Une évidence désormais illustrée, et qui prouve bien le contrôle total exercé par Meta sur les données personnelles de ses utilisateurs et utilisatrices.
[Mise à jour le 11 août à 20h00]
Meta a réagi aux accusations de Felix Krause et nous a fait parvenir la déclaration suivante : « Ces allégations sont fallacieuses et représentent mal la façon dont le navigateur intra application de Meta et le Pixel fonctionnent. Nous avons justement développé ce code pour honorer le choix des utilisateurs et nous conformer à l’App Tracking Transparency sur nos plateformes. » D’après l’entreprise, le développeur envisage la meilleure façon de mettre à jour sa publication afin de mieux refléter ces éléments.
[Article initial publié le 11 août à 11h30]
Le business model de Meta est difficilement compatible avec une gestion vertueuse des données personnelles de ses clients. Et une analyse de l’application Instagram par le développeur Felix Krause met en lumière la curiosité sans borne de l’entreprise.
Rien n’échappe à Meta
L’enquête menée par Felix Krause se concentre sur le fonctionnement de l’application Instagram sur iPhone. Sur iOS, le réseau social préfère utiliser un navigateur Web interne plutôt que d’utiliser Safari. En clair, lorsqu’on clique sur un lien dans Instagram, la fenêtre qui s’ouvre n’est pas rendue sur Safari mais sur un navigateur propre à Meta. Un choix loin d’être innocent, en cela qu’il permet à l’entreprise d’injecter dans la page un « Meta Pixel » qui va ensuite venir suivre à la trace les utilisateurs.
« Cela permet à Instagram de consulter tout ce qu’il se passe sur des sites web externes, sans le consentement de l’utilisateur ni celui du propriétaire du site, alerte le développeur sur son blog. L’application Instagram injecte leur code de tracking sur tous les sites Web [accédés depuis l’appli], même lorsqu’on clique sur une publicité, qui leur permet de suivre toutes les interactions, tous les boutons cliqués, les liens suivis, les textes sélectionnés, les captures d’écran effectuées et même le texte saisi comme les mots de passe, adresses et numéros de cartes bleues. »
Des accusations graves, dont Meta ne se dédouane même pas. Sur son site réservé aux développeurs, le Pixel Meta est décrit comme « un fragment de code JavaScript qui vous permet de suivre l’activité des visiteurs sur votre site web ».
Des pratiques contraires aux règles d’Apple
Cela signifie-t-il que Meta vole délibérément vos mots de passe ? Non, modère lui-même Felix Krause. « Je voulais démontrer le type de données qu’Instagram peut récolter sur ses utilisateurs sans qu’ils le sachent. Mais comme le passé nous l’a prouvé : s’il est possible pour une entreprise d’accéder à des données gratuitement, et sans demander la permission, elle le fera. »
Toujours est-il que même si Meta pratique ce genre de tracking sans même s’en cacher, il contrevient au règlement d’Apple en matière de confidentialité.
L’App Tracking Transparency, une batterie de règles et lignes de conduites que les éditeurs doivent suivre pour pouvoir être référencés sur l’App Store, stipule qu’un consentement éclairé doit être recueilli pour pouvoir suivre les internautes dans leur navigation.
Un consentement qui manque ici à l’appel, et qui devrait donc également alerter la Commission européenne, en charge de faire appliquer le Règlement Général sur la Protection des Données (RGPD).
Meta n’en est pas à sa première incartade en la matière. L’entreprise a notamment déjà été condamnée à une amende de 17 millions de dollars pour négligence dans la protection des données personnelles de ses utilisateurs.
