Bruce Schneier: Facebook et Cambridge Analytica

16 avril 2018

À la suite du scandale Cambridge Analytica, des articles de presse et des commentateurs se sont concentrés sur ce que Facebook sait de nous. Bien des choses en définitive. Le réseau social recueille des données de nos messages, de nos « J’aime », de nos photos, des choses que nous tapons et supprimons sans les publier, et des choses que nous faisons sans être sur
Facebook et même quand nous sommes déconnectés. Il achète des données personnelles chez des tiers. Et il peut en inférer davantage : notre orientation sexuelle, nos croyances politiques,
notre situation amoureuse, l’usage de drogues et d’autres traits de personnalité – même si nous n’avons pas pris le test de personnalité développé par Cambridge Analytica.

Mais pour chaque article sur le comportement de pisteur effrayant de Facebook, des milliers d’autres sociétés soupirent d’un soulagement collectif parce que Facebook est à l’honneur, et pas elles. Parce que si Facebook est l’un des plus grands acteurs dans ce secteur, il y a des milliers de d’autres entreprises qui nous espionnent et qui nous manipulent pour le profit.

Shoshana Zuboff, professeur à la Harvard Business School, appelle cela le « capitalisme de la surveillance ». Et aussi effrayant que Facebook se révèle être, l’industrie dans son ensemble est bien plus affolante. Elle existe en secret depuis beaucoup trop longtemps, et il appartient aux législateurs de placer ces entreprises sous le feu des projecteurs, où nous pourrons tous décider si c’est ainsi que nous voulons que la société fonctionne, ou, dans le cas contraire, ce qu’il faut faire.

Il y a entre 2 500 et 4 000 courtiers de données aux États-Unis dont le modèle d’affaire est d’acheter et de vendre nos données personnelles. L’année dernière, Equifax était aux informations quand des pirates ont volé des informations personnelles de 150 millions de personnes, y compris les numéros de Sécurité sociale, dates de naissance, adresses et numéros de permis de conduire.

Vous ne lui avez certainement pas donné la permission de collecter aucune de ces informations. Equifax est l’un de ces milliers de courtiers de données, desquels vous n’avez pour la plupart jamais entendu parler, qui vendent de vos informations personnelles sans votre consentement et sans que vous le sachiez, à tous ceux qui sont prêts à payer pour.

Le capitalisme de la surveillance va encore plus loin. Des entreprises comme Facebook et Google vous offrent des services gratuits en échange de vos données. La surveillance de Google n’est pas à la une des journaux, mais elle est étonnamment intime. Nous ne mentons jamais à nos moteurs de recherche. Nos intérêts et curiosités, nos espoirs et nos peurs, nos désirs et nos penchants sexuels sont tous collectés et enregistrés. Ajoutez à cela les sites que nous visitons et que Google suit à travers ses réseaux publicitaires, nos comptes Gmail, nos déplacements via Google Maps, et ce qu’il peut collecter de nos smartphones.

Ce téléphone mobile est probablement le dispositif de surveillance le plus intime qui ait jamais été inventé. Il suit notre emplacement en permanence, de sorte qu’il sait où nous vivons, où nous travaillons, et où nous passons notre temps. C’est la première et la dernière chose que nous vérifions chaque jour, donc il sait quand nous nous réveillons et quand nous allons dormir. Nous en avons tous un, alors il sait avec qui nous dormons. Uber a utilisé juste une fraction de cette information pour détecter les rencontres d’une nuit ; votre opérateur et toute application que vous autorisez à collecter des données de localisation en savent encore bien plus.

Le capitalisme de surveillance pilote une grande partie de l’Internet. Il est derrière la plupart des services « gratuits », et beaucoup de ceux qui sont payants. Son objectif est la manipulation psychologique, sous forme de publicité personnalisée, pour vous persuader d’acheter quelque chose ou de faire quelque chose, comme voter pour un candidat. Et tandis que la manipulation individualisée axée sur le profil, exposée par Cambridge Analytica est odieuse, ce n’est pas vraiment différent de ce que chaque entreprise souhaite. C’est pourquoi toutes vos
informations personnelles sont recueillies, et c’est pourquoi elles sont si précieuses. Les entreprises qui les comprennent peuvent les utiliser contre vous.

Rien de tout cela n’est nouveau. Les médias ont rendu compte du capitalisme de la surveillance pendant des années. En 2015, j’ai écrit un livre à ce sujet. En 2010, le Wall Street Journal a publié une série primée de deux ans, intitulée « Ce qu’ils savent », sur la façon dont les gens sont suivis à la fois en ligne et hors ligne.

Le capitalisme de la surveillance est profondément ancré dans notre société informatisée, et si son étendue était mise en lumière, il y aurait des demandes générales de limitations et de réglementation. Mais parce que cette industrie peut fonctionner en grande partie dans l’ombre, exposée seulement de temps en temps après un piratage ou une enquête, nous restons la plupart du temps ignorants de sa portée.

Cela pourrait changer bientôt. En 2016, l’Union européenne a adopté le Règlement général sur la protection des données, ou RGPD. Les détails de la loi sont beaucoup trop complexes pour être détaillés ici, mais parmi les choses qu’elle impose, les données personnelles des citoyens de l’UE ne peuvent être collectées et enregistrées que pour « des fins spécifiques, explicites et légitimes », et seulement avec le consentement explicite de l’utilisateur. Le consentement ne peut pas être enterré dans les conditions générales, et l’on ne peut l’endosser que si l’utilisateur le donne explicitement. Cette loi prendra effet en mai, et les entreprises du monde entier se préparent à sa mise en vigueur.

Parce que pratiquement toutes les sociétés du capitalisme de la surveillance collectent des données sur les Européens, cela exposera l’industrie comme jamais. Voici juste un exemple. En préparation à ce règlement, PayPal a tranquillement publié une liste de plus de 600 entreprises avec lesquelles il pourrait partager vos données personnelles. Comment cela se passera-t-il quand chaque entreprise devra publier ce type d’informations et d’expliquer clairement comment elle utilise vos données personnelles ? Nous sommes sur le point de le découvrir.

Dans la foulée de ce scandale, même Mark Zuckerberg a déclaré que son industrie devrait vraisemblablement être réglementée, bien qu’il ne souhaite certainement pas que ce soit une réglementation exhaustive comme le RGPD.

Il a raison. Le capitalisme de la surveillance a fonctionné sans contrainte beaucoup trop longtemps. Et les progrès dans l’analyse des données massives et l’intelligence artificielle rendront les applications de demain beaucoup plus effrayantes que celles d’aujourd’hui. La réglementation est la seule réponse.

La première étape de toute réglementation est la transparence. Qui a nos données ? Sont-elles exactes ? Que font-elles avec ? À qui les vendent-elles ? Comment les sécurisent-elles ? Pouvons-nous les supprimer ? Je n’ai aucun espoir que Congrès [des États-Unis, NDE] passe de sitôt une loi de protection des données ressemblant au RGPD, mais il est réaliste d’exiger des lois imposant que ces entreprises soient plus transparentes dans ce qu’elles font.

L’une des réponses au scandale de Cambridge Analytica est que les gens sont en train de supprimer leurs comptes Facebook. C’est difficile à faire, et cela ne change rien pour les données que Facebook recueille sur les personnes qui n’utilisent pas Facebook. Mais c’est un début. Le marché peut faire pression sur ces entreprises pour qu’elles limitent leur espionnage à notre encontre, mais il ne peut le faire que si l’on force l’industrie hors de ses ombres secrètes.

Cet essai est paru précédemment sur CNN.com

Texte © 2018 Bruce Schneier, CTO, IBM Resilient
Article paru en anglais dans le bulletin d’information Crypto-Gram du 15 avril 2018
Traduction française et mise en forme © 2018 Le Diligent
Portrait de Bruce Schneier © Ann De Wulf