Facebook, le réseau social le plus populaire au monde, est aussi l’une des plateformes les plus intrusives en matière de collecte de données personnelles. Selon une étude réalisée par Consumer Reports et The Markup, deux organisations indépendantes de défense des consommateurs, Facebook reçoit des informations sur chaque utilisateur de la part d’une moyenne de 2 230 entreprises, et parfois plus de 7 000. L’étude s’est basée sur les archives de données Facebook de 709 volontaires, qui ont accepté de les partager avec Consumer Reports. En analysant ces données, les chercheurs ont pu identifier les sources qui envoient des informations à Facebook sur l’activité en ligne des utilisateurs, sans qu’ils le sachent. Il s’agit d’un type de suivi dit « serveur à serveur », qui se fait directement entre les serveurs des entreprises et ceux de Meta, la maison mère de Facebook. Un autre type de suivi, plus visible, consiste à placer des pixels de traçage de Meta sur les sites web des entreprises, ce qui permet aux navigateurs des utilisateurs de les détecter.
La plupart des internautes savent désormais que leur activité en ligne est constamment suivie. Personne ne devrait être choqué de voir apparaître des publicités pour des articles qu'il a précédemment recherchés, ou de se voir demander si ses données peuvent être partagées avec un nombre inconnu de « partenaires ». Mais quelle est l'ampleur de cette surveillance ? À en juger par les données collectées par Facebook et récemment décrites dans une étude réalisée par Consumer Reports, elle est massive, et l'examen des données peut vous laisser avec plus de questions que de réponses.
En utilisant un panel de 709 volontaires qui ont partagé des archives de leurs données Facebook, Consumer Reports a découvert qu'un total de 186 892 entreprises ont envoyé des données les concernant au réseau social. En moyenne, chaque participant à l'étude a vu ses données envoyées à Facebook par 2 230 entreprises. Ce chiffre varie considérablement, les données de certains panélistes faisant état de plus de 7 000 entreprises fournissant leurs données. Un exemple extrême montre que « près de 48 000 entreprises différentes ont été trouvées dans les données d’un seul volontaire ».
The Markup a aidé Consumer Reports à recruter des participants pour l'étude. Les participants ont téléchargé une archive des trois dernières années de leurs données à partir de leurs paramètres Facebook, puis les ont fournies à Consumer Reports.
En collectant les données de cette manière, l'étude a pu examiner une forme de suivi qui est normalement cachée : le suivi dit « de serveur à serveur », dans lequel les données personnelles passent des serveurs d'une entreprise aux serveurs de Meta. Une autre forme de suivi, dans laquelle des pixels de suivi Meta sont placés sur les sites web des entreprises, est visible par les navigateurs des utilisateurs.
Étant donné que les données proviennent d'un groupe d'utilisateurs autosélectionnés et que les résultats n'ont pas été ajustés sur le plan démographique, l'étude "ne prétend pas que cet échantillon est représentatif de l'ensemble de la population des États-Unis", précise Consumer Reports. Les participants étaient également plus soucieux de la protection de la vie privée et de la technique que les utilisateurs habituels, et plus susceptibles d'être membres de Consumers Reports.
Et voici les résultats :
Ce que nous avons découvert dans les fichiers de données des consommateurs est frappant. La portée globale du partage de données et de la publicité ciblée sur Facebook est immense.
- Nous avons trouvé un peu plus de 186 000 entreprises différentes représentées dans les données de 709 participants. Parmi eux, 682 participants voient leurs données d'événements envoyées à Facebook, et 693 d'entre eux sont inclus dans les données d'audiences personnalisées.
- Chacune de ces plus de 186 000 entreprises a partagé des données sur une moyenne de huit participants à notre étude.
- Le participant moyen à notre étude a été identifié dans les données de 2 230 entreprises différentes ; certains ont été identifiés par plus de 7 000 entreprises.
- L'entreprise qui a partagé des données sur le plus grand nombre de participants était LiveRamp, un courtier de données, qui a partagé des données sur 679, soit environ 96 %, des participants à l'étude.
- Les 100 entreprises qui apparaissent le plus fréquemment dans notre échantillon ont chacune partagé ou demandé à leur prestataire de services de partager des données sur plus de la moitié des 709 bénévoles. (Ces sociétés sont répertoriées à l'annexe E.) Parmi ces sociétés, 39 sont des détaillants ou des marques grand public, 28 sont des agences ou des fournisseurs de services, 19 sont des courtiers en données, 4 sont des sociétés de services politiques et 10 sont mieux classées dans la catégorie « autres ».
Que contiennent exactement ces données ?
Les données examinées par Consumer Reports dans cette étude proviennent de deux types de collecte : les événements et les audiences personnalisées. Ces deux catégories comprennent des informations sur ce que les gens font en dehors des plateformes de Meta.
Les audiences personnalisées permettent aux annonceurs de télécharger des listes de clients vers Meta, comprenant souvent des identifiants tels que des adresses électroniques et des identifiants de publicité mobile. Ces clients, ainsi que les audiences dites "look-alike" composées de personnes similaires, peuvent ensuite être ciblés par des publicités sur les plateformes de Meta.
L'autre catégorie de données collectées, les "événements", décrit les interactions que l'utilisateur a eues avec une marque, qui peuvent se produire en dehors des applications de Meta et dans le monde réel. Les événements peuvent inclure la consultation d'une page sur le site web d'une entreprise, la montée en niveau dans un jeu, la visite d'un magasin physique ou l'achat d'un produit. Ces signaux proviennent du code logiciel de Meta inclus dans de nombreuses applications mobiles, de son pixel de suivi, qui figure sur de nombreux sites web, et du suivi de serveur à serveur, lorsque le serveur d'une entreprise transmet des données à un serveur de Meta.
Meta défend ses pratiques d'entreprise
Meta, qui a récemment changé de nom pour se démarquer de Facebook, se défend de toute pratique abusive. Le porte-parole de Meta, Emil Vazquez, a défendu les pratiques de l'entreprise : « Nous proposons un certain nombre d'outils de transparence pour aider les gens à comprendre les informations que les entreprises choisissent de partager avec nous et à gérer la manière dont elles sont utilisées », a assuré Vazquez.
Bien que Meta fournisse des outils de transparence comme celui qui a permis l'étude, Consumer Reports a identifié des problèmes avec ceux-ci, notamment le fait que l'identité de nombreux fournisseurs de données n'est pas claire d'après les noms divulgués aux utilisateurs et que les entreprises qui fournissent des services aux annonceurs sont souvent autorisées à ignorer les demandes de désinscription.
Une entreprise est apparue dans 96 % des données des participants : le courtier de données LiveRamp, basé à San Francisco. Mais les entreprises qui partagent votre activité en ligne sur Facebook ne sont pas que des courtiers en données peu connus. Des détaillants comme Home Depot, Walmart et Macy’s figuraient tous parmi les 100 entreprises les plus fréquemment consultées dans l’étude. Des sociétés d’évaluation du crédit et de données sur les consommateurs telles qu’Experian et Neustar de TransUnion figuraient également sur la liste, tout comme Amazon, Etsy et PayPal.
Comment pouvez-vous voir vos données ?
Les utilisateurs de Facebook peuvent parcourir la liste des entreprises qui ont envoyé leurs données à Facebook en se rendant dans le Centre des comptes et en cliquant sur « Vos informations et autorisations ».
À partir de ce menu, les utilisateurs peuvent télécharger ou accéder à leurs informations. Pour voir les entreprises extérieures à Meta qui ont partagé vos informations, sélectionnez « Votre activité hors des technologies Meta », puis « Activité récente ». À ce stade, vous serez peut-être invité à ressaisir votre mot de passe. Cette vue vous montrera le nombre de connexions récentes entre diverses entreprises tierces que vous avez visitées et Meta, ainsi que des exemples de l'activité partagée. Vous pouvez choisir d'empêcher le partage futur par l'entreprise en sélectionnant «*Déconnecter*». Pour voir des informations détaillées sur ces interactions, demandez une copie de vos données.
Mais après avoir franchi les nombreuses étapes nécessaires pour mettre la main sur ces données, vous vous retrouverez peut-être encore avec des questions persistantes. Par exemple, en plus des noms d’entreprises facilement reconnaissables, plus de 7 000 entreprises de l’étude de Consumer Reports ont été nommées à l’aide d’un charabia illisible, ou simplement de chiffres qui ne signifient rien pour la plupart des utilisateurs. Même les entreprises dont les noms sont lisibles n’incluaient souvent pas de liens vers le site Web de l’entreprise. Certains noms de sociétés étaient ambigus, comme Viking, qui pouvait désigner plusieurs entreprises différentes.
« Ce type de suivi, qui s'effectue totalement hors de la vue de l'utilisateur, est tout simplement en dehors de ce à quoi les gens s'attendent lorsqu'ils utilisent Internet », a déclaré Caitriona Fitzgerald, directrice adjointe de l'Electronic Privacy Information Center, à The Markup dans une interview. Fitzgerald a déclaré que même si les utilisateurs savent probablement que Meta sait ce qu'ils font lorsqu'ils sont sur Facebook et Instagram, « ils ne s'attendent pas à ce que Meta sache dans quels magasins ils entrent, quels articles de presse ils lisent ou chaque site qu'ils visitent en ligne ».
Vos informations et autorisations Demander une copie de vos donnéesSource : rapport
Et vous ?
Trouvez-vous cette enquête crédible ? Pourquoi ou pourquoi pas ? Que pensez-vous de la méthodologie appliquée ? Que pensez-vous du niveau de surveillance exercé par Facebook et les autres entreprises sur les utilisateurs du réseau social ? Quelles sont les conséquences potentielles de ce partage de données personnelles sur la vie privée, la sécurité, et les droits des utilisateurs ? Quels sont les outils ou les mesures que vous utilisez ou que vous recommandez pour protéger vos données personnelles sur internet ? Quel est le rôle des autorités publiques et des organisations de la société civile dans la régulation et le contrôle de la collecte et du partage des données personnelles sur internet ? Quelle est la responsabilité de Meta, la maison mère de Facebook, dans le respect de la vie privée et des choix des utilisateurs du réseau social ?