Facebook illégal en Europe ? La fuite d’un document sur les publicités Facebook soulève de nouvelles questions sur l’application de la RGPD

Motherboard/Vice a publié hier un rapport explosif sur les activités de Facebook qui ne manquera pas de soulever de nouvelles questions sur l’absence d’application des lois européennes sur la protection de la vie privée à l’encontre du géant de la publicité.

Le rapport se fonde sur un document interne qui a fait l’objet d’une fuite et qui a été rédigé l’année dernière par des ingénieurs chargés de la protection de la vie privée au sein de l’équipe chargée des produits publicitaires et commerciaux.

Le document, intitulé « ABP Privacy Infra, Long Range Investments [A/C Priv] », semble montrer des ingénieurs du géant technologique désormais connu sous le nom de Meta se grattant la tête devant la tâche cauchemardesque à laquelle ils sont confrontés : Il s’agit de faire en sorte que les activités publicitaires de Facebook, qui absorbent des données, soient conformes à un « tsunami » de réglementations mondiales en matière de protection de la vie privée, qui exigent que l’entreprise sache comment les données des utilisateurs circulent dans ses systèmes, afin qu’elle puisse appliquer des politiques qui contrôlent ce qui est fait avec les informations des personnes et effectuer des tâches de base comme refléter les choix de confidentialité des personnes. Ainsi, la prochaine fois que Sheryl Sandberg parlera des « vents contraires réglementaires » de Meta, voici la viande contextuelle à greffer sur ces os euphémisés.

Le texte de Meta utilise des sténogrammes/acronymes internes à l’entreprise dont la signification littérale n’est pas toujours claire. Mais l’essentiel du texte – qui vaut la peine d’être lu en entier si vous avez le temps de lire 15 pages de texte, de diagrammes et de quelques analogies colorées comme celle qui compare les informations d’une personne à une bouteille d’encre versée dans un lac géant (oopsy !) – c’est que Meta a « conçu » son système publicitaire d’une manière tellement insensée qu’il est très, très, très loin de pouvoir se conformer à des lois (même existantes) comme le Règlement général sur la protection des données (RGPD) de l’Europe, qui comporte un principe de limitation de la finalité, ce qui signifie qu’il faut une base juridique pour chaque utilisation de données personnelles. D’après le document, les ingénieurs de Meta ne semblent pas non plus être en mesure de transformer le désordre et de se conformer en temps voulu à un tas d’autres réglementations mondiales à venir. (Et ne les lancez même pas sur ce que les réglementations sur l’IA pourraient signifier pour l’entreprise).

En lien avec cet article :  Instagram : Cette nouvelle fonctionnalités représentent désormais plus de 20 % du temps que les utilisateurs passent sur le réseau social de Meta !

Meta conteste que le document montre le non-respect de toute loi sur la confidentialité, bien sûr.

Dans une déclaration à Motherboard, la société affirme que le document « ne décrit pas nos processus et contrôles étendus pour se conformer aux réglementations sur la vie privée » ; ajoutant par conséquent qu' »il est tout simplement inexact de conclure qu’il démontre une non-conformité » ; et affirmant en outre : « Les nouvelles réglementations sur la vie privée à travers le monde introduisent différentes exigences et ce document reflète les solutions techniques que nous construisons pour mettre à l’échelle les mesures actuelles que nous avons mises en place pour gérer les données et respecter nos obligations. »

Wolfie Christl, chercheur indépendant spécialisé dans la protection de la vie privée et expert en analyse judiciaire des flux de données publicitaires, a une vision différente de ce que révèle le document qui a fait l’objet de la fuite, qu’il qualifie de « dynamite » et d' »aveu » (bien que Meta ne l’ait pas destiné à la consommation publique) de non-conformité au GDPR. Voir son fil Twitter détaillé ici – où il décortique et contextualise les implications des observations des ingénieurs, comme il le voit.

Le document identifie trois raisons pour lesquelles FB a décidé de ne pas se conformer au GDPR :

Elle n’a tout simplement pas voulu dépenser l’argent2) Ses systèmes de surveillance et de publicité ne permettent pas de suivre la manière dont les données personnelles sont utilisées pour les  » publicités « 3) Elle n’a tout simplement pas voulu dépenser l’argent pic.twitter.com/gNGJJa1Y5C

– Wolfie Christl (@WolfieChristl) 26 avril 2022

« Le document est une confession directe et claire que toute l’activité de Facebook est basée sur une violation massive du GDPR au niveau le plus fondamental », déclare Christl à TechCrunch. « La limitation de la finalité est l’un des principes les plus fondamentaux du GDPR. Une entreprise ne peut généralement collecter des données personnelles que dans un but précis. Si une entreprise ne peut pas spécifier la finalité pour laquelle elle collecte des données personnelles, elle n’est tout simplement pas autorisée à les traiter en vertu du GDPR. »

Interrogé sur ce que devrait faire le principal régulateur de la protection des données de Meta dans l’UE, M. Christl ajoute : « Le régulateur irlandais doit agir maintenant. Si Facebook n’est pas en mesure d’indiquer clairement comment exactement sa machine de surveillance publicitaire utilise les données personnelles, il faut lui ordonner de cesser de les traiter. »

En lien avec cet article :  Comment Persévérance se déplace plus rapidement que les précédents rovers martiens ?

TechCrunch a contacté la Commission irlandaise de protection des données (DPC) pour lui demander si elle allait ouvrir une enquête sur les flux de données publicitaires de Meta à la lumière de ce que le document semble montrer comme étant, fondamentalement, un système publicitaire qui, soit par conception ou par construction systémique, existe (ou a existé en 2021) dans un état qui est antithétique à la réglementation – et, en effet, si le document est pertinent pour l’une des (plusieurs) enquêtes en cours qu’elle a sur les aspects de l’activité de Facebook.

Le régulateur n’a pas fait de déclaration, mais le commissaire adjoint Graham Doyle a confirmé qu’il n’avait vu le document que pour la première fois lorsque Motherboard/Vice l’a publié.

Cela peut soulever d’autres questions, étant donné que le CPD a – sur le papier – enquêté sur la conformité de l’activité publicitaire de Facebook avec l’exigence du GDPR d’avoir une base légale valide pour traiter les données des personnes depuis près de quatre ans maintenant.

Carlos

Written by Carlos

L'évolution permanente des nouvelles technologies motive la passion de Carlos dans ce secteur. Rédacteur web et journaliste depuis 10 ans, il partage cette passion à travers ses écrits pour le site Miroir Mag et d'autres médias spécialisés.