Solange Ghernaouti: «Comment croire que les excuses de Facebook soient sincères?»

Le scandale touchant Facebook, lié au siphonnage de données réalisé par Cambridge Analytica, a connu son point culminant la semaine passée avec les auditions de Mark Zuckerberg à Washington. Devant une commission du Sénat, puis devant la Chambre des représentants, le cofondateur et directeur du réseau social a multiplié les excuses et les promesses d’amélioration, tout en ne se disant pas totalement opposé à parler de régulation. L’analyse de Solange Ghernaouti, spécialiste en cybersécurité à l’Université de Lausanne et fine connaisseuse des géants de la technologie et des stratégies numériques.

Le Temps: Avez-vous été surprise par l’éclatement du scandale lié à Cambridge Analytica? Ou une telle utilisation massive de données était-elle prévisible?

Solange Ghernaouti: Quand la profitabilité d’une organisation est basée sur la collecte massive de données, il n’est pas surprenant que ces dernières soient exploitées. Le modèle d’affaire de Facebook repose sur la publicité ciblée réalisée à partir des données et des comportements des utilisateurs. Par ailleurs, le message d’accueil du site web de la société privée Cambridge Analytica, spécialisée dans la communication d’influence, est: «Les données sont au cœur de nos activités. Nous utilisons les données pour changer le comportement de l’audience. Visitez nos divisions commerciale ou politique pour voir comment nous pouvons vous aider.» Cela ne laisse aucun doute sur la nature de ses activités, ni sur leurs champs d’application. Toute l’économie du numérique est une économie de prédation des données, basée sur leur collecte et leur exploitation massives. Tous les GAFAM [Google, Amazon, Facebook, Apple et Microsoft] sont concernés, ces derniers pouvant se retrouver un jour ou l’autre sur le banc des accusés comme l’est Facebook actuellement.

Lire aussi: Facebook face au risque de réglementation

Mark Zuckerberg a annoncé une série de mesures pour empêcher que cela ne se reproduise. Qu’en pensez-vous?

La confiance est ébranlée et le doute est là pour durer. Il est un peu tard, le mal est fait. Toutefois, ces mesures vont dans le bon sens. Une majorité d’entre elles ont été conçues en vue de l’entrée en vigueur en mai du Règlement européen sur la protection des données (RGPD), d’autres sont consécutives à cette affaire. Mais ces mesures ne sont que des pansements à des services qui, dans le meilleur des mondes, devraient être conçus de manière sécurisée avec la possibilité pour l’utilisateur de pouvoir changer de fournisseurs (portabilité des données).

Les excuses formulées par Mark Zuckerberg lors des auditions de mardi et mercredi s’apparentaient pour beaucoup à du théâtre…

Comment croire que les excuses puissent être sincères alors que le modèle d’affaires de Facebook est basé sur une personnalisation des services permise par l’exploitation des données fournies par l’utilisateur, mais aussi sur celles collectées, corrélées, déduites, construites à son insu et traitées sans transparence réelle, ni information claire et précise au consommateur?…

Lire aussi: Le scandale Facebook est bientôt fini, selon les investisseurs

Pensez-vous que la stratégie de Facebook puisse néanmoins changer?

Oui, la pression des utilisateurs, la concurrence, la prise en compte du risque réputationnel, l’existence et l’application de lois appropriées peuvent faire évoluer les stratégies des acteurs tels que Facebook.

Récemment, Tim Cook, directeur d’Apple, a dit que sa société vendait des produits aux consommateurs et que Facebook utilisait ses utilisateurs comme produits…

Il faut relativiser les propos des concurrents dont l’éthique et les pratiques ne sont pas irréprochables en matière de traitement des données. Leurs solutions peuvent être également faillibles, détournées ou piratées. Aucun discours pseudo-humaniste proféré par les grands patrons des GAFAM ne peut faire oublier que leur vision du monde se résume à pouvoir transformer les données en argent et la connectivité en pouvoir. Les GAFAM ne sont pas des philanthropes, leur objectif reste de maximiser leurs profits.

Mais peut-on envisager que le réseau social modifie totalement son modèle d’affaires?

Oui, à condition que les consommateurs soient exigeants et les lois contraignantes. Il serait par exemple possible d’imaginer que Facebook propose un choix à ses utilisateurs avec un modèle gratuit (subventionné par la publicité) et un modèle payant (sans publicité, ni collecte de données à des fins publicitaires). C’est déjà les cas pour les entreprises avec la version payante de Workplace. Le problème est de faire adhérer le grand public au fait que payer ce qui est effectivement consommé est moins cher que le modèle gratuit, dans lequel on paye en nature. Cela pourrait être l’objet d’une vaste campagne de sensibilisation qui va à l’encontre des discours marketing répétés à l’infini par les géants du net, qui veulent nous convaincre que la vie privée est un concept de vieux et sa défense un combat d’arrière-garde… Pour que cela change, il faut une vision, une volonté politique et des leviers d’action. Ces derniers passent par les Etats dans leur rôle de protection de leurs concitoyens, de leurs entreprises, de leur économie et de leur souveraineté.

A long terme, estimez-vous que la publicité pourra demeurer l’unique source de revenus de Facebook?

L’entreprise pourrait chercher à diversifier ses sources de revenus, mais jusqu’à présent cela n’a pas été nécessaire. Toute l’imagination des entrepreneurs du numérique est colonisée par le modèle de revenus basés sur la publicité. Des fortunes se sont construites sur cette stratégie, pourquoi en changer? Il y a une vraie place pour l’innovation dans ce domaine…

De plus en plus de voix s’élèvent, aux Etats-Unis, pour que Facebook soit régulé. Mais est-ce vraiment crédible?

Oui, c’est crédible, et pas impossible. La mise en place du Règlement européen sur la protection des données poursuit précisément cet objectif, dans la mesure où il s’appliquera aux entreprises étrangères qui gèrent des données de citoyens européens.

Que penser d’une autorégulation? Est-ce illusoire?

L’autorégulation dans le domaine de la protection des données a montré ses limites. Elle bénéficie généralement aux acteurs les plus forts que sont les grandes plateformes numériques. Il existe une asymétrie entre des multinationales qui ont un fort pouvoir économique et d’influence, et d’autre part les Etats et les utilisateurs. La transparence est principalement du côté des utilisateurs, non de celui des géants du net. Il faut demander plus de transparence aux multinationales, sur la manière dont les données des utilisateurs sont exploitées.

Le mouvement #DeleteFacebook semble avoir fait long feu. Un exode massif de ses utilisateurs est-il possible?

Ce serait le cas s’il existait des alternatives crédibles et des solutions numériques respectueuses des droits fondamentaux. De plus, les habitudes, les mécanismes d’infofidélisation qui relient les utilisateurs aux réseaux sociaux et la non-portabilité des données sont des freins puissants.

Plus globalement, une pression peut-elle venir des utilisateurs?

La prise de conscience des utilisateurs sur leurs pratiques numériques est fondamentale. Ils doivent comprendre qu’ils sont acteurs et coresponsables de leurs données. Leur voix, comme celle de la société civile est, en général, peu entendue. Le champ est libre pour les lobbys des multinationales.

Estimez-vous que d’autres géants américains de la technologie, tels Google ou Amazon, verront la pression régulatoire augmenter?

Oui, c’est non seulement souhaitable mais urgent, surtout du fait de leurs avancées en intelligence artificielle, de leurs capacités de traitement, de croisement des données issues des usages numériques et des activités hors ligne des individus.

Que préconisez-vous pour ces sociétés, certes aux profils très différents: un encadrement juridique ou un démantèlement, vu leur puissance?

Le démantèlement d’acteurs majeurs du numérique présents sur de nombreux marchés internationaux, qu’ils soient d’origine américaine ou chinoise, est complexe et sans doute peu réaliste ou efficace sur le long terme. L’encadrement juridique et la pose de garde-fous, permettant d’éviter certaines dérives et abus, est une des pistes les plus crédibles, à condition bien sûr que ce cadre ne soit pas tracé par ceux-là mêmes qu’il devrait encadrer, voire imposé par eux. Or face aux actions de lobbying des acteurs en présence, il est à craindre que les débats soient fortement influencés. Le règlement européen sur la protection des données est un premier pas vers une approche plus respectueuse des besoins de protection des données, espérons qu’il puisse inspirer une démarche internationale au bénéfice de tous les internautes de par le monde, y compris ceux qui résident dans des pays en voie de développement.

Profil

1958 Naissance à Blida (Algérie).

1986 Doctorat en informatique à l’Université Pierre et Marie Curie-Paris Sorbonne.

1987 Première femme professeure à HEC Lausanne.

1990 Premier livre publié chez Eyrolles, Paris.

2013 Membre de l’Académie suisse des sciences techniques; livre: «Cyberpower: Crime, Conflict and Security in Cyberspace»; Associate Fellow du Geneva Center for Security Policy.

2014 Chevalier de la Légion d’honneur en France.

2016 Membre de la Commission suisse pour l’Unesco; 5e édition du livre «Cybersecurité, sécurité informatique et réseaux».

2017 Avec Arnaud Dufour, publication de la 12e édition du Que sais-je? «Internet».

2018 Prix du meilleur livre pour «La cybercriminalité – Les nouvelles armes de pouvoir», collection Le savoir suisse.

2018 Création de la Fondation SGH sur le monde numérique.