Par Pierre Schneidermann

Les profils Facebook de 50 millions d’Américains auraient été soigneusement "microtargetés" pour la campagne présidentielle de Donald Trump.

[Cet article est régulièrement mis à jour au gré des événements]

C’est avec ces mots crus et glaçants que Christopher Wylie, qui a lancé l’alerte via le Guardian le 17 mars dernier, résume la mission ultra-confidentielle qui l’a occupé alors qu’il travaillait pour une société nommée Cambridge Analytica :

"Nous avons exploité Facebook pour recueillir les profils de millions de personnes. Et nous avons construit des modèles pour exploiter ce que nous savions d’eux et cibler leurs démons intérieurs."

Christopher Wylie est un jeune data analyst de 29 ans qui a contribué, de fin 2013 à fin 2014, à traiter les données issues de 50 millions de profils Facebook de citoyens américains à des fins de "microtargeting" électoral.

Une explication préalable des deux anglicismes "data analyst" et "microtargeting" s’impose. Le data analyst travaille avec de grandes quantités de données. Il les recueille, les analyse, les classe, les recoupe et essaie de les faire parler en repérant ce que l’on appelle des "modèles".

Et le microtargeting est intimement lié à la data analyse. Il consiste à identifier et à prédire les réactions psychologiques et comportementales d’individus pour leur balancer, surtout via Internet, des messages (des publicités, par exemple) qui éveilleront leur attention et, dans le meilleur des cas, s’enfonceront et feront leur bout de chemin dans leur tête.

Le microtargeting électoral

Accolez l’adjectif "électoral" à "microtargeting", et vous comprendrez l’essence du travail de Cambridge Analytica. Cette entreprise, cofondée en 2013 par Robert Mercer, un milliardaire américain pro-Trump, et un temps dirigée par Steve Bannon, l’ex-conseiller sulfureux de Donald Trump, utilise le big data pour s’adonner au microtargeting à des fins politiques, autrement dit pour faire adhérer des individus à des partis, à des causes ou à des candidats.

Plus concrètement, le microtargeting électoral de Cambridge Analytica s’est en partie nourri des likes que nous semons à longueur de journée sur Facebook. Lorsque l’on sait quels statuts, quels groupes ou quelles pages un utilisateur a liké, on sait un peu qui il est. Le mécanisme aurait aussi récupéré des statuts et des messages privés partagés via Facebook.

Avec toutes ces données, on peut déduire le bord politique d’un individu, ses centres d’intérêt, et même son caractère. On guette tout particulièrement les traits saillants qui pourraient remonter à la surface, comme une attirance pour les armes, le paranormal ou encore les activités militantes.

Une fois les individus identifiés, "segmentés", Cambridge Analytica met à contribution ses équipes créatives pour créer des photos, des vidéos, des blogs ou même des sites Web adaptés qui feront vaciller les certitudes, colmateront les doutes et emmèneront les esprits où l’on veut qu’ils aillent.

Une pratique déjà connue

Le microtargeting en politique n’est pas tout à fait nouveau. Il paraît sulfureux mais il n’est pas illégal. Le candidat Barack Obama l’avait par exemple utilisé pour sa campagne de 2012, avec des data analysts qui ne s’occupaient que de ça. Toutefois, quand ces précieuses données sont récoltées en employant des moyens sur lesquels on communique peu, c’est une autre paire de manches.

Et ça donne un beau gros scandale, qui implique Cambridge Analytica et ses employés, Facebook, 50 millions de ses utilisateurs, le lanceur d’alerte Christopher Wylie et un chercheur américain d’origine russe, Aleksandr Kogan.

Chose étonnante, cette méga-fuite n’est, théoriquement, une surprise pour personne. Il y a tout juste un an, le journal The Intercept révélait en effet qu’une fuite de données concernant 30 millions d’utilisateurs de Facebook (20 millions de moins que ce qui est annoncé cette fois-ci) avait été orchestrée par Cambridge Analytica.

À l’époque, cette révélation, pourtant importante, n’avait pas déclenché autant de brouhaha. Pourquoi ? Probablement parce qu’il n’y avait pas encore de lanceur d’alerte télégénique, et que The Intercept attire beaucoup moins l’attention que The Guardian et The New York Times réunis.

Un chercheur sous influence russe à Cambridge

Entrons maintenant dans le vif du sujet en retraçant la chronologie des événements.

À l’origine de ces magouilles, il y a l’entreprise Strategic Communication Laboratories Group (SCL), une société anglaise fondée en 1993 et dont Cambridge Analytica découle. SCL, comme son nom l’indique, aide ses clients à communiquer en prenant en compte les comportements et les psychologies des groupes d’individus à atteindre. Un microtargeting avant l’heure.

SCL, désireuse de mettre à jour ses armes de persuasion massive (et sollicitée par les conservateurs pour leurs campagnes politiques), entre alors en contact avec le laboratoire de Sciences cognitives et comportementales de l’université de Cambridge.

Il s’y passe en effet quelque chose de très intéressant pour SCL : certains chercheurs du labo ont noué une forme de partenariat avec Facebook. Grâce à une application légale et développée en interne, ils sont autorisés à extraire en masse les données d’utilisateurs du réseau social afin de fabriquer des modèles psychologiques. Facebook n’autorise cette extraction qu’à des fins de recherche.

Les chercheurs du labo finissent par envoyer balader SCL, sauf un : Aleksandr Kogan. Ce professeur associé à l’université de Saint-Pétersbourg perçoit des bourses du gouvernement russe pour ses recherches sur les profils psychologiques des utilisateurs de Facebook. Pour pouvoir collaborer avec SCL, Aleksandr Kogan monte sa boîte, Global Science Research, et développe pour son client une application redoutable : thisisyourdigitallife.

Piratage non, illégalité oui

Nous sommes en 2015 et, à cette époque, Facebook est une entreprise bien plus insouciante qu’aujourd’hui. Elle n’a pas encore été accablée par les ingérences russes dans les élections américaines ni par la propagation des fake news. C’est dans ce contexte que le programme de Kogan accomplit son petit miracle en récoltant, en deux ou trois mois à peine, les données personnelles de 50 millions de comptes, quasi tous américains.

Il ne s’agit pas de piratage, puisque Global Science Research présente son application comme un simple quiz de personnalité. L’entreprise la fait télécharger à 270 000 utilisateurs de Facebook contre rémunération. Le "miracle" opère au moment où les internautes l’installent : Global Science Research récupère alors, sans aucune effraction, les données des profils Facebook de presque tous leurs amis – ce qui permet d’arriver à 50 millions de comptes –, et ce sans leur consentement.

Enfin… non, pardon. Les amis de ces 270 000 utilisateurs ont, sans le savoir, consenti à l’extraction de leurs données au moment où ils se sont inscrits sur le réseau social. Cette information est consignée quelque part, au détour d’un paragraphe dans les conditions générales d’utilisation.

Si cette extraction massive de données ne relève pas du piratage, elle est en revanche illégale. Très vite, Facebook se rend en effet compte que Global Science Research revend les données récoltées à SCL. Ce qui n’était pas dans le deal initial, puisque l’entreprise avait affirmé que les données récoltées serviraient à la recherche. Facebook bannit alors l’appli et exige, dans la foulée, que Global Science Research, SCL et Cambridge Analytica suppriment leur trésor de guerre.

Premières réactions

Mais celui-ci n’a pas été supprimé et a servi à des fins de microtargeting pendant la campagne de Trump – ainsi que d’autres politiques républicains. C’est du moins ce qu’affirment le Guardian (avec, au premier plan, Christopher Wylie) et le New York Times, qui a également mené l’enquête. Dans la liste des griefs, le lanceur d’alerte reproche à Facebook d’avoir fait preuve d’une double légèreté : en ayant laissé "fuiter" ces données, et en oubliant de vérifier que les données récolées avaient bien été supprimées.

Le 16 mars dernier, à la suite des révélations des journalistes, Facebook annonce dans un communiqué la suspension immédiate des comptes de SCL et de Cambridge Analytica. Et justifie ainsi sa décision : avec son appli, Aleksandr Kogan n’a certes commis aucun piratage, mais la matière récoltée a servi des fins commerciales, violant la politique de la plateforme pour les développeurs.

La réaction de Cambridge Analytica n’a pas tardé : non, l’entreprise n’a pas utilisé de données issues de Facebook pour la campagne de Trump. Dès qu’elle s’est rendu compte qu’elles avaient illégalement été extraites par Global Science Research, elle les a supprimées après demande de Facebook.

Les campagnes politiques auxquelles Cambridge Analytica a participé. (Capture d’écran du site de l’entreprise)

Nous sommes donc dans la situation suivante : les journalistes et Christopher Wylie mettent en cause Global Science Research, Facebook et Cambridge Analytica.

Facebook incrimine Cambridge Analytica, Global Science Research, SCL et Christopher Wylie – c’est un détail qui corse un peu l’affaire puisque, après avoir quitté Cambridge Analytica, le lanceur d’alerte a monté sa propre boîte de microtargeting et aurait également conservé illégalement les données.

Enfin, Cambridge Analytica accuse un peu Facebook, et surtout Global Science Research. Aleksandr Kogan, pour le coup, semble être devenu le bouc émissaire idéal.

Le coup de grâce de Channel 4

Les coups portés contre Cambridge Analytica auraient pu s’arrêter là. Mais non. Dans une série de reportages vidéo en cinq parties diffusée après les révélations du Guardian et du New York Times, un journaliste de Channel 4 s’est fait passer pour un potentiel client et a dégoté un déjeuner avec le boss de Cambridge Analytica, Alexander Nix. Trois caméras cachées ont filmé la scène.

Et il n’y est plus du tout question de data ni de microtargeting. Alexander Nix explique, à voix feutrée, que son entreprise verse dans un commerce salissant : piéger des personnalités politiques en leur faisant miroiter des pots-de-vin, en leur envoyant des prostituées ukrainiennes, ou en faisant appel à d’anciens espions des services secrets britanniques.

Évidemment, l’affaire est explosive pour Facebook. D’abord, la Bourse. Le premier jour d’ouverture des marchés après le scandale, le 14 mars, l’action du réseau social a chuté de 6,77 %. Le lendemain, rebelote, avec 5 % de recul. Ce qui, en tout, lui aurait fait perdre 37 milliards de dollars. La fortune de Mark Zuckerberg en a pâti aussi : il perd une place et passe au rang de cinquième personne la plus riche au monde.

Ensuite, la justice. Des enquêtes ont été lancées contre Facebook aux États-Unis : les procureurs de New York et du Massachusetts ont fait parvenir une lettre à l’entreprise, réclamant des explications, et la Commission fédérale du commerce (FTC), qui est chargée de veiller sur les droits des consommateurs, a engagé des investigations. Du côté du Vieux Continent, le Royaume-Uni a également entamé une procédure.

Enfin, et plus grave peut-être, cette déconfiture magistrale a provoqué une consternation générale. Les observateurs de la tech – journalistes et faiseurs d’opinion en tout genre – jugent Facebook impardonnable. Le hashtag #DeleteFacebook est devenu viral. Les tutos pour se désabonner aussi. Les plus fâchés ont partagé les screenshots de leur désinscription. Et même Brian Acton, le cofondateur de WhatsApp, qui a revendu son appli à Facebook en 2014, s’est exprimé sur la question :

Les résultats des investigations nous diront peut-être si cette campagne massive de microtargeting a eu les effets escomptés, à savoir contribuer à l’élection de Trump. Officiellement, personne n’a la réponse. En 2014, 50 millions d’utilisateurs représentaient un quart des électeurs américains potentiels. Ce qui est plutôt colossal.

Comme tout lanceur d’alerte qui se respecte, Christopher Wylie entame désormais un long pèlerinage semé d’embûches : ses comptes Facebook et Instagram (qui appartient au réseau social) ont été désactivés.

Mark Zuckerberg sort de son silence

Mercredi 21 mars, le jeune patron de Facebook s'est enfin exprimé. Comme à l’accoutumée, il a utilisé son canal d'expression favori : sa propre page Facebook. L'heure est aux excuses. Morceaux choisis :

"Nous avons la responsabilité de protéger vos données. Si nous n'y arrivons pas, nous ne vous méritons pas. [...]

Mais nous avons aussi commis des fautes, nous devons fournir davantage d'efforts, les intensifier et faire en sorte que ça marche. [...]

J'ai créé Facebook et, jusqu'à aujourd'hui, je reste pleinement responsable de tout ce qui se passe sur notre plateforme. Je veux continuer à protéger notre communauté avec tout le sérieux nécessaire."

Outre la repentance, Mark Zuckerberg revient sur l'histoire de la fameuse application développée par Aleksandr Kogan à l'origine de la fuite. Dès que Facebook a eu connaissance de l'utilisation frauduleuse des données en 2015, l'appli malfaisante a été suspendue. Dès 2014 cependant, Facebook avait considérablement limité le pouvoir d'aspiration de toutes les autres applis gourmandes. Mais l'intervention était arrivée trop tard, le mal était fait : Aleksandr Kogan avait recueilli les données en 2013.

Zuckerberg promet donc une karchérisation en bonne et due forme des applications reliées à Facebook. Toutes celles qui recueillent de grandes quantités d'informations seront obligatoirement auditées, sous peine d'être suspendues. Les applis non utilisées depuis plus de trois mois seront limitées dans l'utilisation des données des utilisateurs. De manière générale, la transmission de données des utilisateurs aux développeurs d'applications sera restreinte. Enfin, grâce à une petite notification dans leur news feed, les utilisateurs sauront exactement quelles applications extérieures utilisent encore leurs données.

Article écrit le 19 mars 2018, et mis à jour le 22 mars 2018