Selon un rapport interne divulgué à Motherboard, Facebook serait incapable de justifier une grande partie des données personnelles des utilisateurs qui lui appartiennent, notamment l'usage qui en est fait et leur localisation.
Les ingénieurs chargés de la protection de la vie privée au sein de l'équipe chargée des produits publicitaires et commerciaux de Facebook ont rédigé un rapport l'année dernière, dans l'intention de le faire lire par les dirigeants de l'entreprise. Il expliquait en détail comment Facebook pouvait répondre à un nombre croissant de réglementations sur l'utilisation des données, notamment les nouvelles lois sur la confidentialité en Inde, en Afrique du Sud et ailleurs. Les auteurs du rapport décrivaient une plateforme souvent dans l'ignorance des données personnelles de ses quelque 1,9 milliard d'utilisateurs.
Les ingénieurs ont prévenu que Facebook aurait du mal à faire des promesses auprès des pays sur la façon dont il traiterait les données de ses citoyens. "Nous n'avons pas un niveau adéquat de contrôle et d'explicabilité sur la façon dont nos systèmes utilisent les données, et nous ne pouvons donc pas faire en toute confiance des changements de politique contrôlés ou des engagements externes tels que 'nous n'utiliserons pas les données X dans un but Y'", ont écrit les auteurs du rapport. "Et pourtant, c'est exactement ce que les régulateurs attendent de nous, ce qui augmente notre risque d'erreurs et de fausses déclarations."
Le principal obstacle de Facebook pour traquer les données des utilisateurs semble être le manque de systèmes "à forme fermée" de l'entreprise, indique le rapport. En d'autres termes, les systèmes de données de l'entreprise ont des "frontières ouvertes" qui mélangent les données des utilisateurs de first-party, les données des utilisateurs tiers et les données sensibles. Pour décrire la difficulté de retrouver des données spécifiques de Facebook, les auteurs du rapport ont imaginé la métaphore suivante : verser une bouteille d'encre dans un lac... puis essayer de la remettre dans la bouteille :
"Cette bouteille d'encre est un mélange de toutes sortes de données d'utilisateurs (3PD, 1PD, SCD, Europe, etc.) Vous versez cette encre dans un lac d'eau (nos systèmes de données ouverts ; notre culture ouverte) ... et elle coule ... partout. Comment remettre cette encre dans la bouteille ? Comment l'organiser à nouveau, de manière à ce qu'elle ne coule que vers les endroits autorisés du lac ?"
Plus succinctement, un ancien employé de Facebook qui s'est exprimé sous couvert d'anonymat auprès de Motherboard a déclaré que la question de savoir où vont les données au sein de l'entreprise est "de manière générale, un véritable merdier."
Les auteurs affirment que Facebook avait auparavant "le "luxe" d'aborder [les nouvelles réglementations sur la vie privée] une par une", comme le GDPR de l'UE et la California Consumer Privacy Act. Mais les années suivantes ont apporté davantage de législations sur la protection des données provenant du monde entier, notamment de l'Inde, de la Thaïlande, de l'Afrique du Sud et de la Corée du Sud. Le document jette un doute sur la capacité de Facebook à se conformer à ces législations, et sur sa capacité à faire face au "tsunami" de nouvelles lois qui imposent des restrictions similaires. (Un porte-parole de Facebook a démenti à Motherboard que l'entreprise ne se conforme pas actuellement aux réglementations sur la vie privée).
"Considérant que ce document ne décrit pas nos processus et contrôles étendus pour se conformer aux réglementations sur la vie privée, il est tout simplement inexact de conclure qu'il démontre une non-conformité", a déclaré le porte-parole à Motherboard. Les nouvelles réglementations en matière de protection de la vie privée à travers le monde introduisent différentes exigences et ce document reflète les solutions techniques que nous mettons en place pour étendre les mesures actuelles que nous avons mises en place pour gérer les données et respecter nos obligations".
source :
https://www.engadget.com/leaked-document-indicates-facebook-has-little-insight-into-how-user-data-is-handled-001058387.html