Le Conseil irlandais pour les libertés civiles (ICCL) a écrit à la Commission européenne pour dénoncer « une utilisation abusive des données si profonde qu'il serait impossible pour le géant de la technologie de se conformer à la nouvelle législation européenne ».
L'ONG a examiné des milliers de pages émanant d'une affaire judiciaire aux États-Unis, et découvert que les responsables de Meta sont dans l'incapacité de savoir comment les autres employés de Facebook utilisent les données dans leurs systèmes. Un ingénieur de Meta aurait même reconnu que, dans certains cas, « il n'est pas possible pour les humains de comprendre » ce qui se passe :
« Lorsqu'on lui a demandé de produire des informations sur ce que font 149 systèmes de données différents au sein de Meta et sur les parties de l'activité de Meta qui les utilisent, la société n'a pas été en mesure de répondre. »
Or, souligne l'ICCL, « le DMA est entré en vigueur ce mois-ci et interdit aux grandes entreprises technologiques d'utiliser automatiquement les données d'une partie de leur activité pour soutenir d'autres parties ».
Commentaires (30)
#1
Collez leur des amendes jusqu’à ce qu’ils comprennent jusqu’à ce qu’ils comprennent comment leur propre système fonctionne. Je suis sûr que le mode d’emploi va leur revenir.
#1.1
Haha non je suis sûr que ça marcherai pas. On parle d’une boîte de plusieurs dizaines de milliers d’employés et de données de milliards de personnes éparpillées de partout. C’est à peu près sûr que personne chez Meta, y compris Zuckerberg, n’a la moindre liste de tout ce qui a été développé ni de tout ce qui existe. La boîte est bien assez vieille pour que plein de systèmes tournent sans que personne ne sache qui est responsable de quoi ni même si les responsables sont encore là.
Même dans ma PME de quelques centaines de personnes, plus personne n’a une idée globale de tout ce qui se passe alors imagine Meta.
Je dis pas ça pour les défendre et j’adorerai qu’on leur colle des prunes par principe. Mais ça changerait rien au bordel que c’est probablement et quand bien même, c’est impossible à auditer et encore moins à rectifier.
#1.2
Donc on ferme la boite ? Une entreprise dont les processus sont tellement confus que ce n’est pas auditable, au mépris des obligations légales dans le domaine, ça pose de gros problèmes.
#1.3
C’est un peu un homme de paille que tu fais là.
Personne n’exige de Meta ni d’aucune entreprise a ce qu’elle dispose d’une personne qui a connaissance de la totalité de ses activités, non.
En revanche ici on parle spécifiquement de la gestion des données personnelles des utilisateurs. Et en l’occurrence il est totalement normal que dans toute entreprise concernée il y ait des groupes de personnes (plus ou moins conséquent selon sa taille) spécialisé dans le sujet, et qui soit capable de dire, au moins pour son secteur de responsabilité, quelles sont les données récupérées et ce qu’ils en font. Quitte à ce qu’il y ait 150 secteurs dans la boîte qui connaissent chacun leur petit morceau.
Le fait que Facebook soit incapable malgré 1 an d’audit de fournir ces réponses est donc inquiétant et absolument pas normal du coup, et non ce n’est pas une exigence abusée parce qu’on ne parle que de la gestion des données utilisateurs, pas de TOUTE l’activité de la boîte.
#1.4
Le truc c’est que tu sembles penser que je défend Meta et que je me satisfait de la situation. Hors je ne cherche pas à excuser Meta mais à expliquer.
Il faut bien prendre en compte que Meta reste une entreprise assez jeune qui a dû évoluer très vite (en un peu plus d’une décennie) du petit projet perso en PHP sans réel business model de Mark Zuckerberg dans sa chambre d’étudiant, jusqu’à devenir une énorme machine à profiler la population mondiale. Rien d’étonnant (et je ne dis pas que c’est excusable) que cette croissance se soit faite dans la précipitation. D’autant que les rachats d’autres entreprises aident beaucoup a l’éclatement des données. Rajoute à cela que le cadre légal strict pour la gestion des données personnelles n’est que très récent et n’a probablement jamais été une priorité avant cela.
Je suis pas en train de dire « les pauvres ils y peuvent rien » mais juste que j’ai pas de mal à les croire quand ils disent que c’est le bordel. L’information c’est le bordel dans toutes les boîtes en règle générale. Y’avait pas de raison à ce que la boîte qui gère le plus de données personnelles dans le monde (avec Google) ne soit épargnée par ça.
Mais c’est le monde de l’entreprise qui veut ça. Quel que soit le sujet en fait. Chaque service ne s’occupe que de son petit pré carré sans savoir ce que font les autres, et les gens qui orchestrent tout ça (et ne sont eux même qu’un service parmi les autres d’ailleurs) ne regardent que les feuilles Excel des résultats de chaque sous service exprimés en dollars.
Là dedans, personne n’a de considération pour autre chose que la rentabilité. Le SI centralisé tout propre ? Osef on a un budget serveurs illimités. Les considérations juridiques ? Osef c’est le taf du service juridique. L’éthique ? Osef car chaque service pris unitairement n’a probablement rien à se reprocher : souvent les problèmes éthiques apparaissent au niveau de l’agrégat, rarement au niveau du service qui fait son taf tranquille dans son coin. Du coup tout le monde s’en fiche de la cohérence générale.
#2
Ça augure des lendemains radieux…
#3
Bon les gars, on attend de voir si c’est opérationnel, on fera le diagramme de fonctionnement plus tard…
Dix ans plus tard :
#4
Dans un rêve, un concurrent Facebook plus éthique attirerait une majorité des abonnés Facebook et Facebook serait condamnée à purger ses bases de données.
Un minimum serait l’option d’une purge automatique des données personnelles pourrait être intégrée au compte utilisateur.
#5
Tout à fait, on ferme la boite en Europe.
Tiens c’est bizarre, l’action de Meta a chuté au NASDAQ…..
#6
En même temps c’est normal d’en arriver là. Si on est si extrême alors on peut fermer toute les entreprises :)
#7
C’est quoi exactement “en arriver là” ? Qui est ce “on” ? Qu’est-ce qui est extrême ?
Peux tu préciser ta pensée ?
#8
Ne plus maîtriser tous ses processus à cette taille d’entreprise.
Note que je ne dis pas que c’est bien, juste que c’est normal, c’est comme ça dans tous les groupes.
#8.1
Très sérieusement, dans les secteurs soumis à des réglementations contraignantes, le non-respect est soumis à de fortes amendes.
Bien sûr, on ne va pas “fermer” Meta, mais si ses services ne peuvent pas être mis en conformité, il faudra réellement trouver un moyen de les couper, même si ça prendra 10 ans.
La loi, ce n’est pas un truc à la carte. Certaines entreprises l’ont découvert douloureusement avec REACH.
#9
Merci pour la précision.
Par contre, si une entreprise ne gère pas de données personnelles, ce n’est pas en violation du DMA, donc pas la peine de la fermer.
#10
Je pense que toute les entreprises gèrent des données personnelles, pas au niveau de Facebook bien sur.
Le Plombier a une liste de clients avec nom/prénom/adresse/téléphone. Bon il ne doit pas faire trop de croisement avec mais pas sûr qu’il maitrise pour autant la notion de données personnelles et ce qu’il a le droit de faire avec ou non.
#10.1
L’avantage du plombier est que comme son modèle économique est de vendre du service de plomberie et pas des données personnelles à des annonceurs, il est moins susceptible de mal gérer les données de son fichier clients.
#11
C’est ça leur défense ? On est trop bordéliques pour respecter la loi, alors ou doit en être dispensés ?
#11.1
Ils n’ont pas dit qu’ils devaient en être dispensé. Ils ont juste dit qu’ils ne pouvaient expliquer quelles données étaient utilisées par chacun des 149 systèmes et ce qui en était fait malgré un an de travail sur le sujet.
En fait, comme META est Facebook + des sociétés rachetées, ils ont une accumulation de systèmes qu’ils ont fait partager leurs données, mais ils ne maîtrisent pas l’ensemble. C’est souvent le code qui est la doc de conception a dit un de leur expert.
S’ils ne progressent pas très vite dans leur maîtrise de tout ce bordel, META doit être interdit en Europe.
Et Twitter également parce que je ne vois pas comment le personnel restant pourra répondre à des demandes similaires.
Joli travail d’analyse du Irish Council for Civil Liberties !
#12
Facebook a très bien compris le DMA, il se sont juste trompés de définition (Direct Memory Access).
#13
Ce n’est pas trop crédible, quand même. Il doit bien y avoir 149 mainteneurs, un pour chacun des systèmes. Peut-être qu’ils ne maîtrisent pas à fond le système qu’ils ont hérité de générations précédentes, mais quand même, faire juste un peu de reverse engineering sur le code dont tu es censé être le mainteneur, donc maîtriser quand même a minima, et ne pas être capable de retracer les flux de données en un an, c’est un peu du foutage de gueule.
#14
Je like !
#15
De toute façon Meta se fout de Facebook, ils sont à fond sur le Metaverse..
Et puis ils ont licencié des salariés.
-> Ca commence à sentir le sapin ….
#16
N’oublions pas que Meta a averti ses actionnaires qu’il y avait un risque qu’ils ferment Facebook en Europe suite aux remarques de la “CNIL” irlandaise.
#16.1
Chiche !
#16.2
J’ai eu un regain d’espoir à ce moment là. Qu’ils osent, qu’ils osent !
#17
Tu as des sources stp ?
Les seules infos que je trouve datent de Février 2022, dont Meta fait un démenti:
https://www.20minutes.fr/high-tech/3231195-20220208-meta-mark-zuckerberg-menace-vraiment-fermer-facebook-instagram-europe-prudence
Démenti officiel (en anglais):
https://about.fb.com/news/2022/02/meta-is-absolutely-not-threatening-to-leave-europe/
#18
Non, effectivement, ils ne menacent pas de quitter l’Europe, mais ils annoncent depuis 2018 qu’ils courent un risque important en Europe avec le transfert des données personnelles aux USA.
Et ce risque, s’il devient une réalité les obligera à quitter l’UE s’ils n’arrivent pas à laisser les données personnelles de l’UE dans l’UE ou dans un pays qui apporte la même sécurité vis-à-vis du RGPD.
Comme ils n’ont pas l’air de maîtriser leurs traitement de données, ils risquent d’être incapable de garder les données de l’UE dans l’UE. La seule chose qui peut les sauver est un accord entre les USA et l’UE qui soit pour une fois compatible avec le RGPD en terme de protection des ressortissants de l’UE. Et on a vu que ce n’était pas gagné avec les 2 premières tentatives.
Le coup qui leur est porté ici par le Conseil irlandais pour les libertés civiles risque bien d’être fatal à leur activité dans l’UE.
#19
#20
Non non j’avais parfaitement compris ton propos.
Mais le raisonnement ne fonctionne pas vraiment, et preuve en est, il est parfaitement possible d’auditer énormément d’entreprises, même des grosses, et savoir comment elles traitent les données personnelles.
Le fait que tout soit très compartimenté n’est pas un élément suffisant pour expliquer ce problème, c’est le sens de mon propos. En s’occupant chacun de son propre box, ça n’empêche pas a chaque box de savoir dire ce qu’il récupère comme données et ce qu’il en fait… Normalement. Et c’est le cas de la plupart des boîtes concernées. Tu sais ce que tu gères et tu ais les entités avec lesquelles tu inrerragis (autrement c’est juste impossible de faire le moindre projet).
Bref, pour moi l’explication semble pas bonne.
#20.1
Tout à fait. Il y a un bon moment j’étais en mission pour la Société Générale on nous avait demandé de dire si on gérait des données sensibles pour la RGPD dans nos applications. C’est quand même drôle qu’ils n’arrivent pas à agréger des informations sur leur SI alors que leur fond de commerce c’est d’agréger des données sur leurs utilisateurs…