En octobre 2019, l’ICO, autorité de contrôle des données personnelles britannique, a obtenu du réseau social un accord selon lequel il s’engage à lui verser la modeste somme de 500 000 livres. Facebook a également été condamné au Brésil. Ainsi s’allonge la liste des procédures et des sanctions visant le réseau social.
Facebook apprécierait sans doute que l’affaire Cambridge Analytica ne soit plus qu’une page sombre de son passé. Celle-ci demeure cependant d’actualité, et la multinationale du numérique en paye encore les conséquences, du moins en terme d’image. Cambridge Analytica était une entreprise britannique spécialisée dans l’analyse de données, qui a en particulier collaboré avec les équipes de Donald Trump durant la campagne présidentielle américaine de 2016. Elle a exploité les données à caractère personnel d’environ 90 millions d’utilisateurs de Facebook à leur insu, donnant ainsi son nom à un vaste scandale. Facebook autorisait alors les développeurs d’applications à aspirer les données de leurs utilisateurs et aussi celles de leurs « amis » (voir La rem n°48, p.90).
Une telle récolte d’informations confidentielles n’a donc été permise ni par un piratage ni par l’exploitation d’une faille de sécurité. Ce sont les règles de fonctionnement du réseau social qui ont été optimisées par la société Cambridge Analytica. Certains dirigeants de Facebook l’ont d’ailleurs bien maladroitement défendu en confirmant eux-mêmes l’absence de piratage informatique. Le scandale Cambridge Analytica s’est ainsi rapidement mué en scandale Facebook. La crédibilité de la société californienne a été vivement remise en cause pour ne pas avoir tenté d’empêcher des attaques flagrantes envers la démocratie, offrant les moyens à Cambridge Analytica d’exercer une propagande électorale ciblée, de promouvoir des théories du complot et de développer l’alt-right, c’est-à-dire certains mouvements d’extrême droite américains.
Au Royaume-Uni, un accord permet de clôturer une procédure judiciaire. Le géant de l’économie numérique était poursuivi pour avoir utilisé à leur insu les données de millions de Britanniques et ainsi permis des ingérences dans le référendum sur la sortie du Royaume-Uni de l’Union européenne, nuisant donc à la sincérité du scrutin. C’est pourquoi il a accepté de payer à l’autorité de contrôle des données personnelles (l’ICO – Information Commissioner’s Office) le montant de 500 000 livres (580 000 euros). Un tel montant, très faible au regard du chiffre d’affaires de Facebook, correspond cependant à la somme maximale à laquelle il aura été possible de le condamner dans le cadre de la loi britannique sur la protection des données, très loin des montants beaucoup plus dissuasifs, autorisés par le RGPD (jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent).
Cette transaction met un terme à la procédure contentieuse en cours devant la justice britannique. Le communiqué publié par l’ICO précise que l’accord ne doit pas être interprété comme une reconnaissance de culpabilité de la part de Facebook. Ce dernier avait contesté devant la justice cette amende infligée dès 2018 par l’ICO. S’est alors ensuivie une bataille judiciaire à laquelle cet accord met fin de façon amiable.
De l’autre côté de l’Atlantique, le Brésil s’est inscrit sur la liste des pays qui ont condamné Facebook en raison de son laxisme à l’égard de la protection des données de ses utilisateurs. Le 30 décembre 2019, le Département de la protection et de la défense du consommateur, rattaché au ministère de la justice, a annoncé avoir infligé une amende de 6,6 millions de reais (1,5 million d’euros) au réseau social pour « pratique abusive ». Cette pratique, aux yeux de la justice brésilienne, a consisté à « partager de façon indue des données d’usagers », c’est-à-dire à permettre à la société Cambridge Analytica d’accéder aux informations personnelles de quelque 443 000 internautes brésiliens.
En juillet 2019, Facebook avait déjà été condamné à une amende record de 5 milliards de dollars aux États-Unis par la Federal Trade Commission (FTC) pour ne pas avoir protégé les données personnelles de ses utilisateurs (voir La rem n°52, p.77). Outre le Royaume-Uni, le Brésil et les États-Unis, d’autres pays comme l’Espagne ou l’Italie ont condamné Facebook pour non-respect du droit des données dans le cadre du scandale Cambridge Analytica.
Contrainte de réagir, la multinationale de l’économie numérique a annoncé en septembre 2019 avoir suspendu des dizaines de milliers d’applications susceptibles de ne pas respecter la vie privée des internautes. L’un de ses responsables, Harry Kinmonth, cité par l’AFP, a déclaré que sa société « reconnaît qu’elle aurait dû faire plus pour enquêter sur les plaintes à propos de Cambridge Analytica en 2015 ». Et de souligner : « Nous avons engagé des changements majeurs dans notre plateforme, en restreignant significativement les informations auxquelles peuvent avoir accès les développeurs d’applications. » Facebook a tout intérêt à rechercher un certain équilibre entre le développement de son modèle économique et la protection des données de ses utilisateurs, au risque de tarir une autre ressource, sans laquelle aucune activité dans l’économie numérique n’est possible, la confiance.
Sources :
- « Cambridge Analytica : Facebook accepte de payer une amende de 500.000 livres », avec AFP, lefigaro.fr, 30 octobre 2019.
- « Scandale Cambridge Analytica : le Brésil inflige une amende de 1,5 million d’euros pour Facebook », Le Monde avec AFP, lemonde.fr, 30 décembre 2019.
