Comment Facebook a décidé de siphonner le journal d’appels des utilisateurs Android

Le réseau social avait conscience que l’extraction des métadonnées du téléphone était particulièrement sensible. C’est pourquoi cette nouveauté a été planquée dans une fonctionnalité plus anodine et liée à une mise à jour applicative.
Josh Edelson / AFP

En mars dernier, certains utilisateurs de smartphones Android ont découvert, après avoir téléchargé leurs archives Facebook, que le réseau social a siphonné en douce l’historique des appels et des SMS. La firme de Mark Zuckerberg avait alors répliqué comme si de rien n’était. Oui, Facebook enregistre bien ces métadonnées et oui, l’accord de l’utilisateur sur ce point a bien été récolté dans le cadre de l’importation du carnet d’adresses, une fonctionnalité optionnelle que l’utilisateur devait activer expressément.  

Mais en réalité, il y avait bien une entourloupe. Facebook a tout fait pour cacher au maximum cette extraction de données, comme le montre les échanges de courriels internes révélés par le Parlement britannique, et obtenus dans le cadre d’une affaire juridique en Californie.
Début 2015, les équipes dirigeantes font le point sur deux nouveautés qu’elles aimeraient ajouter dans l’application Android : la possibilité de recevoir des push publicitaires par Bluetooth en fonction de la localisation et la récolte du journal d’appels et de SMS.

Mais ce n’est pas simple. Dans un e-mail, l’un des dirigeants, Michael LeBeau, affirme que le risque en terme d’image est « très élevé ». Ce qu’il craint le plus est un mème qui reprendrait l’écran d’acceptation pour cette récolte d’informations et qui fasse boule de neige à travers les réseaux sociaux pour finalement attirer l’attention des journalistes qui commenceraient à écrire des articles sur la surveillance grandissante des applis Facebook.

Le responsable de la protection des données personnelles dit oui

Mais un collaborateur zélé annonce heureusement une solution. Et ce n’est pas n’importe qui. Il s'agit de Yul Kwon, que Gizmodo a identifié comme le responsable de la protection des données personnelles. Sur un ton visiblement soulagé, il explique que les développeurs ont trouvé un moyen qui évite l’affichage d’un écran où l’utilisateur devrait donner explicitement son accord pour le partage des métadonnées. Cet accord serait implicitement noyé dans l’acceptation de la mise à niveau de l’application. C’est fort malin mais paradoxale. Le cadre qui a trouvé la solution est censé protéger les données personnelles des utilisateurs... Il eût été plus juste de désigner Yul Kwon comme responsable du contournement de la protection des données personnelles.

Au final, la stratégie n’a pas trop mal marché. Les utilisateurs de smartphones Android n’y ont vu que du feu et Facebook a pu tranquillement extraire ces métadonnées pendant des années. A quoi servaient-elles ? A multiplier les interactions et à faire grandir la base d'utilisateurs. Savoir qu’un utilisateur échangeait beaucoup avec une autre personne permettait à Facebook de l’ajouter dans les recommandations automatiques et donc de susciter l’ajout d’un nouvel « ami » plutôt pertinent.

Facebook a précisé plus tard ne jamais vendre les données personnelles de ses utilisateurs. Mais on sait aujourd’hui que certaines de ces données étaient échangées de manière plus ou moins ouverte avec des entreprises tierces, soit par des accords spéciaux, soit selon le principe de « réciprocité ». De quoi donner envie d’effacer, pour de bon, son compte Facebook…