Mise en demeure de la CNIL sur la gestion des données personnelles de Facebook : qu’en penser ?
Par Erka Koivunen, Cyber Security Advisor chez F-Secure.
Selon l’article, l’autorité française responsable de la confidentialité a deux reproches envers Facebook :
1) Facebook suit les personnes sans compte Facebook ;
2) Facebook transfère ensuite ces données aux États-Unis.
Le deuxième reproche a trait au débat concernant l’accord Safe Harbor sur lequel je n’ai rien à ajouter pour l’instant. C’est le premier point qui nous intéresse ici.
Cela fait longtemps que je me méfie des réseaux sociaux comme Facebook qui essayent de m’identifier et de me suivre quand je consulte des sites tiers. Pour y parvenir, ces réseaux encouragent les administrateurs des sites à utiliser des « plugins sociaux » (comme les boutons J’aime et Partager) sur leurs pages web. Par exemple, Facebook recommande aux webmasters de procéder via ce lien : https://developers.facebook.com/docs/plugins/like-button.
C’est ce que j’appelle un « plugin social client » sur la page web. Quand un utilisateur arrive sur le site, son navigateur (le client) reçoit une requête pour contacter Facebook afin de récupérer l’image de l’icône et d’autres contenus applicables.
Pendant que votre navigateur récupère ces données, Facebook vérifie si vous êtes déjà connecté à votre compte Facebook et peut par exemple afficher combien de vos amis ont déjà aimé ou partagé le contenu que vous consultez. Il peut même parfois vous montrer qui a partagé la page sur son mur. Ainsi, Facebook sait exactement ce que vous avez consulté et peut lier ces informations à votre compte Facebook.
Cela ne vous choque peut-être pas outre mesure. Personne ne vous oblige à surfer avec le navigateur sur lequel vous gardez votre session Facebook ouverte. Peu d’utilisateurs savent que cette méthode existe, mais il convient de ne pas rejeter la faute sur Facebook pour autant.
Les choses se compliquent quand l’utilisateur n’a pas de compte Facebook. Une fois encore, l’icône est téléchargée depuis Facebook. J’ai l’impression que Facebook ne se contente pas d’enregistrer votre requête GET dans ses journaux httpd (cela me rappelle les années 90), mais vous incite à accepter en plus un cookie de suivi. Facebook ne sait pas qui vous êtes (en termes de profil Facebook, pas d’identité réelle), mais souhaite quand même suivre vos faits et gestes. Vous vous rendez ensuite sur une autre page, sur laquelle il existe également des boutons J’aime et Partager. Facebook lie donc ces deux pages à votre identité, et continuera d’amasser des données à partir de chaque page dotée d’un bouton J’aime ou Partager que vous consultez. Elles sont nombreuses.
J’ai du mal à voir en quoi cette pratique m’est bénéfique en tant qu’utilisateur. Pire encore, cette stratégie semble contribuer à mon objectification : je ne suis plus un utilisateur, mais une véritable monnaie d’échange. Par contre, je n’ai aucun mal à identifier les bénéfices pour Facebook.
Mais quels sont alors les avantages pour les administrateurs des sites ? Ils souhaitent certainement que leur contenu soit facile à partager pour leurs utilisateurs. Peut-être pensent-ils que tous ceux qui consultent leur site ont un compte Facebook, mais la réalité est toute autre. Si c’était le cas, il y aurait sûrement un grand nombre d’utilisateurs qui refuseraient d’être suivis ainsi par Facebook. En résumé, ce n’est pas le problème des administrateurs. Ce sont les utilisateurs qui sont concernés.
Il n’est donc pas étonnant de voir les utilisateurs les plus prudents installer des plugins anti-publicités, des modules de blocage de scripts ou autres composants pour limiter le partage d’informations avec des outils de suivi qu’ils ne connaissent pas. J’évite en général de surfer avec le navigateur sur lequel ma session est ouverte. Quand je surfe, je désactive les scripts et les cookies ainsi que les plugins de gestion de contenus. Les achats en ligne sont pour moi un défi de tous les instants. 🙂
Les administrateurs peuvent ajouter des fonctionnalités sociales à leur site de deux manières différentes. Ils peuvent transformer l’approche « client » en une approche « serveur » : au lieu d’indiquer au navigateur de récupérer les contenus sur le serveur de Facebook (ce qui expose l’utilisateur à Facebook), l’administrateur peut paramétrer son serveur pour qu’il aille chercher lui-même les informations sur le serveur de Facebook et affiche seulement les résultats.
C’est ce que fait la société nationale de radiodiffusion finlandaise sur le site qu’elle a créé à l’occasion des élections parlementaires (voir en bas de la page) :
http://yle.fi/uutiset/pelaa_kandideittia_ja_loyda_oma_eduskuntavaaliehdokas/7869067
Il est également possible d’utiliser le plugin allemand SocialSharePrivacy (http://panzi.github.io/SocialSharePrivacy/), utilisé notamment par l’expert en sécurité Bruce Schneier sur son blog. Avec cet outil, les utilisateurs doivent activer manuellement chaque plugin social. Par défaut, ceux-ci sont désactivés. Je le concède, cette manipulation peut s’avérer fastidieuse pour certains (en particulier ceux qui ignorent complètement les principes du suivi ou disent n’avoir « rien à cacher »). En revanche, cela permet d’attirer l’attention sur ce problème et aide l’utilisateur à reprendre le contrôle de ses données personnelles.
C’est un bel effort de la part des autorités françaises pour essayer de convaincre Facebook (affaire à suivre si elles y parviennent) d’arrêter de rassembler volontairement des données sur les non-utilisateurs. À ce stade, je ne peux pas me prononcer sur la décision finale, mais nous allons suivre cette affaire de près J
Petite note bonus : il est possible de se connecter à Facebook sans être « tracké » ! Il est nécessaire de déconnecter la « plateforme » Facebook.
Dans Paramètres des applications : https://www.facebook.com/settings?tab=applications§ion=all
“Applications, sites web et modules”
” Vous permet d’utiliser des applications, modules complémentaires, jeux et sites Internet sur Facebook et ailleurs.”
Il ne vous reste plus qu’à vous déconnecter !
Catégories