Facebook collecte de nombreuses données sur ses utilisateurs, mais aussi sur les internautes qui ne disposent pas de compte sur le réseau social. | NICOLAS ASFOURI / AFP

« Peu importe que vous ayez un compte Facebook ou non : [le réseau social] est capable de collecter des informations sur chacun d’entre nous. » Cette phrase assassine a été lancée par la députée démocrate Debbie Dingell (Michigan), lors du deuxième jour d’audition de Mark Zuckerberg, le patron de Facebook, devant le Congrès américain.

Mardi 10 et mercredi 11 avril, plusieurs élus ont interrogé le fondateur du réseau social sur sa capacité – déjà connue – à pister les internautes, qu’ils soient inscrits à Facebook ou non. Face à cette question délicate, M. Zuckerberg s’est montré mal à l’aise, promettant que ses équipes « reviendraient » vers les élus.

Voici ce que l’on sait de la façon dont Facebook collecte des données sur les internautes non inscrits au réseau social.

• Comment ces données sont-elles collectées ?

A partir de sites visités par l’internaute. Les boutons Facebook « J’aime » ou « Partager » qui apparaissent sur d’innombrables pages Web ont une fonction supplémentaire à celle qu’ils affichent. Même si l’internaute ne clique pas dessus, ils ordonnent à son navigateur de transmettre des données le concernant à Facebook, comme l’entreprise l’indique dans ses « pages d’aide ».

A travers les contacts de l’internaute. Les utilisateurs de Facebook se voient proposer d’importer leurs contacts (Gmail, Hotmail, Yahoo!, répertoire téléphonique…) afin de trouver des amis avec lesquels se connecter sur le réseau social, ou d’en inviter d’autres à se créer un compte. Or, lorsqu’ils effectuent cette action, Facebook aspire des données concernant ces internautes, qui ne sont pourtant pas forcément inscrits sur le réseau social.

• Quelles sont les données collectées ?

La quantité de données et leur nature exacte n’est pas listée par Facebook. Concernant les données de navigation, Facebook dit recevoir « des informations sur la page Web que vous consultez, la date et l’heure, et d’autres données liées au navigateur », sans plus de précision. En 2015, le réseau social avait assuré que les données de navigation récupérées par le « cookie » Datr – un petit programme qui transmet les informations – étaient supprimées au bout de dix jours.

Par ailleurs, lorsqu’un utilisateur de Facebook synchronise ses contacts avec le réseau social, les adresses e-mail et les numéros de téléphone de ces personnes sont collectés, mais pas seulement. Les données peuvent inclure, précise Facebook, « leurs noms et surnoms, photos de contact (…) et autres informations que vous pourriez avoir ajoutées comme une relation ou leur profession, ainsi que les données sur ces contacts présentes sur votre téléphone ».

• Comment Facebook justifie-t-il cette collecte ?

Interrogé à ce sujet au Congrès, Mark Zuckerberg a évoqué « des raisons de sécurité » : « Afin d’empêcher des gens d’aspirer des informations publiques, nous devons savoir quand quelqu’un tente d’accéder de façon répétée à nos services. » En gardant la trace d’internautes, même non inscrits, Facebook dit pouvoir repérer des activités suspectes.

« Nous enregistrons ces informations afin d’améliorer nos produits », écrit par ailleurs Facebook dans ses « pages d’aide », sans apporter plus de précision.

Quand le réseau social aspire les données du carnet d’adresses d’un de ses utilisateurs, « cela aide Facebook à proposer des recommandations pour vous et les autres et à fournir un meilleur service ». Cela permet aussi au réseau social, si un internaute décide de s’inscrire sur Facebook, de lui suggérer immédiatement des personnes à suivre.

La collecte massive de données par Facebook, qu’il s’agisse de ses utilisateurs ou non, a pour fondement la publicité ciblée, à la base de son modèle économique. En récupérant des données sur les internautes non inscrits, sa régie publicitaire, présente sur d’autres sites, peut leur exposer des publicités « pertinentes », comme aime à le répéter Facebook.

• Les problèmes que cela pose

Les internautes non inscrits sont rarement au courant que leurs données sont collectées par Facebook. De plus, une partie de ceux qui ne sont pas sur le réseau social évoquent souvent comme raison leur aversion à l’idée de transmettre leurs données à cette entreprise multimilliardaire. Or, ces « résistants » voient eux aussi leurs données aspirées.

Surtout, les internautes n’ont pas donné leur accord. Ou du moins, pas explicitement… En Europe, par exemple, les sites Internet disposant de « cookies » doivent en informer leurs visiteurs et obtenir leur consentement. Mais ces derniers ne connaissent pas forcément la nature de ces cookies, et que leurs données seront probablement transférées, entre autres, à Facebook.

Si les questions des représentants américains à ce sujet ont tant dérangé Mark Zuckerberg, c’est aussi qu’elles mettent à mal sa principale ligne de défense. Le patron de Facebook a martelé que les propriétaires des données collectées avaient un contrôle total, pouvaient choisir de les partager ou non, et de les supprimer.

Le député Ben Lujan a même souligné, lors d’un échange musclé, que si un internaute non inscrit souhaite accéder aux données récupérées par Facebook, le réseau social lui demande… de créer un compte.

Ce pistage des internautes non inscrits a d’ailleurs valu à Facebook une condamnation en Belgique. La justice belge a ainsi ordonné à Facebook, au mois de février, de cesser cette pratique auprès des internautes du pays, sous peine d’une astreinte de 250 000 euros par jour pouvant atteindre 100 millions d’euros. Facebook a annoncé son intention de faire appel.

• Comment limiter cette collecte ?

Il n’existe pas de solution miracle. Quelques précautions peuvent toutefois être prises. Certains navigateurs Internet, comme TOR, désactivent les cookies par défaut, ce qui empêche la collecte de données de navigation. Toutefois, si TOR est gratuit, simple à installer et à utiliser, il peut ralentir la navigation.

Les navigateurs classiques comme Firefox ou Chrome peuvent toutefois être améliorés à l’aide d’extensions gratuites à télécharger, qui bloquent aussi les collectes de données automatiques lors de la navigation, comme uBlock ou Ghostery.

Cela n’empêche toutefois pas la collecte de données permise par vos contacts, quand ils prennent consciemment la décision de synchroniser, avec Facebook, leurs carnets d’adresses.