Réseaux sociaux

StockMonkeys.com

Quels usages font-ils de nos données personnelles ?

Quelle protection nous confèrent leurs paramètres de confidentialité ?

Depuis le début des années 2000 on a pu constater l’émergence de nouvelles plateformes communautaires en ligne, ou réseaux sociaux, favorisant le transfert de l’information entre internautes, et développant les communautés d’individus partageant des intérêts communs. Leurs figures emblématiques sont par exemple les sites Facebook, Twitter ou LinkedIn. Ceux-ci ont pris de plus en plus d’ampleur, et en particulier Facebook, qui en 2014, 10 ans après sa création, comptabilisait plus d’un milliard d’utilisateurs.

Bien que ces réseaux sociaux soient pour la plupart gratuits, il ne faut pas se leurrer : ceux-ci représentent un réel business model basé sur la fourniture de services, après inscription, à leurs utilisateurs en échange de l’utilisation de leurs données personnelles. En réalité, ces données possèdent une valeur commerciale non négligeable. Cependant, les personnes concernées par celles-ci restent mises à l’écart de ce marché lucratif et n’en bénéficient d’aucune façon.

On peut répertorier les données présentes sur les réseaux sociaux en quatre catégories différentes :

  1. Les données publiques d’un utilisateur (date de naissance, coordonnées, profession, entreprise où l’on travail, centre d’intérêts, liens familiaux, …)
  2. Les données protégées par les paramètres de confidentialité du réseau social (comme les publications accessibles uniquement par les relations de l’utilisateur, les messages privés, les discussions dans les tchats, …)
  3. Les données créées par d’autres membres du réseau social et liées à l’utilisateur (via un système de « tag » ou un autre type d’identification)
  4. Les données créées directement par les réseaux sociaux en se basant sur l’activité de l’utilisateur.

Les trois premières catégories de données correspondent aux informations activement créées ou partagées par les utilisateurs avec au moins un autre individu. La dernière catégorie correspond, elle, aux données créées et stockées par les réseaux sociaux ou par des applications tierces à partir d’informations que l’utilisateur n’a pas intentionnellement souhaité partager. En outre, il n’est pas possible de savoir de façon précise l’étendue d’un tel stockage.

Les données personnelles partagées de la sorte par les utilisateurs sur les réseaux sociaux sont utilisées de façon diverses, et ce par des acteurs différents.

Tout d’abord ces informations sont revendues par les réseaux sociaux à des sociétés à des fins publicitaires afin d’effectuer du marketing ciblé en fonction de celles-ci. Une estimation de 2.5 milliards de photos mises en ligne chaque mois sur Facebook a ainsi été faite. La société ayant compris l’avantage qu’elle pouvait en tirer, celle-ci a racheté la plateforme de partage de contenu Instagram et utilise toutes ces photographies à des fins publicitaires à l’aide de son système de reconnaissance faciale, lui permettant de déterminer l’âge, le sexe et la taille des utilisateurs.

Les réseaux sociaux sont donc d’énormes répertoires de données que les entreprises peuvent analyser afin d’utiliser les informations utiles pour leurs campagnes de publicité ciblée. Celles-ci sont analysées à l’aide d’algorithmes automatisés afin de dégager des corrélations et tendances pertinentes.

On appelle cette technique de traitement de l’information le Data Mining. Grâce à celui-ci, les sociétés sont en mesure de déterminer, par exemple, quels produits seraient en mesure d’intéresser un consommateur, ou encore quel consommateur pourrait avoir recours à un prêt bancaire, et ce grâce aux informations présentes sur le profil du réseau social qu’il utilise. Les assurances se servent également de ces informations afin de déterminer d’éventuels risques de remboursement de crédit ou de santé et de définir des taux de remboursement ou d’assurance.

En outre, dans une étude de l’Université de Berkeley datant de 2007, il a été souligné que 90% des applications présentes sur le réseau social Facebook ont accès à beaucoup plus d’informations qu’elles n’en ont besoin pour leur fonctionnement. Aussi, ces applications présentent pour la majorité d’entre elles un danger car elles sont développées à l’aide de programmes open source n’ayant pas de pratiques de « confidentialité by design » (privacy by design) claires et définies.

Trois méthodes majeures de Data Mining sont utilisées. Tout d’abord, on trouve celle de l’extraction d’entités, qui utilise les algorithmes afin de déterminer des configurations dans les informations textuelles, graphiques et sonores. Également, est utilisée la technique du regroupement, qui consiste à regrouper les données similaires par classes ou groupes afin d’identifier certains groupes démographiques, tels que les consommateurs potentiels d’un produit. Enfin il y a l’association de règles, où des règles sont créées en se basant sur les données existantes des utilisateurs afin de prédire des résultats probables pour les futurs utilisateurs.

Mais les données sont également utilisées par les directions des Ressources Humaines (DRH) des entreprises dans leur process de recrutement. Ils utilisent ainsi les réseaux sociaux pour évaluer les candidats ainsi que leur personnalité en dehors du process traditionnel qu’est l’entretien d’embauche. Cela leur permet de voir si le candidat se présente de façon professionnelle, correspond à la culture de l’entreprise, mais aussi d’avoir une idée de l’entourage de ce candidat, connaitre ses qualifications, chercher des informations susceptibles de le compromettre (telles que des lacunes au niveau de la communication ou l’orthographe, une utilisation intempestive de l’argot, des photographies inappropriées démontrant un usage de la drogue ou une consommation d’alcool, des commentaires discriminatoires, …), un ensemble d’indices que l’on ne pourrait pas obtenir au cours d’un entretien.

Les utilisateurs des réseaux sociaux sont souvent trop peu au courant de la facilité d’accès à leurs données personnelles et n’utilisent pas de façon suffisamment protectrice les paramètres de confidentialité mis à leur disposition. L’augmentation des risques de sécurité due à la prolifération des services de partage d’information sur Internet, l’augmentation de l’information disponible et la rapidité de développement des technologies de l’information et de communication, fait de la protection des données et de la confidentialité de celles-ci une problématique majeure.

La prise de conscience des utilisateurs est ainsi primordiale. Même si la confidentialité absolue ne peut être atteinte sur les réseaux sociaux, ce qui n’en ait de toute manière pas le but, il reste cependant important d’avoir recours aux paramètres de confidentialité des réseaux sociaux afin de contrôler la diffusion souhaitée des informations.

Cependant, l’abondance des systèmes de contrôle et les diverses façons dont ceux-ci sont appliqués peuvent rendre difficile de définir les paramètres de confidentialité de façon effective. Par exemple, sur Facebook, on dénombre 38 paramètres de confidentialité différents, plus ceux concernant chacune des applications tierces utilisées via le réseau social. Cela prend donc du temps pour l’utilisateur de comprendre les nuances entre chacun de ces paramètres et de les utiliser de la façon la mieux adaptée. Il faut également consulter les paramètres de confidentialité à chaque mise-à-jour ou à chaque modification des conditions d’utilisation et de la politique de confidentialité du réseau social.

De plus, si l’utilisateur ne vient pas modifier lui-même ces options, il ne bénéficie que des paramètres par défaut, ne lui conférant qu’une protection réduite, et les informations qu’il a fournies sont pour la majorité accessibles à tout le monde.

Des études ont démontré que les utilisateurs protègent majoritairement leurs informations basiques (liens relationnels, coordonnées, …) mais ne protègent pas assez leurs autres données (lieu de travail, photos, « likes », ville de résidence, …). Aussi, contrairement à ce que l’on peut croire, un utilisateur régulier est mieux protégé car plus averti des informations le concernant qui circulent sur le réseau social ainsi que sur les changements de paramètres de confidentialité.

La sécurité minimum recommandée à chaque utilisateur est de mettre en place un système d’approbation lors d’un « tag » sur une photo. Il faut également définir de façon précise qui a accès au contenu et trouver un équilibre convenable entre être le plus restrictif possible et pouvoir utiliser le réseau social.

Si l’utilisateur est sur le marché du travail, celui-ci doit s’assurer que son profil renvoie une image professionnelle et désirable de sa personne. Dans ce but, il est envisageable d’avoir plusieurs profils. Enfin il est judicieux de posséder un mot de passe différent pour chaque réseau social.

Enfin, ces problématiques ont abouti à la reconnaissance par la Cour de Justice de l’Union Européenne, le 13 mai 2014, d’un « droit à l’oubli » consistant en un droit au déréférencement. La suppression totale des données est cependant impossible car celles-ci sont constamment diffusées et republiées sur Internet. Cela aboutirait à un « effort disproportionné » pour les responsables du traitement des données d’obtenir une telle suppression, effort que la Cour ne souhaite pas leur imposer.

Gregoire Carissimo

Promo 2015-2016

Membre de l’association des Juristes du Numérique