grossesse ou l’accouchement, le handicap, les croyances religieuses ou philosophiques, l’appartenance syndicale, les opinions politiques, les informations génétiques ou les données biométriques
- Identifiants : identifiant utilisateur, identifiant de l’appareil
- Données d’utilisation : interaction avec le produit, données publicitaires, autres données d’utilisation
- Diagnostics : données de plantage, données de performance, autres données de diagnostic
- Autres types de données
En plus des fins publicitaires, d’analyse, de personnalisation et de fonctionnalité de l’application, il existe également une catégorie « autres finalités », pour lesquelles une grande partie des informations listées ci-dessus est collectée. Threads ne détaille pas en quoi consistent ces autres finalités. Cependant, si vous avez un iOS, vous pouvez activer la fonctionnalité Rapport de confidentialité des applications(nouvelle fenêtre) et voir comment les applications utilisent les autorisations de confidentialité que vous leur accordez.
De nombreuses personnes ont rapidement noté l’incroyable étendue des données auxquelles Threads prétend avoir droit. « Tous vos Threads nous appartiennent », a plaisanté Jack Dorsey, co-fondateur de Twitter.
Threads ne résisterait probablement pas à l’examen de l’Union européenne
Threads a été lancé le 5 juillet aux États-Unis et au Royaume-Uni, mais Meta a reporté le lancement dans l’Union européenne en raison de la réglementation du bloc sur l’utilisation des données personnelles par les entreprises. Les médias ont rapporté que les régulateurs de l’UE n’avaient pas empêché l’entreprise de lancer Threads, mais des sources suggèrent que Threads, dans sa forme actuelle, pourrait porter atteinte à l’une ou l’autre des réglementations suivantes :
- Le Règlement général sur la protection des données(nouvelle fenêtre) (RGPD), qui stipule comment les contrôleurs de données doivent collecter, utiliser et protéger les données personnelles
- Et le règlement DMA (Digital Markets Act), qui est davantage un règlement antitrust mais inclut également des règles concernant les données personnelles
Threads face au RGPD
Meta est déjà en grande difficulté en Europe pour deux raisons.
Premièrement, en janvier 2023, l’UE a infligé à Meta une amende de 390 millions d’euros pour ne pas avoir de motif valable, selon le RGPD, à utiliser les données des personnes pour des publicités personnalisées. Dans sa décision(nouvelle fenêtre), la Commission Irlandaise de Protection des Données a constaté que les utilisateurs de Facebook et Instagram ne pouvaient pas consentir de manière adéquate à l’utilisation de leurs données personnelles à des fins publicitaires. En réponse, Meta a déclaré(nouvelle fenêtre) qu’il passerait à l’intérêt légitime comme base pour ses publicités ciblées. Les régulateurs n’ont pas encore statué sur cette nouvelle tactique.
Deuxièmement, en mai 2023, Meta a reçu la plus grande amende jamais infligée pour violation du RGPD : 1,2 milliard d’euros pour avoir transféré les données de citoyens de l’UE vers les États-Unis. Ceci porte atteinte à l’article 46(1)(nouvelle fenêtre) du RGPD, qui exige des « garanties appropriées » avant l’envoi de données hors de l’Union européenne. Meta a indiqué qu’il ferait appel de la décision.
Ces deux décisions, si elles résistent aux contestations de Meta, changeraient de manière significative la façon dont Meta opère au sein de l’Union européenne. Threads, qui copie essentiellement la politique de confidentialité d’Instagram, serait également directement affecté.
Threads face au règlement DMA
La veille du lancement de Threads, Meta a reconnu(nouvelle fenêtre) qu’elle répond aux critères pour être considérée comme un « gardien de portail » au titre du règlement DMA. En conséquence, l’entreprise doit se conformer à la loi, y compris à l’article 5(a). Comme nous l’avons précédemment rapporté, l’article 5(a) empêche les « gardiens de portail » de combiner les données personnelles collectées sur leurs services de plateforme principale avec des données personnelles collectées sur d’autres services et interdit à une entreprise de vous « forcer à vous connecter automatiquement à tous les services d’un gardien de portail si vous souhaitez uniquement vous connecter à un seul ».
La manière dont Threads semble mélanger les données collectées depuis Instagram et d’autres produits Meta, et le fait que vous vous connectez à Threads via Instagram, sont des signaux d’alerte possibles.
Meta a déjà une mauvaise réputation en matière de confidentialité
Nous avons montré que l’application Threads est aussi gourmande en données qu’il est possible et qu’elle ne résisterait probablement pas aux réglementations européennes sur la vie privée, si l’on se fie aux problèmes passés de Meta.
Mais pour les personnes s’inscrivant à Threads, il est important de noter que Meta en tant qu’entreprise n’a pas été un bon gestionnaire de la vie privée personnelle. Lorsque vous utilisez les produits Meta, vous confiez vos données personnelles à une entreprise qui, selon les dires de certains de ses propres employés, ne sait pas ce qu’elle en fait.
Dans un document interne divulgué, un employé de Meta a comparé vos données personnelles à de l’encre renversée dans un lac. « Comment remettre cette encre dans le flacon ? Comment l’organiser à nouveau pour qu’elle ne se répande que dans les zones autorisées du lac ? » Le point soulevé par l’employé était qu’il serait impossible pour Meta de se conformer aux lois sur la vie privée sans changer son modèle économique.
Auparavant, lors d’une déposition, un ingénieur de Facebook a qualifié l’organisation des données de l’entreprise de « terrifiante ».
Qu’est-ce que cela signifie pour vous ? Si vous avez un compte Facebook, Instagram, WhatsApp ou Threads, vos données sont déjà dans le labyrinthe de Meta. Avec Threads, l’entreprise cherche à en recueillir davantage. Si vous souhaitez vous soustraire aux pratiques de surveillance et de profilage de Meta à ce stade, le seul moyen sûr d’empêcher la collecte future de données est de supprimer vos données et de désinstaller les applications.
Conclusion
Il est peut-être trop facile de critiquer Facebook et les autres géants de la tech en matière de confidentialité, mais il est important de réaliser qu’ils pourraient construire leurs produits comme ils le souhaitent. Ils choisissent de les concevoir comme des gadgets d’espionnage.
Threads aurait pu être plus comme Mastodon(nouvelle fenêtre) ou un autre site de microblogging émergent, Bluesky(nouvelle fenêtre), qui collectent des données limitées. Au lieu de cela, Threads est essentiellement l’opposé, aspirant autant de vos données personnelles que possible. Meta a emprunté cette voie même si cela signifiait initialement renoncer à l’ensemble du marché européen.
Ces décisions de conception sont une conséquence naturelle du modèle économique de Meta, qui transforme les personnes en produits pouvant être vendus aux entreprises qui font de la publicité. Et cela contraste fortement avec notre vision d’un internet qui privilégie la confidentialité et traite les personnes comme des clients, ce que nous construisons activement chez Proton à travers un modèle économique basé sur l’abonnement.
Les choix récents de Meta en matière de confidentialité ressemblent par certains aspects à ceux de Google, qui a récemment intensifié ses publicités bannières, essayant de maximiser les revenus issus des données personnelles avant que les réglementations sur la confidentialité ne coupent l’arrivée.
Les régulateurs ont mis des années à appliquer les lois sur la confidentialité contre Meta, et rien ne garantit que l’entreprise se conformera finalement et changera ses produits pour protéger les gens. Pour l’instant, le fardeau de la confidentialité en ligne repose toujours sur vous.