publié le 05/04/2018 à 17:20

L'opération déminage continue pour Facebook. Deux semaines après les premières révélations sur le scandale Cambridge Analytica, selon lesquelles le réseau social aurait permis à cette entreprise britannique d'exploiter les données de 50 millions de ses membres à des fins politiques sans leur consentement, l'entreprise américaine poursuit sa tournée d'excuse. À une semaine de son audition devant le Congrès américain (le 11 avril), Mark Zuckerberg a reconnu des erreurs et s'est engagé à faire mieux à l'avenir lors d'un interview téléphonique accordé à plusieurs médias internationaux, mercredi 4 avril.



En marge de cet entretien, Facebook a joué la carte de la transparence. La société a annoncé qu'elle estimait désormais à 87 millions le nombre de comptes dont les données ont été siphonnées par la société anglaise en profitant des règles de confidentialité du réseau social qui permettaient jusqu'en 2015 aux applications tierces à accéder aux données de leurs utilisateurs et à celles de leurs amis. Les données de 211.667 comptes français seraient aussi impactées.



Facebook a également avancé sur le plan technique. La société a publié les premières mesures pour protéger les données personnelles des utilisateurs. Elles visent à restreindre l'accès aux fonctionnalités donné aux services tiers par l'intermédiaire des API, les interfaces de programmation qui font le lien entre les développeurs, les applications et Facebook. Tous les recueils de données qui ne seront pas jugés nécessaires par Facebook ne seront plus autorisés. Plusieurs fonctionnalités du réseau social sont concernées.

1 - Les événements

Les applications ne peuvent plus accéder à la liste d'invités à un événement, qu'ils soient publics, privés ou secrets. Jusqu'à présent, les développeurs pouvaient obtenir des permissions via l'API "Events" pour recueillir des informations sur les participants et sur les messages publiés sur le mur des événements pour les utiliser dans des applications de ventes de billets ou de calendrier.



Facebook assure que seules les applications apportant des garanties suffisantes pourront utiliser l'API à l'avenir.

2 - Les groupes

Les administrateurs de groupes peuvent utiliser des applications tierces pour les aider à gérer leurs communautés. Jusqu'à présent, ces applications devaient demander l'autorisation d'un membre ou de l'administrateur pour accéder aux données d'un groupe privé, et celle de l'administrateur pour un groupe secret.



Désormais, l'autorisation de l'administrateur et celle de Facebook sont requises. Les applications n'ont plus accès à la liste des membres et les informations personnelles (noms et photos de profil) rattachées aux publications des groupes sont entièrement anonymisées.

3 - Les pages

Même logique pour les pages Facebook, dont les administrateurs pouvaient utiliser des applications tierces pour les aider à gérer leurs publications, répondre aux commentaires et modérer les publications.



Le réseau social veut désormais s'assurer qu'elles ne demandent que les permissions nécessaires à leurs missions et n'en profitent pas pour recueillir d'autres informations personnelles. Seules les applications approuvées par Facebook pourront être utilisées par les pages.

4 - L'outil "Facebook login"

Les services qui utilisent le "Facebook login", l'interface qui permet de se connecter à une application, un site Web ou un service en utilisant son identifiant Facebook, ne pourront plus demander des informations sensibles sur leurs utilisateurs. Jusqu'ici, les services pouvaient se contenter du mail et du pseudo Facebook ou demander un accès à de nombreuses informations personnelles.



Facebook va désormais valider les applications souhaitant utiliser l'API et leur interdire de demander la permission d'accéder à des données sensibles comme les opinions religieuses ou politiques, le statut amoureux, les listes personnalisées d'amis, les activités sur Facebook, les listes de "J'aime", les études ou l'activité professionnelle. Elles pourront toujours récupérer les informations relatives aux "j'aime", aux photos, aux publications, aux vidéos et aux événements si l'utilisateur l'accepte.



En outre, les applications ne pourront plus accéder aux données des utilisateurs si ces derniers ne les ont plus utilisées depuis 90 jours.

5 -La fin de l'historique des appels

Facebook donne aussi des gages concernant la collecte des métadonnées relatives à l'historique des appels et des messages pour les personnes utilisant Messenger et Facebook Lite qui permet de de mettre en avant les contacts favoris d'un utilisateur sur les smartphones utilisant d'anciennes versions d'Android.



Critiqué pour cette fonctionnalité découverte par un utilisateur quelques jours après le début de l'affaire Cambridge Analytica, le réseau social annonce qu'il va supprimer de ses serveurs toutes les données relatives à l'historique des appels et des messages vieilles de plus d'un an et de ne stocker désormais que les informations nécessaires à cette fonctionnalité.

6 - La fin de l'annuaire inversé

Facebook va également supprimer la fonctionnalité d'annuaire inversé permettant de rechercher un contact à partir de son numéro de téléphone ou de son adresse email. Le réseau social explique que cette fonctionnalité était particulièrement utilisée dans certains pays où il est difficile d'écrire le nom des personnes - elle représenterait ainsi 7% des recherches au Bangladesh.



Le réseau social admet cependant qu'elle était utilisée à grande échelle à des fins publicitaires, par des agences marketing pour composer des bases de données ou malveillantes, par des "mauvais acteurs" revendant des fichiers pouvait être exploités pour usurper des identités ou mener des campagnes de hameçonnage.

7 - La fin des agrégateurs de données

Facebook rappelle certaines annonces effectuées la semaine dernière comme la fin des contrats des agrégateurs de données sur certains de ses outils publicitaires Ces outils très puissants collectent de nombreuses informations sur le Web pour les croiser avec celles récoltées par Facebook pour permettre aux annonceurs de mieux cibler les internautes.

8 - De nouveaux outils de contrôle

Enfin, le réseau social évoque à nouveau la refonte du centre de contrôle des paramètres de confidentialité annoncée le 28 mars pour permettre aux utilisateurs de bloquer plus facilement l'accès donné aux applications et de supprimer plus aisément d'anciennes publications. Des mesures qui s'inscrivent pour la plupart dans la mise en conformité de Facebook avec le RPGD, le règlement européen sur la protection des données personnelles qui sera appliqué en Europe à partir du 25 mai.