Facebook, qui n’en est pas à son premier scandale de gestion frauduleuse des données, est une fois encore pris par la patrouille. Le Wall Street Journal a pu déterminer qu’une dizaine d’applications populaires partagent avec Facebook des informations vraiment très privées.
On ne parle pas de la localisation ou des contacts, des données que l’on peut accepter ou pas de partager avec des services tiers, mais d’informations financières et de santé qui devraient rester entre l’utilisateur et leur application de prédilection.
Parmi les apps repérées par le WSJ, on trouve Flo Health, qui permet à l’utilisatrice de noter ses cycles de menstruation et de suivre sa grossesse ; Instant Heart Rate, pour relever son pouls ; ou encore Realtor.com, une app immobilière. Ces applications sont utilisées par des dizaines de millions de particuliers partout dans le monde.
Elles ont pour point commun d’utiliser un SDK d’analyse d’usage fourni par Facebook, ce qui permet aux éditeurs d’obtenir des statistiques précises sur l’utilisation de leurs apps. Qu’un développeur veuille en savoir plus pour améliorer son application ou afficher de la publicité ciblée, soit. Mais ces données sont également récupérées par Facebook, sans le consentement de l’utilisateur. Mieux, ou pire encore, le réseau social exploite ces informations même si l’utilisateur n’est pas connecté à son profil Facebook, et même s’il n’a pas de compte…
Facebook est donc en mesure de savoir que tel utilisateur programme un achat immobilier, que les battements du cœur de tel autre ne sont pas réguliers, ou encore que telle utilisatrice est en pleine ovulation. C’est ce type de données que le réseau social récolte en loucedé, avec la complicité passive de ces applications.
Suite à l’avertissement du WSJ, l’éditeur de Flo Health a assuré qu’il allait limiter « de manière substantielle » le volume de données partagées avec des tiers. Du côté des distributeurs de ces apps, Google indique que les développeurs doivent afficher le type de services tiers avec lesquels les informations personnelles sont partagées.
Apple explique que les applications doivent obtenir un consentement préalable à la collecte de données. Un porte-parole du constructeur : « Quand nous voyons qu’un développeur enfreint nos règles strictes sur la confidentialité, nous enquêtons rapidement et, au besoin, nous agissons ».
Facebook se dédouane en expliquant que les éditeurs enfreignent les conditions d’usage de son outil d’analyses. Celles-ci précisent que les développeurs ne doivent pas envoyer à Facebook d’informations sensibles sur la santé, les finances et autres catégories. Ces données sont automatiquement effacées, promet le groupe.
L’entreprise de Mark Zuckerberg a fait savoir aux applications concernées de cesser ce partage de données. Des garde-fous vont également être mis en place pour éviter le stockage des informations sensibles que les apps peuvent partager.
Les relations entre Apple et Facebook étaient déjà particulièrement tendues avant même l’histoire abracadabrantesque du certificat d’entreprise pour une app d’espionnage contre rémunération (lire : Facebook : Apple a déjà utilisé l'arme de la révocation de certificat mais jamais aussi fort).
Cette nouvelle histoire ne va pas arranger les choses, même si Facebook ne cherche pas à récolter ces informations sensibles de façon proactive — bien qu’avec le réseau social, on ne sait plus que croire.