Le commissaire à la protection des données irlandais (DPC) a publié, mercredi 21 décembre, les résultats d’une enquête sur le réseau social Facebook. « Alors que les rapports d’audit sont rarement rendus publics, le DPC et Facebook ont décidé d’un commun accord, et dans l’intérêt de la transparence, que l’intégralité du contenu de l’audit serait rendu public », explique le réseau social, dans un communiqué.
« L’audit a montré une approche positive et un engagement de Facebook Irlande à respecter la confidentialité de ses utilisateurs », résume l’organe irlandais. Mais Facebook doit notamment travailler à « des explications plus simples sur sa politique sur la vie privée » et à « un accès simplifié et une mise en valeur de cette politique ». Le résultat de cet audit, qui s’est déroulé durant trois mois, était très attendu. Le siège international du réseau social, qui revendique plus de 800 millions d’inscrits, est en effet situé à Dublin.
Dans son rapport de près de 150 pages, l’autorité de contrôle a examiné les services proposés par le réseau social. De la granularité des réglages de confidentialité à la transmission des données via les applications tierces, en passant par la reconnaissance faciale sur les photographies.
Ce rapport est publié alors qu’un collectif autrichien, Europe versus Facebook, a déposé en septembre vingt-deux plaintes portant sur plusieurs fonctionnalités du réseau social. (cf. Nea say N° 114 http://www.eu-logos.org/eu-logos_nea-say.php?idr=4&idnl=2254&nea=114&lang=fra&lst=0) Max Schrems, étudiant en droit habitant Vienne, accuse aussi Facebook d’avoir conservé de très nombreuses informations qu’il avait publiées puis effacées sur le réseau social. Il soupçonne également Facebook de créer des « profils fantômes », rassemblant des informations sur des personnes qui n’ont pas créé de comptes, sans l’avoir déclaré.
Mais d’après le DPC, « alors que certaines informations qui pourraient être utilisées pour établir ce que certains appellent un ‘profil fantôme’ d’une personne qui n’utilise pas encore Facebook sont reçues par Facebook, aucune utilisation de cette nature n’est faite de ces données ».
Concernant le système d’identification des personnes photographiées par reconnaissance faciale, le commissaire indique également que Facebook aurait dû introduire cette fonction « d’une manière plus appropriée ». D’autres organes de protection, notamment en Allemagne, ont décidé de mener une enquête approfondie sur ce service.
Pour le bouton « j’aime », qui permet aux internautes de signaler leurs centres d’intérêt sur le réseau social, mais aussi sur les sites Web qui l’ont intégré, le commissaire irlandais demande une anonymisation des informations, et un effacement dans un délai maximum de 90 jours. Le DPC se félicite toutefois que les « modules sociaux » ne sont pas utilisés par Facebook à des fins de publicité ciblée.
« Nous apprécions le fait que le DPC ait reconnu que le rythme auquel nous proposons de nouveaux produits et de nouvelles fonctionnalités requiert un dialogue permanent avec les organismes de réglementation afin d’assurer le maintien des protections adéquates », indique Facebook dans un communiqué. Le réseau social s’engage par ailleurs à « changer un certain nombre de nos politiques relatives à la rétention et à la suppression des données (…) afin de minimiser la quantité d’informations collectées sur les personnes qui ne sont pas connectées à Facebook ».
« Ce rapport ne marque pas la conclusion de notre engagement avec Facebook Irlande », précise toutefois le commissaire. De fait, un autre examen est prévu pour le mois de juillet 2012. « Le rapport a été écrit en coopération avec Facebook, et ne peut pas être considéré comme pleinement indépendant », tempère toutefois le collectif Europe versus Facebook .
Cette étude intervient alors que Facebook a annoncé, en novembre, un accord passé avec la Federal Trade Commission. L’accord, qui ne constitue pas une condamnation ou une reconnaissance de manquements à la loi, prévoit plusieurs mesures, comme un engagement à se soumettre à des audits indépendants durant vingt ans.
Pour en savoir plus
-. Le rapport du commissaire irlandais à la protection des données http://dataprotection.ie/viewdoc.asp?DocID=1182&m=f
-. Europe-versus- Facebook http://europe-v-facebook.org/
-. Dossier Facebook de Nea say http://www.eu-logos.org/eu-logos-nea-recherche.php?q=facebook&Submit=%3E