En 2018, la révélation d’un pillage massif de données personnelles de 87 millions d’utilisateurs de Facebook a, temporairement du moins, coûté cher à l’entreprise fondée par Mark Zuckerberg. Mais elle a aussi contribué à l’élection de Donald Trump, peut-être aussi au vote des Britanniques en faveur du Brexit. Selon Christopher Wylie, ancien salarié de l’entreprise, son rôle dans le Brexit fut déterminant.
A quelques mois des élections européennes, et dans un contexte mondial de montée des populismes dont même Mark Zuckerberg devrait s’inquiéter, il est légitime de se demander si l’affaire Cambridge Analytica pourrait se reproduire demain ?
Elle illustre la nécessité de protéger les citoyens contre tous les excès des géants du numérique, en particulier ceux qui traitent nos données.
Cambridge Analytica fut (elle a fait faillite entre temps) une société d’exploration et d’analyse de données dont le siège était à Londres, mais dont le premier centre d’intérêt aura été la politique. Son actionnaire majoritaire était Robert Mercer qui, aux côtés d’un certain Stephen Bannon, n’a jamais caché sa haine des élites.
Lors de l’élection de 2016, Cambridge Analytica travaille d’abord pour Ted Cruz et contribue largement à sa victoire dans les primaires de l’Iowa, puis se tourne vers le candidat retenu par les Républicains : Donald Trump. L’objectif de Cambridge Analytica fut de lui vendre un ciblage particulièrement affiné des électeurs, permettant d’optimiser les coûts de la campagne et de maximiser ses chances d’être élu, notamment en mettant l’accent sur les quelques États qui feraient pencher la balance en sa faveur. Or, pour que ce ciblage puisse se faire, encore fallait-il disposer du profil des personnes ciblées. C’est là qu’est intervenu Facebook et ses 2,2 milliards d’utilisateurs dans le monde (22 millions en France), auxquels il faut ajouter plus d’un milliard d’utilisateurs d’Instagram, un réseau social très prisé des jeunes, racheté par Facebook en 2012.
Facebook a transféré à Cambridge Analytica, et in fine à l’équipe de Donald Trump, les données personnelles de nombreux utilisateurs, à leur insu. À l’origine, la démarche fut relativement transparente, puisqu’environ 270.000 utilisateurs de Facebook se sont vu proposer de remplir un questionnaire contre une rétribution de 4 dollars. Ce qui le fut bien moins, c’est que Cambridge Analytica put se connecter directement à Facebook via une interface dédiée, et récupérer par la même occasion les données personnelles des 87 millions d’« amis » des volontaires rémunérés, y compris plus de 200.000 Français.
Pourquoi ces données ont-elles pu avoir un effet déterminant sur le résultat d’élections ? Après tout, l’utilisation ciblée des médias pour convaincre ou manipuler l’électeur et l’opinion n’est pas une nouveauté. Sauf que sur Facebook, les utilisateurs se mettent à nu (au sens figuré bien sûr car les Américains sont très pudiques en matière de nudité, et bien moins lorsqu’il s’agit de diffuser des images aussi horribles qu’un égorgement). S’y ajoute le système des « like », permettant de connaître les goûts et les idées des utilisateurs. Des étudesont révélé qu’un seul like pouvait parfois suffire à déterminer le profil psychologique de son auteur.
L’impact de Cambridge Analytica a-t-il été décisif sur l’élection de Trump ? On sait que son équipe a testé 5,9 millions de messages différents (contre 66 000 pour Hillary Clinton). Les données fournies par Facebook à la société britannique ont certainement aidé le magnat de l’immobilier, futur hôte de la Maison blanche, à affiner sa stratégie virale. Facebook a certainement contribué à l’élection de Donald Trump en lui permettant, via le dispositif mis en place, de délivrer à chaque électeur potentiel le message auquel il aurait été le plus sensible.
Alors que faire ? Peut-on éviter que cela se reproduise ? Comment nous protéger ?
Si ces faits avaient été commis après l’entrée en vigueur du RGPD (règlement général européen sur la protection des données à caractère personnel) le 25 mai 2018, chaque CNIL de l’Union européenne aurait pu infliger à Facebook une amende pouvant aller jusqu’à 4 % de son chiffre d’affaires mondial.
L’exécution forcée de telles décisions aurait sans doute été problématique pour les Etats européens mais imaginons que plusieurs Etats réussissent à faire condamner le réseau social à ces fameux 4%, Facebook aurait certainement été mis en grande difficulté.
S’y ajoutent en France les dispositions de l’article 226-16 alinéa 1er du Code pénal : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. [1.000.000 d’euros pour les personnes morales – Art. 131-38]… ».
Il n’y a pas de RGPD aux États-Unis, et encore moins en Chine, mais la révélation de l’affaire Cambridge Analytica provoqua une chute du titre Facebook de 7 % en une seule séance, soit 119 milliards de dollars partis en fumée, le 19 mars 2018. 26 % des Américains supprimèrent leur application Facebook de leur smartphone. Outre la sanction boursière, l’image de Facebook fut si gravement écornée que l’hypothèse d’une candidature de Mark Zuckerberg, son fondateur, à la prochaine élection présidentielle américaine, un temps évoquée, semble définitivement écartée.
Au contraire, le fondateur de Facebook fut sommé de se présenter devant une commission d’enquête où il donna le sentiment d’être totalement dépassé par le monstre qu’il avait engendré. L’impact fut si important que certains GAFAM, comme Apple, ont exprimé leur souhait que les États-Unis se dotent d’un équivalent du RGPD. Même les géants numériques chinois pourraient se dire que la protection des données est une condition au développement de leur entreprise, mais là aussi, on risque d’en rester à des déclarations d’intention.
Via Facebook, Cambridge Analytica a non seulement contribué à l’élection de Donald Trump.
Que faire pour nous protéger, donc ? D’abord, de quoi devons-nous nous protéger ? Le premier dénominateur commun à ces entreprises est qu’elles sont toutes américaines et chinoises, les BHATX (Baidu, Huawei, Alibaba, Tencent et Xiaomi) étant le pendant chinois des GAFAM. Ces derniers pratiquent sans vergogne l’optimisation fiscale. En Europe, elles profitent des petits arrangements qu’accorde parfois l’Irlande, ce qui a conduit la Commission européenne à condamner Apple en 2016 à verser à ce pays membre de l’UE une amende de 13 milliards d’euros. L’UE n’impose aucune harmonisation fiscale, mais prohibe les aides d’État qui fausseraient la concurrence. Apple avait bénéficié d’une fiscalité « sur mesure », plus avantageuse que celle accordée à d’autres entreprises. Mais l’Irlande n’a pas voulu de cette extraordinaire manne fiscale, et s’est associée à la firme américaine pour contester cette condamnation ! Un comble ! Si cette amende record était confirmée, ce serait une formidable avancée vers une fiscalité européenne interdisant, ou du moins limitant, la création de paradis fiscaux au sein de l’Union. En tout état de cause, une harmonisation fiscale européenne est indispensable, et il est bien regrettable que le système de prise de décision à l’unanimité y fasse obstacle. La France, qui n’arrive pas à convaincre ses homologues de l’Union à taxer les GAFAM, risque de le constater à ses dépens…
Une seconde caractéristique commune aux GAFAM est qu’ils collectent nos données et les exploitent à des fins commerciales, voire les transmettent au gouvernement américain (ou chinois) à notre insu. Google et Facebook, mais aussi tous les réseaux sociaux comme Tweeter, ont bâti leur succès et leur fortune sur la collecte des données. Contrairement à Apple, Microsoft et Amazon, elles n’existent que par les données de leurs utilisateurs. Leurs services ne sont gratuits qu’en valeur monétaire, car nous les payons avec nos données. Microsoft contrôlant les ordinateurs, une vigilance toute particulière s’impose vis-à-vis de cet acteur historique, bien au-delà des données personnelles et même de celle des entreprises. Par exemple, le concepteur de Windows fournit des services de Cloud au ministère de la Défense et donc à l’armée française. Le chinois Huawei pose des problèmes analogues en contrôlant non pas les logiciels, mais le matériel nécessaire à la transmission des données, avec et surtout sans fil. Plus qu’un fabricant de téléphones qui a supplanté Apple à la deuxième place mondiale, le géant chinois est notamment leader dans le secteur de la 5G, et est soupçonné de pratiquer l’espionnage industriel, mais aussi politique, au bénéfice des autorités chinoises. La 5G, ce n’est pas seulement la téléphonie, mais aussi l’internet des objets, tous connectés, et véhiculant des données économiques confidentielles et personnelles, comme celles générées par la télémédecine.
L’Europe s’est dotée du RGPD, mais le bouclier est d’une efficacité très partielle, laissant subsister de nombreuses hypothèses de traitement des données sans le consentement préalable de la personne. C’est au consommateur et au citoyen de rester attentif, vigilant, et de rendre lui-même une implacable justice si son intimité était violée. Les 119 milliards de dollars perdus par Facebook en une séance boursière après la révélation de ses dérives devraient servir d’avertissement. Mais risque d’être de courte durée : les plus virulents pourfendeurs des GAFAM sont revenus sur Facebook, achètent sur Amazon, adorent les Iphones, font leurs recherches sur Internet avec Google…
Les GAFAM et autres BHATIX devraient être tenues d’expliquer à des Autorités compétentes comme la CNIL en quoi elles développent les technologies et les solutions d’auto-modération pour prévenir de nouveaux Cambridge Analytica.
Autre point clé : la législation devrait être pénalement encore plus sévère avec les dirigeants d’entreprises, notamment ceux de sociétés comme Cambridge Analytica, dont les agissements influent sur les résultats électoraux, tant les conséquences peuvent être désastreuses sur le destin des nations et des peuples.
Enfin, face aux GAFAM et aux BHATX, il serait peut-être temps de se demander pourquoi l’Europe n’est pas capable de permettre l’éclosion d’entreprises équivalentes, au lieu de cantonner sa réflexion à la seule stratégie défensive, à coup de lois et de mesures fiscales. C’est un autre sujet, mais la proximité des élections européennes n’est-elle pas l’occasion de l’aborder frontalement ?
Epilogue provisoire : la société Cambridge Analytica a fait faillite mais ses fondateurs auraient déjà relancé une activité équivalente.
Raymond Taube
Fondateur et directeur de l’IDP (Institut de Droit Pratique) et rédacteur en chef d’Opinion Internationale
Michel Taube
Fondateur d’Opinion Internationale
Michel Taube interviendra sur le sujet « prévenir de nouveaux Cambridge Analytica » dans le colloque « GAFAM : défis et alternatives »organisé par Altaïr Think Tank et French Tech culture à l’Assemblée Nationale le 21 mars prochain.