L’affaire Cambridge-Analytica / Facebook
Des données de 87 millions d’abonnés Facebook dans les mains d’une entreprise de profiling… Sans consentement ! Une possible manipulation des électeurs ou du référendum sur le Brexit. Un réseau social pris dans la tourmente de son business model, évinçant les questions trop précises du Congrès. Un Parlement européen qui implore l’audition de Mark Zuckerberg, à un mois du RGPD… Les ingrédients du fameux scandale.
Lorsqu’on est une société de profiling, deux moyens existent pour remplir l’intestin de ses algorithmes : demander poliment aux participants d’apporter des plateaux de données personnelles, ou trouver des biais pour se goinfrer. Mi-mars 2018, le New York Times, The Gardian et Channel Four News diffusent les révélations d’un lanceur d’alerte, un certain Christopher Wylie. Ce jeune Snowden du big data a travaillé au sein de Strategic Communication Laboratories (SCL) entre 2013 et 2014, une firme anglaise, mère de Cambridge Analytica (C.A.). Créée en 2013, cette firme londonienne récolte et exploite des données à des fins de stratégies commerciales ou politiques.
« This is Your Digital Life »
C.A. finance alors un projet développé par Aleksandr Kogan. L’universitaire est data scientist à l’université de Cambridge – sans lien avec la société privée. C’est de cette graine logicielle que les ronces du scandale ont pris racine.
« This is Your Digital Life » est une app née en 2014, un simple questionnaire de personnalité, comme on en voit tant sur Facebook. Près de 300 000 personnes y ont répondu, contre modeste rémunération, ignorant cependant l’aspirateur caché sous le clavier. Et pour cause, « Social Graph API », l’interface de programmation applicative du réseau social, permettait aux développeurs de récupérer des données sans épaisses barrières à l’entrée. Et Kogan ne s’est pas gêné pour siphonner les contacts des sondés. Avec une base de 300 000 personnes, l’épidémie est rapide sur un réseau où d’un clic, on devient ami numérique.
Profils publics, « like », anniversaires, lieux visités… des briques de dizaines de millions de vies sont tombées sous les mâchoires du quizz. Mieux, le 13 avril dernier, le Guardian indique que même des conversations privées entre utilisateurs auraient été avalées.
Une utilisation abusive, contestée par Cambridge Analytica
Selon Facebook, Aleksandr Kogan n’avait d’autorisation que pour exploiter ces informations à des fins académiques. Or, il a vendu ce pétrole à Cambridge Analytica via sa société, Global Science Research (GSR). Une « violation de confiance », une « utilisation abusive » s’est empressée de dénoncer Facebook. Surtout, C.A. aurait utilisé ces barils pour profiler à pleins gaz lors de la présidentielle américaine ou du Brexit.
Sur l’antenne de CNN, Kogan a soutenu ignorer ce débouché. Dans un communiqué, Cambridge Analytica a rejeté le scénario. « Lorsqu’il est apparu que les données n’avaient pas été obtenues par GSR conformément aux conditions d’utilisation de Facebook, [nous avons] supprimé toutes les données reçues de GSR. » Main droite sur le cœur, elle jure ne travailler qu’avec des informations « obtenues légalement et équitablement ».
« Marketing politique innovant »
Seul hic, il y a comme un nuage de liens sulfureux entre cette galaxie et le monde politique. Côté coulisses, Strategic Communication Laboratories est multicarte. Elle a travaillé avec « le département de la Défense des États-Unis, celui du Canada, le ministère de la Défense du Royaume-Uni », a assuré Christopher Wylie dans une récente interview au journal Libération.
Le volet Trump attire plus l’attention. Selon Wylie encore, « rien de tout cela ne serait arrivé sans l’argent de Robert Mercer ». Ce milliardaire, un ancien de chez IBM, fut à la tête du fonds d’investissement Renaissance Technologies.
Il a activement participé à la campagne de Trump. Soutien du site d’extrême droite Breitbart, il est l’un des principaux actionnaires de Cambridge Analytica, au point d’y avoir injecté, selon le New York Times, 15 millions de dollars. Il y côtoie Steve Bannon. Celui-ci siège au conseil d’administration et fut à la tête de la campagne présidentielle de Trump puis conseiller spécial jusqu’en août 2017.
Sur la scène, Cambridge Analytica affiche son ADN dès sa page de garde : « En connaissant mieux votre électorat, nous obtenons une plus grande influence tout en réduisant les coûts globaux. » La société est en effet spécialisée en « marketing politique innovant ». Il faut dire que les recherches en matière de psychométrie ont connu de bons de géant. Das Magazin et MotherBoard relataient à la fin 2016 des travaux de Michal Kosinski. Chercheur à Cambridge entre 2010 et 2014, celui-ci a travaillé notamment avec Kogan, avant de rejoindre l’université de Standford.
En 2012, Kosinski avait soutenu qu’à partir de 68 likes sur Facebook, il est possible de prédire à 95 % la couleur de peau d’un internaute, son orientation sexuelle à 88 %, voire ses convictions politiques à 85 %. Avec 150 likes, on peut même connaître une personne mieux que ses parents.
Changer le comportement des populations ciblées
Face à ce mets fumant, l’épaisse salivation de Cambridge Analytica se devine sans mal. En ciblant l’électeur au plus près, il est possible d’influencer son choix dans l’urne. Certes, peut-être pas jusqu’au changement de camp, mais au moins pour lui suggérer d’aller à la pêche le jour du scrutin.
Chez Cambridge Analytica, aucune pudeur. Sur sa page dédiée à l’élection de Trump, elle indique qu’« en analysant des millions de points de données, nous avons sans relâche identifié les électeurs les plus persuasifs et les problèmes qui les intéressaient. Nous leur avons ensuite adressé des messages ciblés aux moments clés afin de les faire passer à l’action ».
Chercheurs, experts en stratégie politique, marketeux et bonnes plumes ont identifié les segments d’audience, soufflé les bons mots aux bonnes personnes pour exploiter leurs forces et fragilités. « [Nos] travaux sur la campagne Trump sont un exemple clair de la façon dont les techniques de marketing basées sur les données peuvent changer le comportement des populations cibles », s’enchante C.A. sur sa plaquette commerciale (https://ca-political.com/ casestudies/casestudydonaldjtrumpforpresident2016)
Das Magazin et MotherBoard citent deux exemples : Trump avait lancé une campagne dans le quartier de Little Haïti à Miami, concentrée sur les défaillances de la Fondation Clinton après le tremblement de terre qui avait frappé l’île des Grandes Antilles. Une autre avait visé les Afro-Américains pour rappeler les propos d’Hillary Clinton de 1996, où sa concurrente accusait en creux les jeunes hommes noirs d’être de « super-prédateurs ».
Dans la même veine, Cambridge Analytica aurait joué un « rôle crucial » sur le Brexit, selon le lanceur d’alerte. L’entreprise est soupçonnée d’avoir travaillé ardemment avec le groupe Leave. EU, celui-là même qui l’a emporté d’une courte tête sur les pro-Européens. Une intervention que conteste là encore la société, désormais sous le coup d’une enquête des autorités britanniques.
Des API resserrées
Après ces révélations, Facebook a suspendu le compte de Cambridge Analytica et Global Science Research pour ensuite afficher une série de restrictions sur plusieurs de ses API. Une lecture a contrario donne une petite idée d’un champ vertigineux.
Par exemple, l’Event API, dédiée aux événements, interdit désormais d’accéder aux listes des invités et posts publiés à l’occasion. À l’avenir, seules les applications certifiées par le réseau social pourront y avoir accès. Mesure similaire pour « API Groups ». L’accès devra se faire sur feu vert d’un membre, voire du seul administrateur pour les groupes privés.
Sur Facebook Login, le réseau social « devra approuver toutes les applications qui demandent l’accès à des informations telles que les enregistrements, les mentions J’aime, les photos, les publications, les vidéos, les événements et les groupes ». Impossible d’accéder aux informations comme les opinions religieuses ou politiques, les listes d’amis personnalisées, le parcours professionnel, les activités de lecture ou de jeux, etc.
Facebook a également désactivé un annuaire inversé, car « des acteurs malveillants ont abusé de cette fonctionnalité pour amasser des informations de profil public ». Introduite voilà des années, elle servait à sécuriser chaque compte, trouver un ami au nom compliqué ou trop commun. Le pont entre « Mme Michu » et le « 06.xx.xx.xx.xx » est alors devenu d’or pour les sociétés de micro-targeting.
Les réactions des autorités
Fondé sur la confiance, Facebook a donc sorti la lance à incendie. Sur la grande échelle, Mark Zuckerberg, arrosant d’actes de contrition de nombreux foyers. Qu’on en juge. Une enquête a été initiée par l’ICO, l’équivalent de notre Cnil outre-Manche. Une procédure équivalente a été lancée en Irlande, nid européen de Facebook.
Le Groupe de l’Article 29, qui rassemble l’ensemble des autorités de contrôle, soutient sans nuance ces démarches, non sans admonestation : « Une plate-forme de médias sociaux de plusieurs milliards de dollars qui dit être désolée, cela ne suffit pas. (…) Ce que nous constatons aujourd’hui n’est probablement qu’un exemple de pratiques beaucoup plus larges de collecte de données personnelles à partir des médias sociaux pour des raisons économiques ou politiques. »
Mesures similaires à New-York et dans le Massachusetts, mais aussi à la Federal Trade Commission. En France, le groupe de la France Insoumise veut une commission d’enquête parlementaire relative « à la collecte et à l’utilisation abusive des données personnelles par les entreprises du numérique, notamment Facebook et Cambridge Analytica, en vue d’influencer les processus électoraux en France ». Quant au Parlement européen, celui-ci réclame, pour l’instant en vain, une audition similaire à celle organisée devant le Congrès américain les 10 et 11 avril.
Mark Zuckerberg au Congrès
Cette audition volontaire du fondateur de Facebook a été en effet un épisode-clé dans cette série aux multiples saisons. Dix heures durant, épaulé par une ribambelle d’avocats, l’impassible Zuckerberg s’est encore confondu en excuses devant des sénateurs et représentants parfois dubitatifs : « Nous n’avons pas fait assez pour empêcher l’utilisation de ces outils à des fins préjudiciables. Cela vaut pour les fake news, l’ingérence étrangère dans les élections et les discours de haine, ainsi que pour les développeurs et la confidentialité des données. Nous n’avons pas adopté une vision assez large de notre responsabilité, et c’était une grosse erreur. C’était mon erreur, et je suis désolé. J’ai lancé Facebook, je le gère et je suis responsable de ce qu’il se passe ici ».
Il y a bien eu des moments de tensions. « Aimeriez-vous dire à tout le monde dans quel hôtel vous avez dormi hier ? », lui a demandé Dick Durbin qui a embrayé : « Si vous avez contacté des gens cette semaine, aimeriez-vous nous donner leurs noms ? » Le « non » laconique du fondateur a fait sourire l’assemblée, avant que le sénateur démocrate de l’Illinois ne revienne aux fondamentaux : le droit à la protection de la vie privée, ses limites, « et tout ce que nous abandonnons dans l’Amérique moderne, au nom de la connexion mondiale entre les humains ».
Une autre petite phrase a fait mouche, celle du sénateur républicain de Louisiane, John Neely Kennedy, pour qui les conditions générales d’utilisation de Facebook sont « nulles », car illisibles pour le commun des mortels. Une bonne trentaine de fois, Zuckerberg a opté pour la fuite sous couvert d’ignorance, promettant aux parlementaires que ses équipes allaient revenir vers eux, quand il n’a pas répondu à côté comme s’agissant des profils fantômes (shadow profiles) que le réseau est accusé d’engranger même chez les non-abonnés.
Le 17 avril, énième coup d’extincteur de la société qui promet « de nouvelles expériences de protection de la vie privée », dans la lignée des obligations nées du règlement général sur la protection des données personnelles (RGPD). En particulier, l’utilisateur européen pourra opter pour des publicités ciblées à l’aide des données fournies par les partenaires. Mais le lendemain, ces mesures ont déjà été jugées insuffisantes. Après examen, elles sont vues comme un « parcours du consentement » par Mounir Mahjoubi. D’autant que l’utilisateur doit accepter de nouvelles CGU avant d’utiliser Facebook. « On ne peut pas continuer en permanence à dire les choses et ne pas les faire ! », tacle le secrétaire d’État au numérique.
Fait notable, Facebook profite du tremplin pour industrialiser la reconnaissance faciale, certes sur option. Sous l’habillage d’une meilleure protection de la vie privée, quel meilleur moyen pour visser un peu plus l’identité numérique de chacun sur ces amas de pixels ?
En attendant les fruits de ces enquêtes, lestés de possibles sanctions, souvenons-nous de la future loi contre les « fake news ». Ce texte rédigé par le gouvernement compte obliger les plates-formes à donner aux utilisateurs « une information loyale, claire et transparente » sur l’identité de ceux qui financent des contenus sponsorisés, du moins durant les périodes électorales. L’affaire Cambridge Analytica, c’est aussi du pain béni pour le ministère de la Culture. ❍
« Snowden » de la big data, Christopher Wylie a travaillé chez SCL, maison-mère de Cambridge Analytica.
FACEBOOK, CAMBRIDGE ANALYTICA ET LE RGPD
Le sujet est sur toutes les bouches. Le 25 mai est entré en application le règlement sur la protection des données personnelles (RGPD). Celui-ci prévoit un socle commun de règles en la matière. Droit à l’oubli, portabilité des données, étude d’impact, etc. Surtout il met à jour l’échelle des sanctions qui pourront s’élever jusqu’à 20 millions d’euros voire 4 % du chiffre d’affaires mondial pour les responsables de traitement qui ne respecteraient pas cette nouvelle législation. Pour le cas de ces deux sociétés, soulagement. Lors de la présentation de son rapport officiel le 10 avril dernier, Isabelle Falque-Pierrotin, présidente de la Cnil, a indiqué que ces sanctions seraient inapplicables, au motif que les faits sont antérieurs à la fameuse date. En France, les responsables indélicats encourent jusqu’à trois millions d’euros d’amende administrative. Soit quelques poussières face à la rondelette fortune du réseau social.
BERNARD BENHAMOU
« Il y aura un avant et un après Cambridge Analytica »
Bernard Benhamou est secrétaire général de l’Institut de la Souveraineté numérique. L’association a pour mission de fédérer les acteurs pour créer des synergies sur les enjeux liés à la souveraineté numérique européenne.
Comment analysez-vous l’affaire Cambridge Analytica ?
De la même manière qu’il y a eu un avant et après Snowden, il y aura un avant et un après Cambridge Analytica. Cette affaire montre que le modèle économique central de l’Internet aujourd’hui, celui du microtargeting, doit clairement être remis en cause par les régulateurs des deux côtés de l’Atlantique. Même si cela n’est pas encore de manière explicite aux États-Unis, on a cependant vu de très nombreuses références au RGPD dans les dix heures d’audition de Mark Zuckerberg au Congrès. La réflexion de fond est de savoir si ce type de modèles économiques est durable, au sens écologique du terme. L’expérience récente montre qu’ils peuvent être toxiques pour la démocratie et même économiquement au regard des effets de prédation qu’ils induisent. Le RGPD pourrait induire des comportements différents de la part de ces acteurs. Est-ce que cela va reconfigurer l’ensemble de la filière, c’est beaucoup moins évident. C’est la raison pour laquelle nous, Européens, devons réfléchir parallèlement aux mesures qui permettront de créer des acteurs de taille internationale qui seront à la fois plus éthiques, et plus protecteurs pour les citoyens. Cela seulement permettra de contrebalancer la puissance économique, mais les risques politiques que nous font courir les Gafam. Nous devons aussi aider à développer des alternatives à ces modèles économiques basés sur le profilage des individus. Pour reprendre le terme de Shoshana Zuboff, professeur à Harvard, nous entrons dans l’ère du capitalisme de surveillance. Le plus tôt nous en sortirons, le mieux nous nous porterons collectivement.
Doit-on parler du scandale Facebook ou du scandale Cambridge Analytica ?
Les deux. L’un est le révélateur de l’autre. De plus, Cambridge Analytica a opéré avec des méthodes quasi mafieuses. Ils ne se sont pas contentés d’aspirer frauduleusement des données, ils ont eu également recours à des méthodes basées sur l’intimidation, la menace ou même à des prostituées… Est-ce lié au business model de ce type de sociétés, ou aux enjeux politiques pour leurs clients ? Sans doute l’un et l’autre. Mais l’une des choses désormais acquises est que Facebook n’a pas fait son travail de maîtrise pour éviter la dissémination anarchique des données personnelles via ses API. Quand le réseau social s’est satisfait du fait qu’on lui confirme que les données avaient bien été effacées, ses dirigeants ont fait preuve au mieux d’une immense naïveté… au pire d’une grande complaisance.
Facebook s’est confondu en excuses, promettant plusieurs mises à jour. Est-ce suffisant ?
Certainement pas. En effet, comme l’a démontré l’intervention de la représentante floridienne Kathy Castor lors de l’audition de Mark Zuckerberg, non seulement Facebook collecte massivement des données sur ses abonnés, mais son architecture permet de recueillir également des données sensibles chez les non abonnés. En clair, personne n’échappe à Facebook ! Et jusqu’à très récemment, pour effacer ces informations, ces personnes devaient d’abord s’abonner. C’est kafkaïen ! Nous sommes quelques-uns à évoquer depuis plusieurs années, le risque d’une crise de confiance « systémique » sur Internet. Cette crise de confiance pourrait être à l’origine d’un effondrement des valeurs technologiques du fait d’une suspicion généralisée des usagers. Cela constitue un risque majeur non seulement pour Facebook, mais aussi pour l’ensemble de l’écosystème de l’Internet, voire au-delà. Sur le plan politique, des mesures doivent être envisagées pour éviter ce scénario. Le RGPD, dont les effets de durcissement du contrôle sur la circulation des données pourraient s’étendre au-delà des frontières de l’Union Européenne, constitue un premier niveau de réponse à cette crise de confiance. Par un hasard heureux il entre en application le mois qui suit ces auditions au Congrès.
Qu’attendre du RGPD finalement ?
Tout dépendra de sa mise en œuvre, de l’agressivité des États membres à poursuivre et sanctionner les débordements qui inéluctablement se produiront. Ira-t-on jusqu’au bout quant à la menace « nucléaire », de sanctions à hauteur de 4 % du chiffre d’affaires annuel de l’entreprise ? Les diplomates évoquent souvent le risque de créer des organismes de régulation dépourvus de « dents » (toothless animals). Il faut que les régulateurs aient les moyens juridiques et politiques de sanctionner puissamment et rapidement les débordements dans ce domaine. Comme on a pu le voir dans le scandale Cambridge Analytica, les enjeux de cette régulation des données sont considérables et vont bien au-delà de la seule valorisation de ces sociétés… Aujourd’hui nous parlons du devenir politique de la première puissance mondiale. Demain, ce type de crise pourrait avoir des conséquences sur l’équilibre économique et géostratégique de l’ensemble des grandes régions du monde… ❍
ME ALEXANDRE ARCHAMBAULT
« La collecte aurait dû être faite de façon loyale »
Alexandre Archambault est avocat, fin connaisseur du droit des nouvelles technologies et des données personnelles. Il fut directeur des affaires règlementaires de Free, en charge du pôle Internet et Cybersécurité.
Avec votre œil de juriste, comment analysez-vous cette affaire ?
Quel plus beau cas pour faire taire les derniers sceptiques sur l’intérêt du RGPD ! Ce n’est pas une affaire limitée à un pays donné, mais qui peut concerner l’ensemble des clients d’une plate-forme. Cela nous conduit donc à raisonner en approche globale, ici à la maille de l’Europe qui, rappelons-le, est en termes d’utilisateurs devant les États-Unis, alors que jusqu’à présent les législations nationales étaient un peu désemparées.
Pourquoi désemparées ?
Des juridictions étaient prêtes à faire de la créativité, typiquement en France où on a considéré que dès lors que Facebook ciblait un utilisateur français, alors le droit national de la consommation ainsi que celui de la protection de la vie privée et des données personnelles devaient s’appliquer. On restait néanmoins sur notre faim. Si cette affaire était arrivée avec un RGPD d’ores et déjà appliqué, on aurait eu l’exemple concret que ce texte n’est pas là pour embêter le monde. Il permet au contraire de traiter les failles du dispositif sous un angle européen. L’argument qui consiste à dire que les données ont été communiquées par les internautes au réseau social est d’ailleurs insuffisant. Le RGPD ne se limite pas qu’à la seule collecte, mais vise également le traitement et l’exploitation des données. En amont, la finalité doit être présentée de façon claire et loyale, en aval on doit s’attacher à ce que le traitement et l’exploitation respectent les finalités exposées. Autant de conditions qui semblent faire défaut dans l’affaire Facebook/Cambridge Analytica puisque la finalité du traitement des données collectées sous forme d’un test de personnalité s’est avérée à mille lieues de ce qui a été présenté.
Que peut faire une personne qui s’estime avoir été victime de Facebook ou de Cambridge Analytica ?
Déjà, elle peut retirer son consentement gratuitement et simplement. Facebook a mis en place une nouvelle interface qui permet à chacun de vérifier et révoquer les autorisations des applications tierces. Sur la réparation du préjudice, il peut y avoir une faute de la part de celui qui a collecté les données, celle de ne pas avoir été suffisamment vigilant que ce soit en amont avec la présentation des finalités du traitement, le recueil du consentement, mais également en aval avec la protection de la confidentialité des données collectées ainsi que le contrôle de l’usage qui peut en être fait par des tiers. Comme l’a déjà décidé la Cnil dans de récentes décisions anticipant le RGPD, on ne peut plus se retrancher derrière la cape du sous-traitant. Sur le terrain civil, une victime peut d’ores et déjà monter un dossier d’indemnisation, avec un cheminement classique : la démonstration d’une faute, d’un préjudice et d’un lien de cause à effet. Il reste également la possibilité de saisir la Cnil pour faire sanctionner de tels comportements, étant précisé qu’elle ne peut procéder à l’indemnisation des préjudices individuels – il faut saisir le juge pour cela. Cependant, l’enquête se fera sous l’emprise préRGPD alors qu’à partir du 25 mai, les obligations seront nettement plus claires. Les sanctions peuvent atteindre des niveaux dissuasifs pour inciter les entreprises à respecter la philosophie du règlement, – qui, rappelons-le, est un texte profondément novateur car il privilégie la confiance et la responsabilisation au contrôle bureaucratique – et collaborer avec les autorités en charge de la protection des données personnelles. ❍