En 2014, Cambridge Analytica a récupéré les données de 50 millions d'utilisateurs via un « test de personnalité ». Au courant depuis 2015, Facebook vient de suspendre le compte des sociétés impliquées. Des deux côtés de l'Atlantique, responsables politiques et régulateurs réclament des comptes au réseau social.

Le 16 mars, Facebook a suspendu l'accès de la société Strategic Communication Laboratories (SCL) à ses données. La cible : sa branche d'analyse politique, Cambridge Analytica, au cœur de la campagne numérique de Donald Trump en 2016. Début 2014, la société a capté des informations sur plus de 50 millions de membres américains, via l'application « thisisyourdigitallife », connectée à 270 000 profils Facebook, révèlent The Guardian et le New York Times.

Ces centaines de milliers de membres étaient ainsi rémunérés pour ce « test de personnalité », officiellement pour un usage universitaire. Leurs données et celles de certains de leurs amis (selon les permissions ouvertes) étaient fournies à Global Science Research (GSR), une société menée par l'universitaire Aleksandr Kogan de Cambridge. Sans l'accord des internautes, elles étaient ensuite revendues à Cambridge Analytica.

L'affaire est partie de Christopher Wylie, qui a quitté Cambridge Analytica début 2015. Wylie aurait conçu l'architecture des outils de ciblage, après avoir récupéré les données. « Nous avons exploité Facebook pour récolter les profils de millions de personnes. Et construit des modèles pour cibler leurs démons intérieurs. C'était la base de toute la société » déclare-t-il au Guardian.

Facebook au courant depuis 2015, sans grande action

En plus de son rôle central dans la dernière élection présidentielle américaine, la société a aussi contribué à la campagne pour le Brexit, la même année. Cambridge Analytica a rapidement été placé sous les projecteurs, pour cette exploitation massive de données à but électoral, à l'ampleur inédite à l'époque.

Selon le New York Times, l'opération a été déclenchée lors des élections américaines de mi-mandat en 2014. L'objectif : contenter l'investisseur républicain Robert Mercer et le responsable Stephen Bannon (stratège de la campagne de Donald Trump deux ans plus tard).  Pour justifier les 15 millions de dollars investis, l'entreprise s'est tournée vers cette méthode, assure le quotidien. Le nom serait une idée de Bannon lui-même, aujourd'hui ex-bras droit de Donald Trump et ex-patron du site d'extrême-droite Breitbart.

Un entretien de Christopher Wylie avec The Guardian

Les publications, les contenus aimés, les amis, voire les messages privés pouvaient faire partie des données accessibles, selon Wylie. Sur les 50 millions de profils récupérés, 30 millions étaient assez précis pour déterminer l'adresse et concevoir un profil psychographique. L'information, révélée par The Intercept en mars 2017, est ici confirmée par le New York Times.

Dans son communiqué, Facebook dit être au courant de l'affaire depuis 2015, dénonçant un mensonge du docteur Aleksandr Kogan. La transmission des données à la société d'analyse politique, via sa société GSR, n'était pas autorisée. Selon The Guardian, Facebook n'a pris que des mesures limitées à l'époque, réclamant seulement la garantie que les données ont été supprimées. La suspension des contrevenants par le réseau social a été très tardive : quelques jours après un contact par les journalistes, soit plus de deux ans après les événements.

Le compte du lanceur d'alerte suspendu

Le New York Times déclare que certaines informations sont toujours en possession de Cambridge Analytica, qui avait promis de les supprimer. Les journalistes ont ainsi accédé à une partie des données brutes.

C'est cette nouvelle qui justifie la suspension des sociétés, selon Facebook. « Il y a quelques jours, nous avons été prévenus que, contrairement à ce qui nous avait été certifié, toutes les données n'avaient pas été détruites » écrit ainsi Paul Grewal, vice-président de Facebook. Au parlement britannique fin février, le directeur général de Cambridge Analytica, Alexander Nix, déclarait pourtant ne pas disposer de données de Facebook.

Selon le New York Times, Facebook aurait d'abord réduit l'importance de l'affaire pendant son enquête, avant de suspendre ces comptes.

« L'idée selon laquelle il s'agit d'une fuite de données est complètement fausse. Aleksandr Kogan a demandé et obtenu l'accès aux informations des utilisateurs qui ont choisi de s'inscrire sur son application. Toutes les personnes impliquées ont donné leur consentement » assure Facebook dans une mise à jour de son communiqué, le 17 mars. Pourtant, près de 50 millions de personnes profilées n'ont fourni aucun consentement direct à ce partage.

Le groupe rappelle aussi avoir mis en place une validation a priori des applications avant tout accès aux données des membres. « Aucun système n'a été infiltré, et aucun mot de passe ou donnée sensible n'ont été volées ou piratées » répète Paul Grewal au Guardian. Cela reste néanmoins « un abus sérieux de nos règles ».

Quelle récompense pour Christopher Wylie, qui dirige aujourd'hui Eunoia Technologies ? Son compte Facebook a été suspendu, tout simplement. Le lanceur d'alerte refuse de coopérer avec l'entreprise tant que son compte est bloqué. Facebook compte maintenir la suspension vu son rôle dans cette collecte.

Par ailleurs, The Guardian a révélé que Facebook emploie depuis novembre 2015 le psychologue Joseph Chancellor, qui codirigeait GSR avec Aleksandr Kogan, à l'époque de la collecte des données.

Suspended by @facebook. For blowing the whistle. On something they have known privately for 2 years. pic.twitter.com/iSu6VwqUdG

— Christopher Wylie (@chrisinsilico) 18 mars 2018

Lors de son enquête, le quotidien britannique a établi des liens entre Aleksandr Kogan et l'université de Saint-Pétersbourg. Cambridge Analytica aurait, pour sa part, attiré l'attention du premier groupe pétrolier russe, Lukoil. La société est suspectée de liens rapprochés avec le Kremlin.

Des enquêtes annoncées en réaction

La révélation, publiée le week-end dernier, a rapidement déclenché nombre de réactions officielles. Facebook, qui s'affiche en victime, est sous le feu des critiques pour sa gestion de ce dossier hautement sensible.

Le président du Parlement européen, Antonio Tajani, a annoncé aujourd'hui l'ouverture d'une enquête sur la responsabilité des plateformes en ligne. En parallèle, la Commission européenne a demandé aux autorités nationales de protection des données (dont la CNIL française) d'ouvrir une enquête sur cette affaire. La commissaire européenne à la justice, Vera Jourova, doit également en parler cette semaine à des responsables politiques américains à Washington.

Aux États-Unis, le sénateur démocrate Mark Warner estime qu'une utilisation aussi massive de données à des fins politiques exige un contrôle plus strict par le Congrès. Une référence à la proposition de loi « Honest Ads Act », déposée en novembre 2017.

En outre, la procureure générale de l'État du Massachusets, Maura Healey, a promis une enquête. Au Royaume-Uni, le parlementaire conservateur Damian Collins, responsable de l'enquête sur les « fake news » et l'éventuelle ingérence russe dans le Brexit, compte aussi demander à Zuckerberg ou un autre responsable de témoigner sur le sujet.

Une enquête de la CNIL britannique, l'Information Commissioner's Office (ICO), a aussi été lancée sur Facebook et Cambridge Analytica. « Nous enquêtons sur les circonstances dans lesquelles les données de Facebook ont pu être acquises et utilisées illégalement » a assuré la commissaire Elizabeth Denham au Guardian.

La révélation intervient alors que les géants du Net se présentent de plus en plus comme les gardiens des données personnelles des internautes... qu'ils mettent à l'abri des États trop gourmands et des indélicats. Facebook subissait déjà un feu nourri à cause du partage, activé par défaut, de données des utilisateurs de WhatsApp vers Facebook.

La société a fermé temporairement le robinet outre-Manche, et reste mise en demeure par la CNIL. Cette dernière réclame la conformité du processus avec le droit hexagonal.