Facebook piste tous les visiteurs sans distinction et sans consentement

Le réseau social suit à la trace tous ses visiteurs, y compris ceux qui n’ont pas de compte Facebook ou qui ont choisi de ne pas être suivis. D’après un nouveau rapport à charge de chercheurs européens.

La tension monte d’un cran entre le réseau social américain et Bruxelles. Après qu’un avocat de la Commission européenne a recommandé aux internautes soucieux de confidentialité de fermer leur compte Facebook, des chercheurs européens affirment que le réseau social piste tous les visiteurs du site Facebook.com, y compris ceux qui n’ont pas ouvert de compte sur la plateforme. Des chercheurs de l’université catholique de Louvain (KU Leuven) et de l’université libre néerlandophone de Bruxelles (VUB) ont contribué au rapport commandé par l’autorité belge en charge de la protection de la vie privée (CPVP). Une nouvelle ébauche du rapport a été rendue publique le 31 mars 2015.

Une utilisation systématique des cookies

Pour fournir de la publicité ciblée et améliorer ses services, Facebook piste la navigation web des internautes. Dès qu’un visiteur se rend sur une page du domaine Facebook.com, y compris les sections qui ne nécessitent pas l’ouverture d’un compte, le réseau social utilise des cookies (ces témoins de connexion sous forme de petits fichiers texte stockés sur le terminal de l’internaute).

Pour les visiteurs qui ne sont pas des utilisateurs de Facebook, un cookie contient un identifiant unique et a une date d’expiration de deux ans. Pour les utilisateurs de Facebook, le réseau social place des cookies supplémentaires qui les identifient de façon unique. Une fois ces cookies intégrés, le réseau social est théoriquement alerté lors de chaque visite ultérieure de l’utilisateur sur des sites web tiers contenant un module social (plug-in) Facebook, par exemple le bouton « J’aime » présent sur plus de 13 millions de sites web. Facebook obtiendrait ainsi des informations de connexion, dont l’URL de la page visitée, le navigateur web et le système d’exploitation utilisés par l’internaute.

D’après les chercheurs, le réseau social piste donc la navigation de ses utilisateurs sur des sites tiers, que les internautes soient ou ne soient pas connectés à leur compte Facebook, et qu’ils utilisent effectivement ou n’utilisent pas les modules sociaux présents sur ces mêmes sites tiers.

Les pixels et « technologies similaires »

Sur le « canvas fingerprinting » (technique d’empreinte ayant fait l’objet d’un autre rapport des chercheurs de Louvain et Princeton en 2014), le flou demeure. La politique d’utilisation des données de Facebook pour 2015 ne contient pas de termes spécifiques concernant l’utilisation d’informations relatives aux terminaux de connexion, semble-t-il. Cependant, dans la section concernant les « cookies, pixels et technologies similaires », ces informations seraient assimilées à des technologies « similaires », commentent les chercheurs. Or Facebook indique dans une sous-section : « nous pouvons placer ou utiliser ces technologies lorsque vous interagissez avec nos services, nos sociétés apparentées, ou avec un annonceur ou partenaire (que vous soyez ou non connecté à un service spécifique) dans un navigateur ou un appareil qui permet le placement ou l’utilisation de la technologie appropriée. »

Avec ou sans consentement

Selon les chercheurs, les visiteurs de Facebook qui ont explicitement choisi de ne pas être suivis (opt-out) le sont tout de même. Les auteurs du rapport déplorent, par ailleurs, une utilisation massive des cookies, y compris sans avertissement explicite. Une disposition qui semble enfreindre la législation de l’Union Européenne selon laquelle un avis de consentement préalable doit être adressé à l’internaute avant d’émettre un cookie et d’effectuer un suivi à la trace. Facebook dément.

« Cette étude comporte des inexactitudes », a déclaré un porte parole de Facebook au journal britannique The Guardian, sans toutefois préciser lesquelles. Le réseau social, qui regrette de ne pas avoir été contacté par les auteurs du rapport avant sa publication hier, assure que la récente mise à jour de ses conditions et politique d’utilisation est conforme à la législation européenne.

Lire aussi :
Safe Harbor : Facebook dans la ligne de mire de la Commission européenne
UE : les règles de confidentialité révisées de Facebook restent non-conformes