Si l’on a retenu quelque chose du voyage de Mark Zuckerberg à Washington, c’est l’honnêteté dont les membres des comités ont fait preuve au moment de critiquer les dysfonctionnements de Facebook qui n’a pas su protéger les données personnelles de 87 millions d’utilisateurs. Facebook est manifestement responsable de la mauvaise gestion des données de ses utilisateurs. Mais il est évident, au vu des entretiens de cette semaine, qu’il existe un fossé générationnel aux États-Unis.

 


Un conflit générationnel

D’un côté, il y a les sénateurs, qui sont présents sur les réseaux sociaux mais ne comprennent pas réellement le fonctionnement de Facebook, y compris celui des paramètres de confidentialité, ainsi que le potentiel des messageries, du partage de contenus et des applications intégrées à la plateforme. D’autres sénateurs, en revanche, ne se servent jamais des réseaux sociaux, ils ont donc quelques difficultés à comprendre à quel point cette plateforme a pu changer les États-Unis et le reste du monde. Pourquoi ? Il n’ont pas grandi à la même époque. Cette différence de génération se retrouve surtout dans les questions qui ont été posées à Mark Zuckerberg.

De l’autre côté, il y a Mark Zuckerberg, les millennials, et même la génération suivante, qui sont nés et ont grandi à l’ère des objets connectés et des réseaux sociaux.

 

Vouloir connecter les gens dans le monde entier comporte des risques pour les données personnelles

« Je pense que c’est exactement ce dont il s’agit, le droit de pouvoir protéger sa vie privée, les limites des droits protégeant notre vie privée, et ce que nous sommes prêts à sacrifier, en Amérique moderne, pour pouvoir connecter les gens tout autour du monde » – Sénateur Richard J. Durbin (Illinois).

Mardi, en se focalisant sur le problème qui réside au cœur du dilemme de Facebook, Richard Durbin a demandé à Mark Zuckerberg s’il voulait bien dire le nom de l’hôtel dans lequel il avait passé la nuit, ce à quoi le PDG de Facebook a répondu : « Non, je préfère ne pas partager cette information en public ».

C’est exactement le cœur du problème. Le droit à la protection de la vie privée. Mark Zuckerberg a déclaré devant le Congrès américain que la plateforme allait enquêter sur des dizaines de milliers d’applications, afin de déceler toute activité suspecte. Cette déclaration permet donc de déduire que Facebook ne connaît pas toutes les applications autorisées sur la plateforme et la manière dont elles affectent les utilisateurs à long terme.

« Si nous trouvons des applications suspectes, nous leur interdirons l’accès à la plateforme et nous préviendrons les utilisateurs impliqués », expliquait Mark Zuckerberg.

 

L’obligation d’annoncer les fuites de données

« Avec une plateforme comme Facebook, Marc Zuckerberg et son équipe de dirigeants ont la possibilité de montrer l’exemple aux entreprises américaines, voire même au monde entier, en matière de protection des données » – Robert Herjavec, PDG et fondateur de Herjavec Group.

L’analyse des démarches effectuées par Facebook lors de la gestion interne des fuites de données, par rapport au temps dont Facebook a eu besoin pour l’annoncer publiquement, pourrait susciter des débats. Cependant, les acteurs du secteur de la cybersécurité et du secteur juridique pensent qu’il existe une différence entre l’obligation légale et l’obligation éthique de dévoiler ce genre de fuites.

 

Qu’en pense notre expert en cybersécurité ?

Selon Robert Herjavec, expert en cybersécurité, fondateur et PDG de Herjavec Group, une fuite devrait être rendue publique lorsqu’elle implique la sécurité des personnes, qu’elle soit personnelle ou financière. Selon le règlement général européen sur la protection des données, les fuites doivent être rendues publiques dans un délai de 72 heures, lorsque les droits et libertés de personnes physiques ou morales européennes courent un risque. Ce règlement a servi de référence tout au long de l’audition de Mark Zuckerberg, afin de savoir si Facebook pourrait trouver un moyen de répondre au modèle européen de réglementation.

Robert Herjavec insiste sur le fait que, bien trop souvent, les entreprises essayent de cacher les fuites de données. Cependant, d’autres entreprises adoptent un comportement proactif et communiquent sur les fuites en toute franchise, suivent un plan d’action et agissent en toute transparence. Ces entreprises arrivent à ressortir de ces affaires avec une réputation intacte, et en ayant conservé la confiance de leurs clients.

« En réalité, il existe deux manières d’évaluer une fuite de données et de savoir s’il faut la rendre publique : ce que la loi demande de faire, et ce que vous devez faire d’un point de vue éthique et qui vous permettra de conserver la confiance de vos clients », explique Scot Ganow, codirecteur du département de protection des données chez Taft, Stettinius & Hollister, un cabinet juridique basé dans l’Ohio. Selon la loi américaine, une « fuite » est souvent un événement spécifique. Une entreprise doit donc tout d’abord analyser les faits de tout incident, utilisation ou révélation non autorisées, pour ensuite déterminer s’il s’agit réellement d’une fuite.

Selon la loi américaine encore, un individu, ou une entité, n’est pas obligé de rapporter une fuite, et c’est ce qu’a choisi de faire Facebook. Il reste cependant à savoir si en jouant la transparence, une entreprise peut réussir à mettre en place un plan en action qui lui permettra de conserver la confiance de ses clients. C’est à double tranchant.

« Il faut peser le pour et le contre entre ce que vous devez faire et ce que vous devriez faire », précise Scot Ganow. Les dirigeants de Facebook ont fait ce qui leur semblait suffisant pour résoudre cet incident, et avaient, selon eux, la garantie que les menaces pesant sur les données avaient disparu. Manifestement, ce n’était pas le cas.

Robert Herjavec pense également que Facebook n’a pas fait les bons choix lors de la gestion de crise interne : « ils n’ont prévenu ni la commission fédérale du commerce américain (FTC), ni les utilisateurs ; ils pensaient que c’était une affaire classée. » Avec une plateforme telle que Facebook, Marc Zuckerberg et son équipe dirigeante auraient pourtant la possibilité de montrer l’exemple en matière de normes de protection des données privées.

Ce n’est pas la première fois qu’une allusion est faite à l’Union Européenne et à son modèle de règlement général pour la protection des données. Tout ce que nous savons, c’est qu’il fonctionne très certainement. Robert Herjavec pense qu’il est indispensable que les États-Unis adoptent une réglementation similaire à ce modèle. Et selon lui, ce sera chose faite au cours des deux prochaines années.

En répondant aux questions de plusieurs sénateurs, Mark Zuckerberg a confirmé qu’il acceptait de collaborer avec les comités législatifs et sénatoriaux sur l’élaboration d’une réglementation qui permettrait de transformer internet en un lieu plus sûr pour les utilisateurs.

 

Les longues conditions d’utilisation et le contrôle de leur efficacité

« En matière de sécurité des entreprises, le document encadrant l’utilisation des systèmes est fondamental » – Robert Herjavec à propos de l’élaboration des conditions d’utilisation

À chaque fois que nous téléchargeons une nouvelle application mobile sur notre smartphone, ou que nous achetons un nouveau logiciel, nous nous attardons rarement sur ce qui semble être un document sans fin présentant des informations sur ce que l’application se réserve le droit de faire avec nos données. Le problème, comme l’ont indiqué Robert Herjavec et Scot Ganow, c’est que les consommateurs veulent que l’application soit pratique, tout en pouvant protéger leur vie privée. Or, le côté pratique implique une contrepartie, l’exploitation de vos données personnelles, et donc de votre vie privée. Et ce sera toujours le cas, à moins que les grandes entreprises comme Facebook trouvent le moyen d’allier les deux.

Comme nous avons pu le comprendre lors de l’interrogatoire rigoureux mené par le sénateur Lindsey Graham (Caroline du Sud), le consommateur moyen ne lit pas le document dans son intégralité.

Senateur Lindsey Graham : Lorsque vous souhaitez regarder les conditions générales d’utilisation de Facebook, voilà sur quoi vous tombez (il tient une pile de centaines de feuilles entre ses mains). Pensez-vous vraiment que l’utilisateur moyen comprend réellement ce dans quoi il s’engage ?

Mark Zuckerberg : Je ne pense pas que l’utilisateur moyen lise ce document dans son intégralité. Mais il existe différentes manières qui nous permettraient de mieux communiquer sur les conditions d’utilisation.

Tout en reconnaissant ce point, la question suivante aborde le fait que les conditions d’utilisations des entreprises sont souvent inutiles et rébarbatives : « Les consommateurs veulent tout à la fois, et les entreprises savent en profiter », explique Robert Herjavec. Nous ne lisons pas les conditions d’utilisation, nous les faisons défiler rapidement, nous cliquons sur accepter pour pouvoir téléchargez l’application rapidement. Mais nous voulons également que nos données personnelles soient protégées.

C’est presque comme si les conditions d’utilisations étaient rédigées de telle manière à décourager les utilisateurs de les lire et à les inciter à se diriger directement vers le bouton accepter. Et ça marche, nous le faisons tous.

« En tant qu’avocat, je vois l’avantage qu’il y a à disposer de conditions d’utilisation solides afin de gérer les risques concernant les responsabilités et la conformité inhérentes à l’offre d’un service ou d’un produit », explique Scot Ganow. « Cela dit, j’apprécie également ce besoin de transparence et de donner aux consommateurs la possibilité de comprendre les points les plus importants. Pour ce faire, les entreprises peuvent fournir à la fois les conditions exhaustives, et une résumé des conditions. Pour réussir à résumer les conditions d’utilisation, je conseille aux dirigeants d’entreprise de se poser la question suivante : que voudriez-vous absolument savoir avant d’utiliser ce produit ? ».

Tout comme Scot Ganow, Robert Herjavec pense que les entreprises pourraient fournir les conditions d’utilisation à leurs clients sous deux formes, une longue liste d’une part, et le points essentiels d’autre part. Il nous a confié que les réglementations concernant la protection de la vie privée doivent repartir de la base : « Nous avons besoin de lignes directrices afin de pouvoir équilibrer les mécanismes de sécurité et de protection de la vie privée au niveau gouvernemental ». Ensuite, le consommateur doit avoir le choix de s’engager ou non. Les 87 millions d’utilisateurs dont les données ont été recueillies par Cambridge Analytica, n’avaient pas tous donné la permission à Facebook d’utiliser leurs informations à ces fins. En tant que consommateurs, nous devons avoir le choix. En tant que professionnels de la cybersécurité, cela revient toujours à trouver un équilibre entre les personnes, les processus et la technologie qui entre en jeu et qui aide à gérer la situation.

 

Les mécanismes de modération de Facebook sont-ils imprtiaux, ou censurent-il le contenu publié par certains utilisateurs ?

« Vous exprimez-vous sous couvert du premier amendement de la constitution, ou êtes-vous une plateforme publique neutre qui permet aux gens de s’exprimer ? – Ted Cruz à Mark Zuckerberg

Au 21e siècle, nous essayons encore de comprendre ce que les pères fondateurs des États-Unis entendaient par le premier amendement de la constitution qu’ils ont rédigé. Internet a évolué, cette technologie est partie d’une plateforme où la communication était très limitée pour devenir un lieu autour duquel nous organisons notre vie quotidienne, tout en nous questionnant sur la liberté d’expression et la privatisation de ce lieu.

En réponse à Ted Cruz, qui pense que Facebook est une plateforme politiquement partiale car elle censure certains contenus qui ne correspondent pas aux critères définis par ses modérateurs, Mark Zuckerberg a reconnu que la Silicon Valley « penche à gauche », tout en niant l’assertion de Ted Cruz.

Facebook ne fait pas preuve de transparence lorsqu’il décide d’interdire ou de supprimer un compte. C’est souvent problématique, car cela donne l’impression que l’entreprise limite la liberté d’expression des utilisateurs, qui peuvent être associés à certaines croyances, voire à certaines organisations extrémistes, comme par exemple avec les comptes soutenus par la Russie durant la dernière campagne présidentielle américaine.

« Il est désormais évident que nous n’avons pas fait tout ce qui était en notre pouvoir pour empêcher que ces outils soient utilisés à des fins malveillantes » – Mark Zuckerberg reconnaît l’échec de la plateforme dans sa gestion des discours haineux et des fake news.

Selon Mark Zuckerberg, les discours ne sont haineux qu’aux yeux des personnes visées. Le PDG de Facebook a expliqué que, selon lui, les discours haineux font partie des formes de discours les plus difficiles à identifier, surtout à cause des subtilités linguistiques : « D’abord, il faut déceler l’insulte et ensuite, il faut déterminer si ce discours est haineux ou non ».

Pour résoudre ce problème, Mark Zuckerberg a recours au déploiement d’outils s’appuyant sur l’intelligence artificielle. Il affirme d’ailleurs que 99 % des contenus en lien avec Daech et Al-Qaïda sont retirés de la plateforme avant même que les utilisateurs puissent y avoir accès. Le diplômé d’Havard pense que d’ici 5 à 10 ans, Facebook disposera de l’intelligence artificielle nécessaire pour détecter les nuances linguistiques afin de repérer plus facilement les contenus indésirables.

« Ce qui me dérange, c’est la possibilité de Facebook de pouvoir prévenir et planifier », explique Robert Herjavec. Nous sommes témoins de ce genre de choses tous les jours, lorsqu’il y a une fuite, tout le monde se demande comment cela a pu se produire, mais c’est tout. On ne pense pas que quelque chose d’aussi énorme puisse arriver, et pourtant. Et cette fois-ci, c’est à l’échelle internationale.

Nous avons demandé à Robert Herjavec quelles questions il serait judicieux de se poser avant et après une fuite d’une telle ampleur :

  1. que feriez-vous dans une telle situation ?
  2. que comptez-vous faire pour protéger vos données sensibles ?
  3. qui peut accéder à ces données ?
  4. de quelle manière communiqueriez-vous en cas de fuite de vos systèmes ?

« Si après une affaire comme celle-ci, vous ne réfléchissez même pas à un plan de crise et vous n’évaluez pas votre politique de contrôle d’accès et de protection de données, alors vous ne pourriez vous en prendre qu’à vous même si un malheur du genre devait vous arriver », insiste Robert Herjavec.

 

« In Facebook We Trust ? »

Facebook aura énormément de mal à regagner la confiance des législateurs et surtout de ses utilisateurs. Alors que certains penseront certainement que ce n’est pas grand chose, c’est en réalité très important.

Malgré la déception générale provoquée par les agissements du géant des réseaux sociaux, les experts comme Robert Herjavec, sont certains que Facebook pourra regagner la confiance de ses utilisateurs : « Les utilisateurs ne suppriment pas leurs comptes, ce qui est déjà une bonne chose ». Dans le cas présent, les consommateurs ne voient pas vraiment les risques qu’ils encourent, mais ils finiront par comprendre avec le temps. Il y a plusieurs années, une étude avait été menée à Times Square. Il avait été proposé aux passants une réduction sur un hamburger en échange de leur numéro de sécurité sociale. Et devinez quoi ? 50 % des personnes ont accepté. En tant que consommateurs, il est difficile d’appréhender le réel pouvoir de nos identités et de nos données personnelles, et en tant que professionnel de la sécurité des données, cela me terrifie. Mais, il est fort possible que Facebook s’améliore et aide à établir des normes en matière de sécurité et de protection des données personnelles.

S’il faut retenir une chose de l’audition de Mark Zuckerberg, c’est que les législateurs américains commencent à comprendre à quel point les entreprises de la tech sont puissantes. Elles créent de l’innovation, mais elles ont besoin de réglementations. Lorsque le sénateur Lindsey Graham a tenté de faire comprendre à Mark Zuckerberg que Facebook détenait le monopole du secteur, le PDG a finalement accepté de travailler en collaboration avec le sénat à l’élaboration d’une réglementation qui permettrait de garantir la sécurité et la protection des données personnelles de tous les utilisateurs. Comme nous l’ont confié Scot Ganow et Robert Herjavec, la sécurité ne pourra pas être parfaite, mais ils ont soulevé des points de réflexion indispensables pour aller de l’avant.

 

Comme l’a indiqué Mark Zuckerberg, il est prêt à travailler avec les régulateurs afin de transformer Facebook en modèle de ce à quoi peut ressembler la protection des données personnelles en ligne. D’ailleurs, Facebook a déjà commencé à envoyer des avertissements à ses utilisateurs quant à certaines applications qui pourraient soutirer leurs informations. Espérons que Facebook n’ait pas à renouveler ses excuses de sitôt.