L’affaire de Facebook et Cambridge Analytica (CA) a fait couler beaucoup d’encre et a lancé de nombreuses polémiques quant à l’utilisation des données à caractère personnel. Les grandes lignes de ce scandale sont connues de tous, en partie grâce à la sortie du documentaire « The Great Hack » sur Netflix le 24 juillet 2019. Maintenant que l’affaire semble résolue, reprenons en détail les origines et le dénouement de cette affaire.
Avant de revenir sur les différents événements, il est important de rappeler le contexte. En effet, Cambridge Analytica existe depuis 2013 en tant que société de publication stratégique spécialisée dans la politique. Une nouvelle application, « thisisyourdigitallife », est créée en 2014 avec pour objectif de soumettre différents questionnaires psychologiques aux utilisateurs en échange d’une compensation financière. Cette application va rapidement être utilisée par CA dans le cadre de son traitement de données, comme l’ont prouvé certains documents ayant émergés suite au scandale.
Cette application fonctionnait depuis Facebook via la plateforme Open Graph, créée en 2010, qui permet aux développeurs d’applications de récolter des données utilisateurs. Ainsi, plus de 300 000 utilisateurs ont renseigné différentes informations à caractère personnel en répondant aux divers questionnaires mais aussi en autorisant l’application à accéder à leurs profils Facebook. En revanche, peu d’utilisateurs avaient conscience du fait que, à leur insu, l’application accédait aussi aux profils de leurs amis Facebook (sans l’accord de ceux-ci).
En 2014, la politique concernant Open Graph est modifiée pour restreindre l’accès aux données. En particulier, les applications n’avaient plus accès aux données des amis des utilisateurs sans leurs consentements explicites. Cependant, les données obtenues avant ce changement de politique ont été conservées par Aleksandr Kogan, créateur de « thisisyourdigitallife », à des fins « académiques ».
L’influence politique de Cambridge Analytica
Le reste de l’histoire est celle que l’on connaît le mieux, à savoir l’implication de Cambridge Analytica dans les élections présidentielles américaines de 2016. En effet, Ted Cruz, rival de Donald Trump, aurait déboursé plusieurs millions de dollars dans le cadre de sa campagne politique.
Cambridge Analytica aurait de plus participé à la campagne de Donald Trump en ciblant directement certaines publicités, dont certaines « fake news », sur des profils psychologiques particuliers d’utilisateurs afin de les inciter au vote.
Cependant, l’influence de Cambridge Analytica ne s’arrêterait pas aux Etats-Unis et de nombreux autres pays en ont été victimes comme l’Inde ou encore le Royaume-Uni à l’époque du vote pour le Brexit.
L’affaire est officialisée
Le scandale éclate le 17 mars 2018 suite aux révélations des techniques de traitement de données à caractère personnel utilisées par Cambridge Analytica. Ces révélations, faites par Christopher Wylie, ex-employé de CA, ont créé le scandale en soulevant de nombreuses interrogations vis-à-vis des données de plus de 87 millions d’utilisateurs du célèbre réseau social.
La Commission Fédérale du Commerce (Federal Trade Commission « FTC ») ouvre alors une investigation le 20 mars 2018 dans laquelle Facebook est accusé d’avoir porté atteinte aux données à caractère personnel de ses utilisateurs. Mark Zuckerberg comparaît ensuite devant le Congrès américain le 10 avril 2018 afin de présenter ses excuses publiques et fournir des informations complémentaires.
Impact et sanctions
Facebook a déjà constaté une chute dans son résultat trimestriel suite à cette affaire et a subi un impact important sur sa réputation et sur la confiance que les utilisateurs ont envers la plateforme.
Concernant les sanctions, le gendarme britannique des données à caractère personnel (Information Commissioner’s Office) du Royaume-Uni a annoncé en juillet 2018 une sanction de £500 000, à savoir la plus lourde sanction attribuable au moment du scandale, que Facebook a récemment accepté de payer fin 2019.
En outre, la CNIL locale italienne a infligé en fin juin 2019 une sanction d’un million d’euros accusant Cambridge Analytica de ne pas avoir su protéger et sécuriser correctement les données des utilisateurs. Cette sanction, jugée non suffisante, correspondrait à environ 10 minutes d’activité de Facebook en se basant sur son chiffre d’affaire de 2018.
Finalement, le 24 juillet 2019, la FTC a voté pour une sanction de 5 milliards de dollars pour Facebook afin de clore ce scandale une bonne fois pour toutes, et a obligé la création d’un comité indépendant privant ainsi Mark Zuckerberg de son contrôle absolu sur les décisions affectant la confidentialité des utilisateurs. Facebook est donc une fois de plus rentré dans l’histoire avec la sanction la plus conséquente pour avoir mal protégé les données de ses utilisateurs.
Depuis, Facebook multiplie les mises à jour visant à mieux protéger les données de ses utilisateurs dans l’espoir d’éviter d’autres scandales, mais aussi afin de regagner la confiance de ses utilisateurs. Cependant cette problématique de protection de données à caractère personnel n’est pas exclusive à Facebook et est valable pour énormément d’autres organismes ou entreprises, notamment depuis la mise en place du RGPD.
Auteur :
Raphaël LIGORIO, consultant GRC chez SEKOIA
Pour plus d’information sur nos offres d’audit et de conseil :
Fayçal EL BELGHAMI, Head of SEKOIA Global Cyber Security Services
Sources :
- https://www.cnbc.com/2018/04/10/facebook-cambridge-analytica-a-timeline-of-the-data-hijacking-scandal.html
- https://www.lesechos.fr/tech-medias/hightech/cambridge-analytica-facebook-ecope-dune-amende-symbolique-142961
- https://www.theguardian.com/technology/2019/mar/17/the-cambridge-analytica-scandal-changed-the-world-but-it-didnt-change-facebook
- https://www.courrierinternational.com/article/cambridge-analytica-5-milliards-de-dollars-une-amende-historique-qui-narretera-pas-facebook
- https://time.com/5695252/christopher-wylie-cambridge-analytica-book/
- http://www.leparisien.fr/international/avec-la-campagne-de-trump-cambridge-analytica-n-en-etait-pas-a-son-galop-d-essai-22-03-2018-7623633.php
- https://www.cnbc.com/2018/04/10/facebook-cambridge-analytica-a-timeline-of-the-data-hijacking-scandal.html
- https://en.wikipedia.org/wiki/Cambridge_Analytica
- https://analyticsindiamag.com/cambridge-analytica-controversy-a-timeline-of-events/
- https://www.usine-digitale.fr/article/cambridge-analytica-l-alerte-avait-ete-donnee-chez-facebook-pres-de-deux-mois-avant-le-scandale.N876845
- https://www.techworld.com/data/what-is-cambridge-analytica-3674029/
- https://www.liberation.fr/planete/2018/03/26/sans-cambridge-analytica-il-n-y-aurait-pas-eu-de-brexit_1638940
- https://www.france24.com/fr/20190724-facebook-accepte-amende-milliards-dollars-ftc-record-critiques
- https://www.lemonde.fr/pixels/article/2019/10/30/royaume-uni-facebook-paiera-bien-l-amende-liee-au-scandale-cambridge-analytica_6017470_4408996.html
- https://www.lepoint.fr/justice/facebook-ecope-d-une-amende-record-de-5-milliards-de-dollars-24-07-2019-2326613_2386.php
