Facebook suspend Cambridge Analytica, des ramifications dévoilées : informations personnelles transférées à des tiers sans consentement
Auteure: Élisabeth Boutin-Bruce, étudiante au cours DRT-6929E-A
Dans sa décision publiée le 16 mars dernier, Facebook décida de suspendre de sa plateforme Cambridge Analytica, entreprise centrée sur l’analyse des données dans un contexte politique, connue notamment pour son implication dans l’élection présidentielle américaine de 2016 ainsi que pour son rôle dans la campagne référendaire sur le « Brexit ».
L’affaire fut mise en lumière par une enquête du journal britannique The Guardian et reprise dans de nombreux médias. Aleksandr Kogan, professeur à l’université de Cambridge, avait développé une application nommée «thisisyourdigitallife», décrite comme une application de recherche utilisée par les psychologues. Utilisant une interface de connexion de la plateforme Facebook, elle offre un service de «prédiction de personnalité», rémunérant les usagers pour remplir un test de personnalité. En téléchargeant l’application, les utilisateurs consentent à la collecte de certaines informations comprises sur leur profil Facebook, telle leur ville, le contenu «aimé» et, si les paramètres de sécurité l’y autorisant, des renseignements accessoires sur les profils de leurs amis.
Paul Grewal, Vice-président et avocat conseiller de Facebook, justifia la décision de suspension par l’engagement de Facebook en matière de protection des renseignements personnels. Selon son communiqué de presse, Aleksandr Kogan viola les politiques d’utilisation de Facebook en transmettant les données collectées par l’application à des tiers, dont l’entreprise Cambridge Analytica. Aucune autorisation n’avait été accordée pour la collecte et l’utilisation à des fins commerciales. Ayant pris connaissance de cette violation dès 2015, Facebook retira l’application et demanda la destruction des données. Aleksandr Kogan, ainsi que les tiers en possession des renseignements, confirmèrent la suppression. Avec cette simple garantie, l’enquête de Facebook prit fin. Cependant, de récentes informations révélèrent que l’ensemble des données n’avait pas été détruit. Le journal The New York Times affirmait avoir consulté des données brutes retirées des profils Facebook obtenues par Cambridge Analytica. Suite à ces révélations, les suspensions d’Aleksandr Kogan, de Cambridge Analytica et de Strategic Communication Laboratories, maison mère de la société, furent décidées par Facebook. Selon les propos de Paul Grewal :
We are committed to vigorously enforcing our policies to protect people’s information. We will take whatever steps are required to see that this happens. We will take legal action if necessary to hold them responsible and accountable for any unlawful behavior.
Selon l’enquête journalistique, les données recueillies par Cambridge Analytica servirent à développer un algorithme et permirent de confectionner le profil politique et psychologique de millions d’utilisateurs. En effet, grâce au contenu «aimé», l’algorithme recueillit des informations personnelles et particulièrement sensibles, telles «l’orientation sexuelle, la race, le sexe, voire l’intelligence et les traumatismes d’enfance». Les individus pouvaient ensuite être ciblés par des publicités hautement personnalisées, particulièrement dans un contexte électoral.
Enquêtes en cours
En plus de contrevenir aux politiques de Facebook, ce transfert de données à des tiers sans consentement contrevient-il aux lois britanniques en matière de protection des données? Selon les propos d’Elizabeth Denham, commissaire auprès de l’Information Commissioner’s Office (ICO), une enquête est en cours afin de cerner les circonstances dans lesquelles les données de Facebook ont été acquises et utilisées :
This is a complex and far reaching investigation for my office and any criminal or civil enforcement actions arising from it will be pursued vigorously.
Rappelons que selon les principes du Data Protection Act, loi britannique en matière de protection des données, les données personnelles doivent être traitées loyalement et de manière licite. L’individu concerné doit donner son consentement au traitement et aucune divulgation des données personnelles à un tiers ne doit être accomplie sans consentement. En outre, les données personnelles ne doivent être obtenues que pour des buts spécifiques et légitimes, et ne doivent pas être traitées d’une manière incompatible avec ces buts. Les autres réglementations européennes, comme la Directive 95/46/CE du Parlement européen, vont dans le même sens.
De son côté, Antonio Tajani, président du Parlement européen, promet également une enquête par l’institution européenne. L’inquiétude semble palpable dans plusieurs sphères politiques.
Suite à l’ampleur médiatique de l’affaire (notamment engendrée par les connexions étourdissantes de Cambridge Analytica : ses liens avec Steve Bannon, Alexander Nix et Robert Mercer, semblant s’étirer jusqu’à la Russie), Facebook se défend et tente de rassurer ses utilisateurs. L’entreprise soutient qu’il n’y eut aucun bris de sécurité, aucun vol de données personnelles, ni aucun système piraté. Selon Facebook, les utilisateurs de l’application avaient fourni leur consentement.
Mais de nombreux questionnements perdurent.
Y a-t-il eu bris de sécurité? Facebook avait-elle l’obligation légale de notifier que des données personnelles furent transmises à des tiers sans le consentement des individus concernés? Les enquêtes seront apportées des réponses. Notons cependant que les articles 33 et 34 du Règlement général sur la protection des données (RGPD), dont l’entrée en vigueur est imminente en mai 2018, prévoient maintenant une obligation du responsable du traitement de notifier l’autorité de contrôle et de communiquer à la personne concernée la violation de données à caractère personnel.
Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ne prévoit pas d’obligation de notification en cas de bris de sécurité, mais le projet de loi S-4, relatif aux modifications envisagées à la loi, prévoit l’introduction d’une telle mesure.
Les développements de cette affaire devront être suivis avec beaucoup d’attention.
This content has been updated on March 20, 2018 at 23 h 05 min.