Cambridge Analytica : Facebook a-t-il foiré sa gestion de crise ?

Transparence, exploitation éthique, droit à la confidentialité et à l'oubli... Accusé Facebook, levez-vous ! Plutôt que de parler de l'affaire Cambridge Analytica, Facebook est finalement le vilain petit canard pointé du doigt sur le sujet de l'exploitation éthique des données. La question est importante pour notre société, pour les entreprises et pour nous, internautes, qui tardons à prendre conscience de toutes les formes d'exploitations de nos données personnelles. Facebook se retrouve donc au rang des accusés pour sa politique globale (et on peut même parler de son business model) basée sur l'exploitation des données des utilisateurs à des fins majoritairement publicitaires. Mais, pas que, puisque le sujet déclencheur est bien ici l'exploitation à des fins politiques.

Les médias, via Facebook Live notamment, nous ont permis de vivre en direct l'audition de Mark Zuckerberg auprès de la commission sénatoriale américaine, point d'orgue de la crise qui touche Facebook depuis les révélations liées à l'affaire Cambridge Analytica. Replongeons-nous néanmoins un peu plus loin dans l'histoire de Facebook. Le détournement de données d'utilisateurs à des fins non communiquées est à la genèse même de Facebook. Nous sommes en 2003 et Facebook (TheFacebook) n'existe pas encore. Mark, dans sa chambre d'étudiant, détourne les photos de ses camarades en piratant les bases de données de Harvard pour créer le service interne à l'université, FaceMash. Le principe : deux photos aléatoires d'étudiantes sont présentées à l'internaute qui choisit de voter pour « hot » or  « not » sur les visages. Piratage et exploitation de données sans transparence pour les utilisateurs sont donc des notions à la source même du réseau social. On comprend la volonté de Mark, près de 15 ans plus tard, de vouloir se montrer éthique et responsable. Sauf que l'on ne parle pas d'une faille, mais bien d'un fondement quasi-dogmatique de Facebook : permettre l'exploitation de toutes les données pour créer des services. C'est la ruée vers l'or noir, le Far West, et Facebook profite d'un immense vide juridique et d'une absence de vigilance de la part des internautes sur la question. Le caractère non dissuasif du montant des amendes appliqué par exemple par la CNIL en France, ne dépassant pas 150 000 euros prévus par l'article 47 de la loi Informatique et Libertés n'est en rien une régulation. Pour souligner le caractère faiblement dissuasif de cette sanction, Facebook s'est vu infligée la dite amende le 16 mai 2017... alors que son chiffre d'affaires à l'époque atteignait les 27 milliards de dollars ! L'amende équivaut donc à 0,005% du dernier bénéfice trimestriel de Facebook, soit l'équivalent de 29 minutes de son activité économique prise sur cette année. Vous me direz que le RGPD vise à apporter une meilleure régulation et des sanctions bien plus conséquentes, pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires des entreprises. Attentons de voir... Cela fait donc depuis plusieurs années que le scepticisme voire la méfiance grandit autour de Facebook et du respect de la confidentialité des données utilisateurs et de leur exploitation éthique. Le succès de Snapchat auprès des jeunes provient en partie de cette méfiance de ces derniers dans la conservation des données partagées.

Pour travailler dans le domaine de la gestion de crise depuis plus de 10 ans, dans des domaines aussi divers que la politique, les transports, l'énergie, l'agro-alimentaire ou l'industrie, il est souvent question de règles et de grands principes à tenter de respecter à adapter au contexte particulier de chaque crise. L'une de ces règles est celle que j'appelle de l'ETA (Empathie / Transparence / Action). Et, bien souvent, l'erreur est de confondre le E de Empathie avec celui de Excuse. S'excuser ne sert à rien pour quelque chose que vous faîtes depuis des années et qui est au coeur de toute votre politique. S'excuser n'est pas crédible. Comprendre les doutes, les dérives, tenter de les expliquer, de les contrôler est la solution. Le "Je suis désolé" de Mark Zuckerberg est celui d'un enfant trop gourmand qui dès que ses parents auront le dos tourné recommencera les bêtises. S'excuser perd son sens quand, chaque mois, on doit s'excuser. Un exemple ? En même temps que l'histoire qui nous occupe, Mark Zuckerberg s'est excusé pour la censure contre la publication d'une Université catholique présentant un crucifix.

Mais on pourrait remonter plus loin sur les excuses de Mark. Dès 2011, la Federal Trade Commission sommait Facebook de respecter la protection de la vie privée de ses utilisateurs. Le reproche portait alors sur le fait que Facebook fait croire aux utilisateurs que leurs données sont privées alors qu'elles sont en réalité partagées avec des annonceurs et des développeurs tiers (par le biais du Social Graph). À l'époque, Mark Zuckerberg était déjà bien obligé de reconnaître que sa société fait un « tas d'erreurs ».

Le deuxième élément du discours de gestion de crise notable de la part de Facebook est la volonté initiale, et même lors des auditions, de vouloir minimiser, et de montrer que l'on parle d'une exception qui ne peut pas remettre en cause une règle qui, elle, fonctionne correctement. C'est en partie toute la démonstration que tend à faire Facebook, en lien avec le fait que l'exploitation des données, éthique ou pas, est le coeur même du réacteur. Vouloir aborder la question de fond serait donc une remise en cause du modèle « facebookien » que Mark (et les autres GAFA) ne sont pas prêts à faire. Minimiser passe aussi par les chiffres. S'il a fallu attendre déjà 4 jours avant que Facebook ne se livre à un premier mea culpa officiel, dans lequel Mark Zuckerberg admettait que son entreprise avait « commis des erreurs » et confirmait alors que l'application  « This is your Digital Life », à la base du scandale Cambridge Analytica, avait été téléchargée par 300 000 utilisateurs. « Que représentent finalement 300 000 personnes quand nous sommes plus de 2 milliards ? » était le message implicite que voulait, sans nul doute, faire passer ici Facebook. Sauf que patatras, cette ligne de défense tombe.

L'autre enjeu pour Facebook est de circonvenir à la crise en évitant que d'autres pratiques et services ne soient embarqués. Instagram a tôt fait de revoir son API pour en limiter fortement les données accessibles (Instagram limite brutalement les données collectées par les développeurs). N'oublions pas que l'une des questions sous-jacentes est le poids des GAFA dans nos vies et dans leur capacité à avoir des données. Aujourd'hui, Google et Facebook représentent un duopole sur Internet qui représente 8 des 10 services les plus utilisés (Facebook, WhatsApp, Gmail, Instagram, Google Chrome, Facebook Messenger, Youtube et Google Maps). Google et Apple ont bien compris le risque et, pour ne pas être pris dans l'oeil du cyclone à leur tour, préfèrent couper l'herbe sous le pied aux amalgames éventuels en prenant leurs distances avec Facebook. Tim Cook, le patron d'Apple, n'a pas tardé effectivement à dégainer et à se ranger du côté des victimes (les utilisateurs que nous sommes) en reprenant en substance l'adage digital qui veut que  « si un produit est gratuit, c'est l'utilisateur qui est le produit ». Il faut dire qu'avec Apple rien n'est gratuit, et pour autant on peut avoir le sentiment être un peu un produit bien exploité. Cette tribune de Tim Cook donne alors une belle opportunité à Facebook de détourner l'attention et d'essayer de l'orienter vers un autre enjeu : le bénéfice apporté aux utilisateurs. Mark Zuckerberg a profité alors de cette perche tendue par Apple pour réaffirmer que  « lorsqu'on construit un service pour connecter le monde entier, beaucoup de personnes ne pourront pas se le payer. Et donc, pour beaucoup de media, la publicité est le seul modèle rationnel qui permet de donner accès à un service au plus grand nombre ». Mark n'est pas loin ici de prendre la casquette du Philanthrope, du Bon Samaritain...

Dernier acte de la stratégie. Montrer que l'on ne veut plus être le mauvais élève mais bien le premier de la classe. Il s'agit de montrer tous les efforts que l'on fait pour être « presque » à l'initiative de vouloir trouver des solutions. Le principe : « ne nous reprochez pas nos erreurs alors que nous sommes les premiers à être plein de bonne volonté pour aider à trouver la solution ». Quelques heures avant son audition devant le Sénat US, Facebook lance ainsi le programme Data Abuse Bounty. Le principe : récompenser les utilisateurs Facebook qui signaleraient toute application tierce qui exploiteraient de manière abusive les données personnelles. Les « dénonciateurs » peuvent alors se voir récompensés jusqu'à hauteur de 40 000 dollars. C'est alors la reconnaissance que l'affaire Cambridge Analytica n'est pas une exception mais que ces exceptions se lisent au pluriel. Pour aller plus loin dans cette démarche, face à la Chambre des Représentants, Mark Zuckerberg a ainsi fait les louanges de la règlementation européenne RGPD en l'estimant « très positive pour l'Internet ». Il ajoute même vouloir offrir le même cadre juridique à l'ensemble des utilisateurs de Facebook du monde entier « aussi vite que possible ». Que pourrait-on alors reprocher à Facebook devant cette volonté si positive de vouloir oeuvrer pour la mise en place de régulations ? Les vraies solutions existent mais elles sont bien évidemment jamais mentionnées. Prenons l'exemple de la ville de Gand en Belgique. Un projet vise à y développer un Internet alternatif baptisé « Indienet » où chaque citoyen posséderait son propre espace, contrôlerait ses données personnelles. Dans les faits, il s'agit d'un espace privé où chaque citoyen stockerait l'intégralité de ses données personnels et dont eux seuls auraient les clés d'accès, plutôt que de confier cet enjeu à Facebook et Google. Nous ne sommes peut être qu'à un nouvel épisode de cette gestion de crise de Facebook et de ses données. À suivre. À propos de l'auteur  Cédric Deniaud est fondateur et Directeur Général du cabinet conseil The Persuaders, spécialisé dans la stratégie et accompagnement digital des entreprises.