Alors que les retombées de la révélation de l'utilisation abusive des informations des utilisateurs de Facebook par Cambridge Analytica se poursuivent, beaucoup appellent à tort cet incident une violation. Facebook a raison de prétendre que cet incident n'était pas une violation — il s'agit de la plate-forme de Facebook qui fonctionne exactement comme prévu.

Je connais, parce que moi aussi j'ai créé une application de sondage sur Facebook dans le but exprès de récolter les informations de profil des utilisateurs. Sauf dans mon cas, mon projet de recherche universitaire n'était pas engagé dans la tromperie et le vol, et mes co-auteurs et moi avons utilisé les données que nous avons recueillies en partie pour comprendre à la fois combien de données nous pouvions obtenir — légitimement — via les protocoles mis à la disposition des développeurs d'applications tiers, et si les utilisateurs de Facebook comprenaient ce qui se passait.

Facebook s'est ouvert aux développeurs tiers en 2007. Les applications déployées sur Facebook sont rapidement devenues à la mode, des mots avec des amis aux nombreuses itérations de Farmville et autres.

Il n'y avait aucune barrière pour s'inscrire en tant que développeur Facebook; au sens propre, toute personne capable de créer une application pourrait le faire. Tout comme tout processus d'inscription en ligne, il suffisait d'accepter les conditions générales du développeur du site et d'avoir suffisamment de compétences techniques pour déployer une application. Si vous pouviez convaincre d'autres utilisateurs de Facebook de "l'installer" sur leurs profils, en tant que développeur, vous avez été instantanément récompensé par une mine de données dépassant ce qui était disponible sur le profil d'un utilisateur.

Mes collègues et moi l'avons fait en 2010, créer une application que nous avons appelée « Quel type d'utilisateur Facebook êtes-vous ? » Dans notre projet approuvé par l'Institutional Review Board de l'UC Berkeley, nous avons mené une enquête dans laquelle nous avons posé des questions aux utilisateurs de Facebook sur le fonctionnement des applications tierces, les types de données auxquelles les applications peuvent accéder à partir de leurs profils, et leurs préoccupations en matière de confidentialité. Nous avons publié nos résultats en 2011.

"Un incident comme celui-ci était inévitable"

Le processus de lancement de l'application était trivial et nous a fourni non seulement les données de l'utilisateur, mais aussi un plus petit ensemble de données de l'ensemble de leur graphe social :tous leurs amis Facebook. C'est cette fonctionnalité de l'API (maintenant abandonnée) qui a permis au chercheur de Cambridge, le Dr Aleksandr Kogan, d'étendre considérablement son ensemble de données au-delà des quelques centaines de milliers de personnes qui ont effectivement répondu à son enquête. Par exemple, nos 516 répondants en avaient plus de 129, 000 amis, dont nous aurions également pu recueillir les informations de profil de base.

Beaucoup d'entre nous dans la communauté de recherche sur la confidentialité ont été consternés par la clémence de l'API Facebook lors de son lancement, et spéculé qu'un incident comme celui-ci était inévitable. En tant que chercheurs qui se concentrent sur la confidentialité et les médias sociaux, nous voulions savoir si les utilisateurs de Facebook comprenaient exactement ce qui se passait lorsqu'ils ont choisi d'ajouter une application à leur profil. Au moment où nous avons mené notre enquête, environ la moitié de nos répondants ne savaient pas que les applications pouvaient accéder et stocker leurs données de profil hors du site de Facebook, ou que lorsqu'ils ont ajouté une application, il pourrait également accéder aux données de profil de base de toute personne figurant sur sa liste d'amis.

Plus loin, nous avons posé des questions spécifiques sur les types de pratiques auxquelles Cambridge Analytica s'est engagée :plus de 90 % de nos répondants étaient quelque peu ou très mal à l'aise avec la possibilité qu'une application puisse vendre les informations de leur profil, stocker leurs informations en permanence sur ses propres serveurs, ou partager ces données avec d'autres sociétés.

L'API de la plate-forme Facebook se distinguait par son manque évident de préoccupation pour les données des utilisateurs. Bien que l'entreprise ait finalement limité l'accès à certaines données de profil et supprimé l'accès ouvert aux graphiques sociaux des utilisateurs, Facebook n'a pas filtré ses développeurs tiers (et ne le fait toujours pas). Comme le montre cet incident, l'entreprise ne peut pas vraiment contrôler ses développeurs. Lorsque l'on considère le nombre substantiel d'applications tierces proposées sur leur plate-forme, il n'y a aucun moyen pratique pour Facebook de s'assurer qu'il n'y a pas des centaines, voire des milliers, de Cambridge Analytica supplémentaires qui se cachent et adoptent un comportement similaire.

C'est là que réside le conflit :les entreprises qui trafiquent les données des utilisateurs aux États-Unis ont travaillé dur pour lutter contre tout contrôle législatif. Au lieu, ils promettent de s'autoréguler, pourtant, comme cet incident le démontre, nous ne pouvons pas leur faire confiance pour faire respecter les termes de leurs propres accords commerciaux. Être juste, ce problème ne se limite pas à Facebook; un manque de surveillance a mis à plusieurs reprises la vie privée des Américains en danger dans l'ensemble de l'industrie de la technologie et de l'information. Le Congrès a échoué à plusieurs reprises à adopter une législation protégeant les Américains des pratiques de collecte d'informations les plus flagrantes.

Puisque nous ne pouvons pas compter sur le Congrès pour agir, au minimum, Facebook devrait interrompre ou modifier radicalement son programme de développement pour s'assurer que seul un strict minimum de données de profil d'utilisateur est jamais partagé en dehors de l'entreprise. Plus loin, l'entreprise doit exercer une surveillance active de tout tiers ayant accès aux données de ses utilisateurs afin de s'assurer que quiconque cherche à s'engager avec ses utilisateurs le fait avec des intentions bénignes. Étant donné que nous avons déjà vu à quel point l'entreprise a mal supervisé ses opérations de ventes publicitaires, Je suis pessimiste, ils peuvent accomplir cet exploit.

Dans ses efforts pour dominer rapidement le paysage des réseaux sociaux, Facebook fait passer la croissance avant ses utilisateurs. Maintenant que l'inévitable s'est produit, nous voyons que ce ne sont pas seulement les utilisateurs de Facebook qui ont été mis en danger. Plutôt, la santé et l'avenir de notre démocratie sont en jeu.