C'est en grande pompe qu'à la mi-mai, Facebook déclarait avoir suspendu 200 applications de sa plateforme, soupçonnées après enquête de la firme californienne, d'utiliser les données personnelles de ses utilisateurs sans avoir consenti à demander leur consentement. Cette annonce intervient après le scandale Cambridge Analytica, qui a éclaté en mars dernier, soit deux mois avant l'entrée en application du RGPD. Le cabinet de stratégie en communication évoluant dans le big data à des fins notamment de publicité en ligne, est accusé d'avoir collecté et exploité à travers une application de « tests psychologiques » les données personnelles de près de 87 millions d'utilisateurs de Facebook. Les informations récoltées auraient été utilisées pour développer un logiciel prédictif capable d'influencer le vote des électeurs américains à l'élection présidentielle.

L'entreprise britannique, assurant qu'il s'agit de pratiques tout à fait légales, a préféré mettre la clé sous la porte, compte tenu du rush médiatique et des impacts que cela a suscité, alors que dans le même temps, Facebook dénonçait de son côté être victime d'un abus de confiance et affirmait ignorer tout de cette pratique.

D'ordinaire si stratégique et innovant, Mark Zuckerberg n'a eu d'autre choix que de s'expliquer devant le Congrès américain, et ainsi promettre de mieux protéger les données de ses utilisateurs, en limitant leur utilisation.

Une stratégie de diversion parfaite ?

Peut-on croire que Facebook ne connaissait pas les pratiques de Cambridge Analytica et des 200 autres applications "blacklistées" par elle ? Peut-être. Doit-on la croire quand elle parle d'abus de confiance ? C'est nettement plus discutable. Difficile de ne pas penser à de la simple complaisance quand on sait que Facebook est loin de compter parmi les entreprises les plus préoccupées par la protection des données personnelles. Ne parle-t-on pas de cette firme dont le fondateur avait annoncé la mort du concept même de vie privée il y a déjà plusieurs années, et qui l'a longtemps pensé avant de faire machine arrière ?

Évidemment, loin de penser qu'il s'agisse de malveillance. Bien au contraire. Facebook fait partie de ces innovateurs, des essayeurs du numérique, des "early adopters" de nouvelles technologies. Et il en faut. Mais pourquoi Facebook a-t-il attendu si longtemps pour lancer une telle initiative d'audit des applications ? La réponse est simple. La limite des activités de Facebook est concomitante à ce que peut accepter sa communauté d'utilisateurs et bien évidemment, aux risques financiers, qui n'a plus rien d'hypothétique avec le RGPD.

Malgré les astuces de Facebook pour réduire les impacts de la réglementation, il y a, en effet, bel et bien un avant et après Cambridge Analytica. Le sujet devient de plus en plus sensible pour toutes les entreprises ou entreprises hors UE souhaitant faire des affaires dans et/ou avec l'UE. Mais tenons le pour dit : le RGPD reste une contrainte pour Facebook, non une valeur.

Face à ce changement d'ère, Facebook avait déjà mis en place, avant le scandale, des processus concernant les applications tierces : demandes d'accès aux applications, validation des droits, etc. Ces processus existaient mais ne sont désormais plus systématiques et rigoureux, car les utilisateurs ne pardonnent plus tout en bloc. Et c'est bien ce changement qui a dicté la conduite de Facebook, malmenée, en clouant au pilori des applications tierces sous couvert de respecter le RGPD, en se faisant passer pour un bon élève.

Valeur vs contrainte : le prochain challenge de la protection des données

C'est une bonne nouvelle que ce scandale puisse inciter les entreprises à améliorer la prise en compte de la vie privée et la sécurité de leurs utilisateurs. Mais ce dont nous avons besoin, c'est d'un changement en profondeur des mentalités comme des modèles économiques et de développement, où les données sont le modèle d'affaires. Cela doit être fait précisément par les principaux acteurs, les Gafa.... Ceux-là même dont le pourcentage d'utilisateurs qui acceptera sans trop broncher les politiques de développement sera bien supérieur à celui d'autres plateformes moins prédominantes. Sinon, qui le fera et sur quelle base d'égalité ? Mais tant qu'ils ne changeront pas leur modèle, le contexte restera le même et l'utilisation abusive des données restera une routine.

Dans une récente interview, notre secrétaire en charge du numérique Mounir Mahjoubi, a eu la formule suivante : « Le "FacebookGate" est un appel au réveil sur la confidentialité et la sécurité des données ». Le RGPD sera, en effet, un véritable test : l'UE aura-t-elle la capacité de condamner fermement les contrevenants, surtout lorsqu'ils viendront de l'extérieur de l'UE ? Saura-t-elle ouvrir la voie à des réflexions stratégiques de protection des données et à de véritables virages ?

Cette question est d'autant plus importante qu'il convient de rappeler que le règlement n'interdit rien. Il ne fait que responsabiliser les entreprises et les invite à mieux prendre en compte les risques liés à l'utilisation des données personnelles, en ce qui concerne les droits fondamentaux et la liberté des utilisateurs.

Alors en attendant que les habitudes d'innovation changent, que des modèles économiques accueillent le principe de précaution comme un nouveau pilier, il importe que les utilisateurs ne soient pas désensibilisés en leur laissant croire que le RGPD leur hachera menu tout le travail de la sécurisation de leurs données.

Pour protéger ses données : mieux vaut compter d'abord sur soi-même

Du côté des utilisateurs, il faut souligner qu'ils sont de plus en plus concernés par le sort de leurs données. Potentiellement victimes, ils doivent prendre plus de temps pour consulter les pages de politique de confidentialité. Qu'en est-il de ces utilisateurs finaux ? Sont-ils acteurs de la sécurité en ligne de leurs données ? Il n'est pas inutile de rappeler certains points.

• Les dangers du Wi-fi public

Lorsque vous rejoignez un réseau Wi-Fi public ouvert à votre café préféré, vous pouvez obtenir plus qu'un expresso. Vous pourriez potentiellement être victime d'un vol d'informations. En outre, un pirate peut avoir créé un faux réseau Wi-Fi qui semble réel (avec un nom similaire par exemple). L'utilisation d'un VPN est donc fortement recommandée.

• Les dangers des applications

Les applications sur votre smartphone peuvent vous espionner. Soyez très prudent lorsque vous sélectionnez des applications. Jetez un œil aux fonctionnalités dictées par le développeur. Maximisez les paramètres de confidentialité autant que possible.

• Les dangers des médias sociaux

Évitez les quiz Facebook qui peuvent relever toutes vos données (Cambridge Analytica). Minimisez les informations que vous partagez sur les réseaux sociaux. N'acceptez pas les demandes de personnes que vous ne connaissez pas.

Tout le monde peut prétendre être quelqu'un d'autre en ligne - prenez des mesures supplémentaires pour assurer votre sécurité et celle de votre famille. En conclusion, n'hésitez pas à vous référer à des conseils, guides, vidéos de la part des professionnels du secteur et autres associations, sans oublier le site de la CNIL et ses guides qui fournissent de bons conseils et recommandations.

___

Par Norman Girard, vice-président et directeur général Continental Europe de Varonis.