Facebook peut-il recueillir vos données même lorsque vous êtes hors connexion ?

Mark Zuckerberg est passé sur le gril du Congrès américain. Le PDG de Facebook a dû répondre aux questions des sénateurs, après le scandale Cambridge Analytica et le recueil de données de millions d'utilisateurs du réseau social. Mais il a parfois éludé les questions, notamment quand le sénateur Roy Blunt lui a demandé si Facebook pouvait recueillir "des données hors ligne, qui ne sont pas nécessairement liées au site Facebook". Le multimilliardaire de 33 ans a préféré botter en touche : "Sénateur, je veux m'assurer de vous donner une réponse exacte. Je vais demander à mon équipe de revenir vers vous sur cette question."

>> Facebook : huit moments à retenir de l'audition de Mark Zuckerberg devant le Sénat américain

Des données collectées via les modules sociaux

"Cette réaction est vraiment bizarre de sa part, commente pour franceinfo Arthur Messaud, juriste à La Quadrature du Net, une association de défense des droits et libertés des citoyens sur internet. Car le tracking des données hors ligne ne fait plus aucun doute. "Tous les internautes, même s'ils n'ont pas de compte Facebook, consultent des pages où se trouvent des boutons Facebook du type like, partage ou des incrustations de vidéo." Facebook a d'ailleurs été condamné à 150 000 euros d'amende par la Cnil, et ses homologues allemand et belge ont également prononcé des sanctions. 

L’information dispensée via le bandeau d’information relatif aux cookies est imprécise. En effet, cette mention ne fait qu’indiquer que des informations sont collectées 'sur et en dehors de Facebook via les cookies', ce qui ne permet pas aux internautes d’être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social.

Commission nationale de l'informatique et des libertés

Communiqué du 16 mai 2017

Ces boutons ou ces images sont téléchargés sur un serveur de Facebook. A son insu, l'utilisateur "télécharge l'image sur Facebook, qui a besoin de savoir à quelle adresse l'envoyer, poursuit Arthur Messaud. Il récupère l'adresse IP, les configurations de son ordinateur et peut déposer un cookie", ces petits fichiers texte qui contiennent des informations de connexion. "Nous utilisons le cookie datr afin de protéger les données des internautes sur [le réseau social], assurait Facebook à franceinfo, le mois dernier. Dans le détail, ce cookie nous aide à stopper environ 400 000 tentatives non autorisées visant à prendre le contrôle de comptes personnels chaque jour."

Mais le réseau social peut dans le même temps dresser la liste des sites visités, dès lors qu'ils comportent un bouton ou un module du réseau social. "Parfois, des sites ont un accord publicitaire avec Facebook ou Google, prévient Arthur Messaud. Ils peuvent mettre une image minuscule et invisible, d'un pixel sur un", laquelle a pour seul but d'obtenir les données de connexion.

Une action de groupe en préparation

Certains outils d'analyse du trafic sont présents sur les navigateurs. Pour éviter d'être tracé, on peut installer des extensions de blocage, comme uBlock Origin ou Facebook Container. "Malgré tout, ce jeu du chat et de la souris n'empêche pas Facebook de continuer, poursuit Arthur Messaud, car Facebook est meilleur." Il existe d'autres solutions, plus confidentielles : recourir à un VPN – un service qui permet d'accéder à internet avec un masque –, voire naviguer sur Tor, un réseau qui permet d'anonymiser l'origine des connexions.

"Facebook, et encore davantage Google, ont accès aux données les plus qualifées, les plus riches. Mais une société française comme Criteo fait le même business, estime le juriste. La seule protection est collective et passe à travers des actions collectives contre le modèle économique de ces grands groupes", parmi lesquels Google. La Quadrature du Net compte prochainement lancer une action de groupe contre Facebook, Gmail ou encore Amazon, afin de dénoncer la marchandisation des données personnelles.

De son côté, la Commission européenne durcit le ton contre Mark Zuckerberg et Facebook. Le règlement européen qui entre en vigueur le 25 mai impose un consentement explicite pour l'utilisation des données personnelles et prévoit des sanctions très sévères pour les contrevenants.