Par Charles Cuvelliez et Jean-Michel Dricot, Ecole Polytechnique de Bruxelles, Université libre de Bruxelles.

Charles Cuvelliez était le modérateur du panel de discussion de la conférence « ePrivacy & GDPR » organisée le 1er mars dernier par CREOBIS. Les débats lui ont inspiré cet article publié dans la tribune du 5 mars dernier et l’actualité récente nous démontre à quel point il est pertinent !

On évoque tous les jours les entreprises européennes qui ne sont pas prêtes pour le RGPD, le fameux règlement pour la protection des données privées qui encadre fortement (avec une amende salée à la clé) l’usage des données à caractère personnel. Mais qu’en est-il des géants d’Internet, contre qui ce RGPD est (un peu beaucoup) dirigé, sont-ils prêts ?

Facebook ne serait nulle part d’après l’université de Madrid qui a mené une expérience qui en dit long sur les possibilités de manipulation du réseau. Ce réseau social profilerait, rien que ça, 73% de ses utilisateurs européens, à leur insu (c’est-à-dire sans consentement, pierre angulaire du RGPD), sur base de critères très sensibles strictement interdits par le RGPD (orientation sexuelle, politique ou religieuse, santé). Ce profilage est mis à disposition des annonceurs qui peuvent, alors, choisir à qui envoyer leurs publicités, sans pouvoir les identifier individuellement, c’est vrai …sauf que les auteurs démontrent le moyen d’y arriver !

C’est une malheureuse publicité pour rejoindre une communauté gay envoyée à l’un des auteurs de l’étude qui a mis le feu aux poudres. Le chercheur en question n’avait pourtant jamais rien mentionné explicitement. Le groupe de recherche qu’il met sur pied met au point une extension pour navigateur sur Internet qui informe en temps réel les utilisateurs de Facebook sur les préférences assignées par ce dernier sur base de leur comportement en ligne. Cette extension estime aussi le revenu qu’on génère pour Facebook sur base de son profil et du nombre de pubs visualisées.

Ads Manager, à double tranchant

Ce qui a « piégé » Facebook, c’est son outil Ads Manager qui permet aux annonceurs de cibler les utilisateurs à qui envoyer la pub. Les critères sont larges : localisation, sexe, l’âge, langue, comportement (utilisent-ils leur mobile pour Facebook, Windows, Apple, voyagent-ils beaucoup…) mais aussi leur intérêt (voiture, nourriture, cosmétique…). Ce dernier critère est impressionnant par le choix offert: des milliers de combinaisons sont possibles et hiérarchisées. Tout est fait pour faciliter la tâche des annonceurs : ils peuvent introduire un texte libre décrivant le groupe cible. Facebook propose alors les paramètres à sélectionner. Ceci dit, les utilisateurs de Facebook peuvent avoir accès à leur profilage et les modifier mais peu le savent.

Les chercheurs ont pu déterminer, avec leur extension de navigateur installée par quelques milliers de volontaires, sur quelle base le profilage est réalisé. Force est de constater qu’il est mis au point sans le consentement de l’utilisateur : sur ce que ce qu’il a liké, vu comme pages ou pub, sur base d’une app installée, sur base des pages web visitées, sur base des commentaires, posts, partages. Pas sûr que tous les utilisateurs de Facebook aient donné leur consentement explicite, à moins de le demander pour chaque clic.

Pas de régime d’exception

Facebook est en contradiction avec le RGPD, même si celui-ci prévoit des exceptions. Aucune ne tient ici. Non, les informations que recueille Facebook ne sont pas nécessaires pour les intérêts vitaux de ses utilisateurs, oui, ils sont capables, physiquement, de donner leur consentement. Non, les données des utilisateurs sur Facebook ne sont pas déjà publiques. Ce profilage ne poursuit aucun intérêt public, autre exception possible au consentement. Enfin, ce profilage ne sert aucun but scientifique ou statistique.

4.577 utilisateurs ont installé l’extension du navigateur à la base de l’étude. 3.166 sont établis dans l’UE. Les chercheurs ont établi un ensemble de 126.192 préférences pour la publicité ciblée. Tout cela leur a permis de voir quelle proportion des utilisateurs de Facebook situé en Europe ont dans leur profil des mots clés se rapportant à des critères sensibles : le résultat est sans appel avec 73 % de ce panel de 3.166 utilisateurs. A l’aide de l’outil pour annonceurs, ils ont ensuite établi par pays de l’Union, le nombre d’utilisateurs qui tomberait dans les catégories identifiées comme sensibles. Il y a de grandes différences entre pays, le top 7 étant constitué de Malte, Chypre, Suède, Danemark, Irlande, Portugal et Grande-Bretagne. Les pays les moins affectés sont l’Allemagne, Pologne, Lettonie, Slovaquie et la République tchèque. Ce sont les jeunes adultes qui sont les plus représentés dans ce groupe « sensible ». En termes de critères très sensibles retrouvés dans le profil des utilisateurs, on retrouve la religion à 20,8 %, 18,2 % pour la santé, 1,5 % à la sexualité et 1,1 % pour l’origine ethnique. Les chercheurs ont ensuite utilisé l’outil pour annonceurs pour quantifier combien d’utilisateurs dans chaque pays européen. On reste un peu sans voix.

Facilement identifiable

Jusqu’ici, on se rassurait derrière le fait que les annonceurs n’ont pas accès individuellement aux utilisateurs finaux lorsqu’ils manipulent le Ads Manager. Sauf que la possibilité d’atteindre des utilisateurs finaux sur base de critères très sensibles permet de les identifier sans trop de mal. Et d’imaginer deux scénarios : il serait facile pour une organisation néonazie d’envoyer une campagne ciblée et offensante vers les utilisateurs avec homosexuel ou juif dans leurs préférences, leurs cibles de prédilection ! De fait, quel besoin d’identifier individuellement les usagers de Facebook si le but est atteint. Les chercheurs ont simulé cette stratégie, sans aller jusque bout évidemment : pour moins de 35 euros, ils pouvaient atteindre 26.000 utilisateurs ! C’est là qu’on comprend aussi comment les Russes ont pu si facilement influencer les élections américaines !

Autre scénario, plus subtil encore, pour identifier les utilisateurs finaux, lancer une attaque de phishing, c’est-à-dire envoyer une campagne ciblée demandant aux utilisateurs de donner des infos sur eux pour obtenir qui, un prix, qui, un iPhone ou un bon d’achat. Il y en a toujours qui tombent dans le panneau et c’est toujours autant d’utilisateurs identifiés. Les cyber-attaques dites d’identification, ce n’est pas un hasard, gagnent en popularité.

Ce n’est pas pour rien que Facebook a annoncé que jamais un projet, le RGPD, n’a mobilisé une si grande équipe de projet en interne. Il en a besoin !

 

Prochaines formations et conférence GDPR organisées par CREOBIS

24/04 : « ePrivacy & GDPR »– conférence d’actualité

24/05 : « Méthodologie de mise en place du GDPR »– Formation pratique

Share This