Les ingénieurs de Facebook ignorent-ils eux-mêmes où vont les données des utilisateurs ? C’est ce qu’avance un document interne du réseau social, récupéré par Vice le 26 avril. Au-delà de la blague, cette incapacité entrave considérablement le respect des réglementations de protections des données à travers le monde et plus particulièrement dans l’Europe du RGPD.

Des données libres, trop libres de circuler

« Si nous ne pouvons pas répertorier toutes les données dont nous disposons – où elles se trouvent, où elles vont, comment elles sont utilisées – alors comment pouvons-nous prendre des engagements à leur sujet vis-à-vis du monde extérieur ? », il s’agit là de rien de moins que la problématique centrale posée par le document, manifestement daté de 2021.

Vice a recopié le texte (pdf) avant de le publier pour protéger ses sources, mais assure qu’il est authentique. Il proviendrait d’une équipe d’ingénieur de l’équipe Ad and Business Product, l’équipe chargée du système publicitaire de Facebook.

À l’intérieur, ces derniers s’inquiètent. Ils expliquent que « le cœur de notre problème est le manque de fermeture de nos systèmes ». Du fait de l’ouverture des systèmes internes de Facebook, la circulation des données dont le réseau dispose, dont les données personnelles des utilisateurs, circule librement partout.

Avec cette culture de l’ouverture, impossible de suivre leur trace. Cette difficulté pose un vrai problème de conformité pour Facebook, « nous ne pouvons donc pas faire, en toute confiance, des changements de politique ou prendre des engagements externes tels que ‘nous n’utiliserons pas les données X dans un but Y’. Et pourtant, c’est exactement ce que les régulateurs attendent de nous. Cela augmente notre risque d’erreurs et de fausses déclarations ».

En Europe, le RGPD impose justement ce que les ingénieurs de Facebook s’estiment incapables de faire. Selon l’article 5 du règlement, les données à caractère personnel doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ». Les « principes relatifs au traitement des données à caractère personnel », Facebook apparaît incapable de les appliquer.

Changer la situation impliquerait une modification en profondeur du mode de fonctionnement de Facebook, un changement de culture complet. Ne pas le faire serait s’exposer à des poursuites de la part des CNIL européennes ou même de particulier ou d’association.

Facebook affirme qu’il n’y a pas de problème de conformité

Un ancien salarié de l’entreprise a estimé auprès de Vice que le maintien de cette situation pourrait être tout à fait cynique de la part de Facebook, « Cela leur donne une excuse pour garder autant de données privées, simplement parce qu’à leur échelle, avec leur modèle d’affaires et la conception de leur infrastructure, ils peuvent plausiblement prétendre qu’ils ne savent pas ce qu’ils ont ».

Johnny Ryan, militant pour la défense de la vie privée au sein du Conseil irlandais pour les libertés civiles estime que « Ce document admet ce que nous soupçonnions depuis longtemps : qu’il y a une mêlée générale de données à l’intérieur de Facebook, et que l’entreprise n’a pas le moindre contrôle sur les données qu’elle détient ».

Appelé à réagir, Facebook a expliqué en substance que le document était sorti de son contexte, « Considérant que ce document ne décrit pas nos processus et contrôles étendus pour se conformer aux réglementations sur la vie privée, il est tout simplement inexact de conclure qu’il démontre une non-conformité ». Si une CNIL et la justice européennes arrivaient à des conclusions différentes, Meta, la maison mère du réseau social, risquerait une amende de 4% de son chiffre d’affaires mondial.