Réseaux sociaux : des données personnelles fournies aux annonceurs

Hier, le Wall Street Journal a mis le doigt sur une nouvelle indélicatesse des réseaux sociaux en déclarant que certains d'entre eux bravaient leurs propres politiques de confidentialité, en fournissant à leurs annonceurs des informations qui permettraient d'identifier les utilisateurs qui cliquent sur les publicités.

Si de nombreux sites seraient concernés, c'est surtout Facebook qui semble au cœur de cette affaire, qui risque de remettre de l'huile sur le feu concernant la protection de la vie privée sur les réseaux sociaux.

En cause, le referrer, c'est-à-dire le lien de la page sur lequel était l'utilisateur avant de cliquer sur la publicité, qui est donné aux annonceurs pour leur permettre d'identifier sa source et comptabiliser les clics. Problème : le lien en question peut, dans certains cas, en dire long sur l'identité du membre, à commencer par son nom. « Quand un utilisateur visite son propre profil, ou une page associée à son profil, un tag "?ref=profile" est ajouté à l'URL, et indique ainsi l'identité du membre » explique Ben Edelman, professeur à la Harvard Business School.

Interrogé par le journal, Facebook a confirmé la véracité de cette nouvelle faille, tout en affirmant qu'elle était d'ores et déjà corrigée. « Nous avons été récemment informés d'un cas de figure dans lequel les annonceurs pouvaient identifier un utilisateur ayant cliqué sur leur publicité, s'il avait suivi avant un itinéraire spécifique sur le site », a expliqué un porte-parole de Facebook. « Nous avons réglé ce problème dès que nous en avons eu connaissance. En outre, nous avons fait en sorte de ne plus inclure l'identité des utilisateurs dans les liens referrer. »

Si le site de Mark Zuckerberg est une cible privilégiée en ce moment par les détracteurs des réseaux sociaux, ce n'est cependant pas le seul à mal protéger l'identité de ses membres vis-à-vis des annonceurs : une étude, menée en août dernier par des chercheurs de l'AT & T Labs et du Worcester Polytechnic Institute sur 12 sites de réseaux sociaux, a conclu que plusieurs d'entre eux offraient des opportunités aux annonceurs pour récupérer des informations sur les utilisateurs. Les chercheurs avaient alors communiqué les failles aux sites concernés, mais leurs appels étaient restés jusque-là sans réponse.

Par ailleurs, les réseaux mis en cause, parmi lesquels MySpace, LiveJournal, Xanga et Digg, se défendent en prétextant que « contrairement à Facebook, les utilisateurs ne sont pas tenus de mettre leur vrai nom lors de leur inscription ». De plus, selon eux, les seules informations fournies par le referrer concernent la page sur laquelle la publicité est apparue et non l'identité de l'utilisateur qui clique sur la bannière : le lien n'aurait donc, dans ce cas, qu'une simple valeur statistique.

Du côté des annonceurs, on se défend de toute pratique illégale : « Nous ne cherchons en aucun cas à faire usage de tous les noms d'utilisateur ou informations que leurs URL peuvent contenir » a expliqué un porte-parole de Google. Chez Yahoo, cela semble même aller plus loin : « Nous interdisons à nos partenaires d'envoyer des informations personnellement identifiables pour nous » commente la directrice de la vie privée de la société, Anne Roth. « Nous leur avons dit que nous n'en voulions pas, qu'ils ne devaient pas nous les envoyer. Et si elles sont là, nous ne les utilisons pas. ». Mais les régies présentes sur les sites de réseaux sociaux sont très nombreuses, et il n'est pas certain qu'elles aient toutes la même éthique...