Résumé
- L'affaire Cambridge Analytica n'est pas seulement un scandale de protection des données; c'est un enregistrement du contrôle de la plateforme sur qui pouvait accorder l'accès, qui pouvait vérifier la suppression, qui pouvait notifier les utilisateurs et qui pouvait détecter l'utilisation abusive de données politiques avant que les journalistes, les régulateurs et les législateurs n'imposent une responsabilité publique.
- Les sources publiques de la FTC, SEC, ICO, du Parlement britannique, des autorités canadiennes de protection de la vie privée, de Facebook et des documents judiciaires soutiennent une distinction claire entre les conclusions confirmées, les conclusions de gouvernance fondées sur des preuves et les questions qui restent inconnues à partir des preuves publiques.
- La leçon la plus forte en matière de responsabilité est que les règles de la plateforme d'applications sont faibles lorsque l'application dépend principalement des promesses des développeurs après que les données ont déjà franchi la frontière technique de la plateforme.
- Les archives publiques ne prouvent pas chaque utilisation en aval de chaque ensemble de données de profil, chaque décision de campagne, chaque délibération interne de Facebook ou chaque préjudice individuel; mais elles prouvent que la conception et l'application des autorisations de la plateforme sont devenues une surface de contrôle pour les risques civiques.
L'affaire a commencé au sein d'un système d'autorisations
Facebook a fait de Cambridge Analytica un test de responsabilité des données de plateforme parce que le contrôle central n'était pas dû à un mot de passe volé, à un pare-feu brisé ou à une intrusion externe mystérieuse. Les archives publiques décrivent un chemin de plateforme de développeur. Une application de quiz de personnalité associée à Aleksandr Kogan a collecté des données auprès des personnes qui l'ont installée, et a également pu, sous la conception de la plateforme Facebook de l'époque, collecter des données sur les amis de ces utilisateurs. La FTC a décrit plus tard l'affaire plus large de la protection de la vie privée de Facebook et le règlement soushttps://www.ftc.gov/news-events/news/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions-facebook, tandis que la plainte déposée par la FTC soushttps://www.ftc.gov/system/files/documents/cases/182_3109_facebook_complaint_filed_7-24-19.pdfet l'ordonnance soushttps://www.ftc.gov/system/files/documents/cases/182_3109_facebook_order_filed_7-24-19.pdfont rendu le dossier d'application permanent. La question de la responsabilité est donc pratique: qui contrôlait l'architecture des autorisations, qui surveillait la conformité des développeurs, qui vérifiait que les données n'étaient pas partagées ailleurs, et qui informait les utilisateurs lorsque la frontière faisait défaut?
La propre déclaration de Facebook de mars 2018 soushttps://about.fb.com/news/2018/03/suspending-cambridge-analytica/disait que l'entreprise avait suspendu Cambridge Analytica et d'autres après avoir appris que les données obtenues via l'application de Kogan n'avaient pas été supprimées comme certifié. Cette déclaration est importante car elle confirme plusieurs faits de contrôle sans nécessiter de spéculation. Premièrement, Facebook avait une frontière de politique de développeur. Deuxièmement, Facebook s'est appuyé sur une certification ou une confirmation que les données avaient été supprimées. Troisièmement, l'entreprise a ensuite considéré la confirmation comme insuffisante. Quatrièmement, la suspension publique est intervenue des années après la période de collecte de données de l'application et après que l'entreprise avait déjà été informée du transfert. Le problème n'était pas seulement qu'une règle existait. C'était de savoir si la règle était applicable une fois que les données avaient déjà quitté la plateforme.
L'ampleur est devenue publique dans la mise à jour du produit et de la confidentialité de Facebook d'avril 2018 soushttps://about.fb.com/news/2018/04/restricting-data-access/, qui indiquait que les informations de jusqu'à 87 millions de personnes avaient peut-être été partagées de manière inappropriée avec Cambridge Analytica. Cette déclaration doit être lue attentivement. Elle ne prouve pas que chacune de ces personnes a subi la même conséquence, que chaque champ a été utilisé dans une campagne, ou qu'une chaîne causale complète de comportement électoral est publiquement démontrable. Mais il s'agit d'un aveu au niveau de la plateforme que le système d'autorisations a créé une exposition de la population. Un utilisateur qui n'a jamais installé le quiz pouvait néanmoins faire partie du chemin de données parce qu'un ami l'a fait. C'est pourquoi l'événement entre dans une catégorie différente des litiges ordinaires concernant les consentements d'applications.
La frontière des développeurs est importante car le consentement et le contrôle ne coïncidaient pas. La personne qui installe une application peut faire un choix, aussi imparfait soit-il. Les amis dont les données sont devenues accessibles via cette application n'ont pas fait de choix spécifique à l'application. Facebook contrôlait l'architecture produit qui permettait ce flux de données, les conditions d'application qui restreignaient les développeurs, et les outils d'application qui pouvaient détecter ou punir les abus.
Les utilisateurs ne contrôlaient ni les décisions commerciales du développeur en aval ni le marché des données politiques qui a rendu les données précieuses par la suite. Lorsque le contrôle et l'exposition se trouvent à des endroits différents, la responsabilité devrait suivre la partie qui a conçu et exploité la surface d'autorisation.
Cela ne signifie pas que chaque affirmation concernant l'utilisation politique avancée dans le débat public était prouvée. Le dossier est plus fort et plus étroit. Il montre que la plateforme Facebook a permis une collecte à grande échelle, que les données sont parvenues à Cambridge Analytica ou à des parties affiliées, que les promesses de suppression étaient insuffisantes, que les régulateurs ont ensuite constaté des manquements importants à la protection des données et à la divulgation, et que la législation a traité l'affaire comme un problème de gouvernance démocratique.
La tâche de la responsabilité est de séparer ces points prouvés des affirmations non fondées, tout en reconnaissant la gravité d'une règle de plateforme qui n'a pas empêché l'exploitation des données politiques en aval.
Les archives réglementaires ont transformé l'excuse en preuve
Le règlement de la FTC est l'un des principaux documents publics de responsabilité car il a lié l'épisode de Cambridge Analytica aux obligations plus larges de Facebook en matière de protection de la vie privée en vertu d'une précédente ordonnance de la FTC. Le communiqué de presse de la FTC a indiqué que Facebook paierait une amende de 5 milliards de dollars et accepterait de nouvelles restrictions en matière de confidentialité. L'ordonnance a fait plus que d'imposer un paiement.
Elle exigeait un programme de confidentialité, des obligations de certification, des structures au niveau du conseil d'administration, des examens par des évaluateurs indépendants et des contrôles qui éloignaient la gouvernance de la confidentialité des décisions informelles sur les produits. Une amende seule peut être considérée comme un coût des affaires. Une ordonnance de gouvernance est une tentative de changer qui doit voir, certifier et répondre du risque.
La valeur de la plainte de la FTC ne réside pas dans le fait qu'elle répond à toutes les questions historiques. Elle fournit une description rédigée par le régulateur des fausses déclarations alléguées, des défaillances des contrôles de confidentialité et de la manière dont l'accès des développeurs interagissait avec les paramètres des utilisateurs. Elle se tient également aux côtés du dossier d'application spécifique à Cambridge Analytica de la FTC, y compris l'action et l'avis de la FTC de décembre 2019 soushttps://www.ftc.gov/news-events/news/press-releases/2019/12/ftc-issues-opinion-order-against-cambridge-analytica-app-developer-aleksandr-koganet le dossier administratif soushttps://www.ftc.gov/legal-library/browse/cases-proceedings/182-3107-cambridge-analytica-llc-matter. Ces sources aident à séparer la responsabilité de la plateforme de la responsabilité des acteurs en aval. Facebook contrôlait la frontière de la plateforme. Kogan et Cambridge Analytica ont fait face à leurs propres allégations et ordonnances concernant la manière dont les données ont été collectées, présentées ou utilisées.
Les archives de la SEC ajoutent une autre couche de responsabilité. La SEC a annoncé des accusations contre Facebook soushttps://www.sec.gov/news/press-release/2019-140, affirmant que la société avait accepté de payer 100 millions de dollars pour régler les allégations selon lesquelles ses divulgations publiques présentaient l'utilisation abusive des données des utilisateurs comme un risque hypothétique après que la société avait connaissance de l'utilisation abusive de Cambridge Analytica. L'ordonnance de la SEC soushttps://www.sec.gov/files/litigation/admin/2019/34-86457.pdfn'est pas une ordonnance de confidentialité au même sens que l'affaire FTC. C'est un document de divulgation de titres. Sa signification est que la gouvernance des données de plateforme est devenue une divulgation de risque pour les investisseurs. Une fois qu'une entreprise sait qu'un risque s'est matérialisé, un dépôt public qui traite ce risque uniquement comme possible peut devenir un problème de responsabilité pour les actionnaires ainsi que pour les utilisateurs.
Le bureau du commissaire à l'information britannique a fourni un autre dossier d'application public. Son annonce d'octobre 2018 soushttps://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2018/10/facebook-issued-with-maximum-500-000-fine/indiquait que l'ICO avait imposé l'amende maximale disponible à l'époque en vertu de l'ancienne loi britannique de 500 000 £. L'avis d'amende de l'ICO soushttps://ico.org.uk/media/action-weve-taken/mpns/2260051/facebook-mpn-20181024.pdfdécrivait les manquements à protéger les données personnelles des utilisateurs et à être transparent sur la manière dont les données ont été récoltées par d'autres. Le montant était faible selon les normes ultérieures des plateformes mondiales en raison des limites du système juridique de l'époque, mais la constatation était importante: l'écosystème des développeurs de Facebook était devenu une question d'application de la protection des données en dehors des États-Unis.
Le Parlement britannique a traité l'affaire comme un problème de responsabilité politique et démocratique. Le rapport final du comité restreint du numérique, de la culture, des médias et du sport de la Chambre des communes soushttps://publications.parliament.uk/pa/cm201719/cmselect/cmcumeds/1791/1791.pdfa placé Cambridge Analytica dans le cadre d'une enquête plus large sur la désinformation, la gestion de campagnes basée sur les données, le pouvoir des plateformes et l'intégrité électorale. Les rapports parlementaires ne sont pas des jugements pénaux. Ce sont des documents de surveillance publique. Leur valeur ici est de montrer pourquoi la population concernée ne se limitait pas aux utilisateurs d'applications ou aux annonceurs. L'événement touchait à des questions de persuasion politique, de transparence des campagnes, de gouvernance des plateformes et de la manière dont les institutions démocratiques peuvent examiner les systèmes de données privés qui façonnent le débat public.
Les autorités canadiennes de protection de la vie privée sont parvenues à une conclusion similaire. Les conclusions conjointes du Commissariat à la protection de la vie privée du Canada soushttps://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2019/pipeda-2019-002/ont constaté que Facebook présentait des lacunes importantes en matière de protection de la vie privée dans l'affaire Cambridge Analytica et ne protégeait pas adéquatement les informations des utilisateurs. Là encore, la valeur publique ne réside pas dans le fait qu'elle fournit une chronologie technique interne complète. Elle montre que plusieurs régulateurs dans différents systèmes juridiques sont parvenus au même problème de contrôle: une plateforme ne peut pas externaliser la protection de la vie privée aux promesses des développeurs d'applications et ensuite traiter les abus à grande échelle comme s'ils s'étaient produits en dehors de son champ de responsabilité.
L'avis aux utilisateurs a été retardé par la conception et les lacunes de preuve
La question de la notification des utilisateurs est centrale. Facebook a déclaré en 2018 qu'il avait appris en 2015 par des journalistes que Kogan avait partagé des données avec Cambridge Analytica, et qu'il avait exigé des certifications que les données aient été détruites. Le scandale public a éclaté en 2018 après des reportages du Guardian soushttps://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-electionet du New York Times soushttps://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html. Ces rapports ne sont pas des documents d'application primaires, mais ils font partie de la chronologie publique car ils ont forcé la question de contrôle dormante à la vue du public. Les utilisateurs ont alors appris qu'une preuve de données connue dans les limites de confiance de la plateforme n'avait pas déclenché une large notification simultanée des utilisateurs.
Le retard est important car les mesures de protection des données se dégradent avec le temps. Un utilisateur qui aurait été informé en 2015 aurait peut-être modifié les paramètres de l'application, vérifié les applications connectées, averti des amis, modifié les attentes concernant les données politiques ou exigé des preuves de suppression plus tôt. Un utilisateur informé en 2018 a reçu des informations après que les données avaient déjà été partagées, après que le différend de certification avait vieilli et après que l'utilisation des données politiques était devenue une controverse publique. La notification n'est pas une simple courtoisie.
C'est un rétablissement du contrôle. Elle permet aux personnes concernées de décider quoi faire lorsque la plateforme n'a plus le contrôle exclusif du risque.
La mise à jour d'avril 2018 de Facebook indiquait que l'entreprise montrerait aux utilisateurs si leurs informations avaient peut-être été partagées de manière inappropriée avec Cambridge Analytica, et décrivait des restrictions plus larges de l'accès des développeurs. C'est une mesure corrective, mais elle n'efface pas la question de la responsabilité. Une plateforme qui attend la crise publique pour informer les utilisateurs crée une lacune de preuve.
Les utilisateurs ne peuvent pas reconstruire quelles données ont été consultées, comment elles ont été utilisées, si elles ont été recopiées ou si elles ont été combinées avec d'autres ensembles de données politiques ou commerciaux. La notification tardive peut identifier une exposition potentielle, mais elle ne peut pas rétablir intégralement le contrôle perdu pour l'utilisateur.
Les preuves publiques les plus solides soutiennent une conclusion limitée: Facebook avait une connaissance antérieure d'un problème de transfert, s'est appuyé sur des certifications de suppression et n'a informé les utilisateurs qu'après que le problème est devenu public. Les archives ne permettent pas à un lecteur externe de prouver chaque raison interne du timing. Elles ne prouvent pas que chaque employé concerné de Facebook avait la même compréhension. Elles ne prouvent pas chaque utilisation en aval. Mais elles suffisent à évaluer la conception du contrôle.
Si une plateforme reçoit une notification que des données ont été partagées en violation des règles, une promesse de suppression ne devrait pas être la fin de l'affaire, à moins que la plateforme ne puisse vérifier indépendamment la suppression ou divulguer pourquoi elle ne le peut pas.
C'est là qu'intervient l'économie du signalement des abus. Une plateforme de développeurs doit décider combien investir dans la vérification des applications suspectes, les plaintes des utilisateurs, les rapports de journalistes, l'application des règles pour les développeurs, l'escalade juridique et la surveillance après la résiliation. Si l'application est bon marché pour la plateforme mais chère à contester pour les utilisateurs, la plateforme pourrait sous-estimer les abus jusqu'à ce que la pression externe s'accumule.
Un utilisateur ne peut pas vérifier Kogan, Cambridge Analytica, un prestataire de services de campagne ou une chaîne de données intermédiaire. Facebook pouvait créer des conditions pour les développeurs, bloquer des applications, restreindre l'accès à l'API, exiger des certifications, commander des audits et informer les utilisateurs. Ce ne sont pas des outils parfaits, mais ce sont des outils que la plateforme avait et que les utilisateurs n'avaient pas.
La vérification des applications a échoué en tant que contrôle du risque civique
Les archives de Cambridge Analytica montrent pourquoi la vérification des applications ne peut pas être traitée uniquement comme une fonction de produit de consommation. Sur une plateforme de médias sociaux, les autorisations des applications peuvent exposer des graphes sociaux, des signaux démographiques, des likes, des connexions d'amis et des catégories comportementales qui peuvent être précieux pour la publicité, la modélisation psychographique, le ciblage des électeurs ou les opérations d'influence.
Cela ne signifie pas que chaque application est politique, que chaque développeur est abusif ou que chaque ensemble de données modifie une élection. Cela signifie que la plateforme doit classer certains flux de données comme des risques pour l'infrastructure civique avant qu'un scandale ne prouve le point.
Les modifications apportées à l'API Graph de Facebook après le scandale font partie des preuves. La mise à jour d'avril 2018 décrivait des restrictions sur les événements, les groupes, les pages, la connexion, Instagram, la recherche, l'historique des appels et des SMS, et les autorisations des applications. Le fait que Facebook ait pu restreindre l'accès après l'événement montre que l'ancien système était une décision de conception, pas une loi de la nature. Une plateforme défend souvent un accès large à l'API comme une innovation pour les développeurs. Cet argument a du poids: les applications utiles dépendent de l'accès.
Mais une plateforme qui accorde un accès large doit également financer l'application, la révocation, la vérification et la notification significative des utilisateurs. L'innovation ne dispense pas de l'obligation de maintenir des limites d'autorisation applicables.
L'affaire FTC concernant Kogan et Cambridge Analytica est pertinente car elle montre que les acteurs en aval avaient également des obligations. La FTC a allégué des pratiques trompeuses liées à l'application et à la collecte de données. C'est important pour l'équité. Facebook n'était pas le seul acteur de la chaîne. Kogan, Cambridge Analytica, les campagnes politiques, les courtiers en données et d'autres prestataires de services avaient chacun un contrôle potentiel sur leur propre comportement. Mais la responsabilité de la plateforme n'est pas annulée par une faute en aval.
Un exploitant de pont n'est pas dispensé des garde-corps simplement parce qu'un conducteur se comporte également mal. La plateforme a construit la voie par laquelle les données se déplaçaient.
Les faits confirmés montrent que la vérification des applications et l'application des règles n'ont pas empêché le chemin des données. La conclusion fondée sur des preuves va plus loin: le modèle de gouvernance de Facebook traitait la conformité des développeurs comme suffisamment gérable jusqu'à ce que des événements publics montrent que ce n'était pas le cas. Cette conclusion est étayée par les restrictions ultérieures, les constatations réglementaires et la propre chronologie de blocage et de notification de Facebook.
Restent inconnues: comment chaque décision de vérification d'application a été prise, quels avertissements internes ont été émis, comment le risque a été priorisé entre les équipes et quels audits privés ont trouvé quels faits à quel moment. Ces inconnues sont importantes car elles empêchent un article public de porter des accusations individuelles non fondées.
La carte de contrôle pratique est néanmoins claire. Facebook contrôlait les API, les règles de vérification, l'accès des développeurs, l'escalade de l'application, les décisions de blocage, les paramètres côté utilisateur et les notifications publiques. Les développeurs contrôlaient leurs applications et leurs promesses. Les clients de campagne contrôlaient la manière dont ils achetaient et utilisaient les services d'analyse. Les régulateurs contrôlaient l'application et la réglementation a posteriori.
Les utilisateurs ne contrôlaient que des paramètres limités et leurs propres décisions d'application, et l'exposition par les amis signifiait que même ces décisions pouvaient être contournées par l'installation d'une autre personne. Cette asymétrie est la raison pour laquelle la conception de la plateforme est la principale surface de responsabilité.
Le consentement ne voyageait pas avec les données
L'affaire Cambridge Analytica est souvent décrite comme un échec du consentement, mais cette expression est trop étroite. Le consentement a échoué parce qu'il n'était pas portable, visible ou exécutoire une fois qu'il avait quitté Facebook. Une invite de plateforme peut demander à un utilisateur d'autoriser une application à accéder à certaines informations. Elle ne peut pas à elle seule garantir que l'application gardera les données séparées par la suite, ne les vendra pas, ne les combinera pas avec des fichiers d'électeurs et les supprimera sur demande.
Une fois que les données franchissent une frontière, l'application technique devient plus difficile. C'est pourquoi les règles de la plateforme doivent inclure la prévention, la vérification et l'audit permanent, pas seulement un clic d'acceptation.
L'accès aux données des amis a rendu la faiblesse encore plus évidente. Les personnes concernées pouvaient inclure celles qui n'avaient jamais interagi avec l'application. La chaîne de consentement n'était donc pas seulement mince; elle était socialement déléguée. L'action d'application d'un utilisateur pouvait avoir des conséquences sur les données d'un autre utilisateur. Cette structure est au cœur de la souveraineté des données et de la localisation des données en tant que problème pratique. Les gens supposent souvent que leurs données sont régies par la plateforme et les attentes juridiques associées à leur compte.
En réalité, les API de la plateforme peuvent exporter des données vers des systèmes de développeurs, des sociétés d'analyse, des opérations de campagne, des stockages cloud, des entités juridiques et des juridictions que l'utilisateur ne voit jamais.
Le dossier d'application de l'ICO a formulé le problème en termes de protection des données, tandis que la FTC l'a formulé en termes de promesses de confidentialité et de violations d'ordonnances, et la SEC en termes de divulgation aux investisseurs. Ce sont différents vocabulaires juridiques pour le même problème opérationnel. La gouvernance des données ne peut pas être réduite à une politique de confidentialité lorsque le système d'autorisation réel permet à des tiers d'extraire de grandes quantités de données sociales et que la plateforme ne peut pas vérifier la conformité.
Une promesse de contrôle n'est aussi forte que le mécanisme qui empêche le contrôle de s'évaporer.
Les engagements ultérieurs de Facebook en matière de programme de confidentialité sont pertinents car ils ont déplacé la gouvernance vers une évaluation documentée. L'ordonnance de la FTC exigeait un programme plus formel et des certifications. Ces engagements ne prouvent pas que tout risque futur disparaît. Ils sont des preuves de la couche de contrôle que les régulateurs considéraient comme manquante ou inadéquate.
Un programme mature de données de plateforme devrait identifier les autorisations à haut risque, exiger une justification de minimisation des données, tester les affirmations des développeurs, conserver des preuves de résiliation et de suppression, surveiller les extractions anormales, enregistrer les décisions d'application et informer les utilisateurs lorsque la plateforme ne peut pas vérifier le confinement.
L'affaire montre également pourquoi le préjudice d'intérêt public diffère du préjudice ordinaire en matière de protection des données individuelles. Une personne peut ne pas être en mesure d'identifier un seul message, une seule publicité ou une seule décision causée par le transfert de données. Pourtant, l'agrégation de millions de profils peut être significative pour les systèmes politiques, la société civile et la surveillance électorale.
La continuité du secteur public est pertinente ici car les institutions démocratiques dépendent de la confiance dans la communication politique, la transparence des campagnes et l'équité des environnements informationnels. Une défaillance des données de plateforme peut donc causer un préjudice qui est diffus, institutionnel et difficile à réparer par la seule notification individuelle.
Les manquements à la divulgation ont élargi le champ de la responsabilité
L'affaire SEC a élargi le champ de la responsabilité au-delà des utilisateurs et des régulateurs. Les entreprises publiques divulguent les risques aux investisseurs. La SEC a allégué que le langage de facteur de risque de Facebook décrivait le potentiel d'utilisation abusive des données des utilisateurs, bien que l'entreprise sache déjà que l'utilisation abusive avait eu lieu. L'importance ne réside pas simplement dans le fait que Facebook a payé un règlement. C'est que les incidents de protection des données peuvent devenir des incidents de contrôle de la divulgation.
Lorsque les cadres, les équipes juridiques, les équipes de confidentialité et les fonctions de relations avec les investisseurs ont des images différentes du même événement, la responsabilité publique s'effondre.
C'est pertinent pour toutes les grandes plateformes. Un incident de protection des données peut commencer dans une équipe produit, être traité par une équipe politique, escalader par des canaux juridiques, puis rester en dehors de la divulgation publique de titres jusqu'à ce qu'une crise de réputation éclate. Les archives de la SEC disent que cela ne suffit pas si l'événement est important pour les investisseurs. Un programme d'incident mature doit relier le risque produit, le risque juridique, le risque de confidentialité, le risque de communication et le risque de divulgation financière.
Sinon, une entreprise peut savoir qu'un événement s'est produit tout en ne communiquant au marché que la possibilité qu'un tel événement se produise.
Le problème de la divulgation concerne également les utilisateurs. Si une entreprise présente publiquement une preuve de données connue comme hypothétique, les utilisateurs peuvent sous-estimer la nécessité de vérifier les paramètres, de modifier leur comportement ou d'exiger des réponses. Les investisseurs peuvent sous-estimer l'étendue de l'exposition réglementaire. Les législateurs peuvent sous-estimer l'urgence de la surveillance. Les annonceurs et les développeurs peuvent sous-estimer le changement de gouvernance à venir. La divulgation n'est donc pas une formalité.
C'est un contrôle de coordination entre les parties prenantes qui ne peuvent pas voir les systèmes privés de la plateforme.
Les archives publiques soutiennent cette conclusion sans nécessiter de spéculation privée. L'ordonnance de la SEC, l'ordonnance de la FTC, l'amende de l'ICO, les constatations canadiennes, le rapport parlementaire et les propres déclarations de Facebook décrivent tous des aspects se chevauchant du même épisode. Les détails diffèrent, mais la direction est cohérente: Cambridge Analytica n'était pas un incident d'application isolé. C'est devenu un test pour savoir si une plateforme peut identifier, gérer, divulguer et remédier à l'utilisation abusive des données qui a traversé sa propre architecture d'autorisation.
Les inconnues restent considérables. Les archives publiques ne révèlent pas chaque réunion interne, chaque brouillon, chaque évaluation juridique, chaque alerte technique ou chaque décision de direction. Elles ne permettent pas aux étrangers de reconstruire le chemin exact de la connaissance interne au langage de divulgation publique. Mais l'ordonnance publique de la SEC suffit à étayer la conclusion de responsabilité que les contrôles de divulgation doivent être intégrés dans les contrôles de gouvernance des données.
Une équipe de confidentialité qui a connaissance d'un abus et une divulgation de titres qui traite l'abus comme hypothétique ne sont pas des mondes de risque séparés.
Les promesses de suppression n'étaient pas une preuve de confinement
L'une des leçons les plus importantes est la différence entre les promesses de suppression et la preuve de confinement. La déclaration de Facebook de 2018 indiquait qu'il avait exigé et reçu des certifications que les données avaient été détruites. Les événements ultérieurs ont montré que ce n'était pas un point final suffisant pour la confiance publique. Lorsque des données sont copiées dans les systèmes d'une autre entité, la certification peut être un contrôle juridique, mais ce n'est pas la même chose qu'une preuve technique. Elle peut être nécessaire; elle est rarement suffisante.
La preuve de confinement nécessiterait des preuves plus solides: quelles données étaient détenues, où elles étaient stockées, qui y avait accès, si elles étaient copiées dans des sauvegardes, si des modèles dérivés étaient créés, si des tiers les avaient reçues, si la suppression avait été auditée indépendamment, si des journaux étaient conservés et si la non-conformité serait détectée. Certaines de ces questions peuvent ne pas pouvoir être entièrement répondues après le temps. C'est précisément pourquoi la prévention et la vérification en temps opportun sont importantes.
Plus tard une plateforme tente de confiner les données exportées, plus la preuve de confinement devient incertaine.
Le dossier FTC sur Cambridge Analytica et les ordonnances connexes ont aidé à attribuer la responsabilité aux acteurs en aval, mais n'ont pas rétabli le contrôle des utilisateurs sur l'exposition historique. L'ordonnance FTC-Facebook traitait de la gouvernance de la plateforme pour l'avenir. L'amende de l'ICO a imposé la peine maximale disponible en vertu de l'ancienne loi pertinente. Le rapport canadien a documenté des lacunes importantes. Les procès civils ont ajouté un autre canal de responsabilité publique, y compris le site Web du règlement de confidentialité soushttps://www.facebookuserprivacysettlement.com/et le dossier du tribunal de district pour In re Facebook, Inc. Consumer Privacy User Profile Litigation soushttps://www.cand.uscourts.gov/judges/chhabria-vince-vc/in-re-facebook-inc-consumer-privacy-user-profile-litigation-mdl-no-2843/. Les processus de règlement ne sont pas la même chose que des constatations après un procès, mais ils montrent comment les réclamations des utilisateurs ont été traduites en un cadre d'indemnisation et de libération.
La leçon de suppression s'applique au-delà de Facebook. Toute plateforme qui permet à des applications tierces de collecter des données personnelles doit décider ce qui se passe lorsque l'application perd l'autorisation, enfreint la politique ou modifie son objectif. La plateforme obtient-elle des preuves de suppression lisibles par machine? Audite-t-elle les développeurs à haut risque? Vérifie-t-elle les flux de données avant d'accorder des autorisations larges? Surveille-t-elle le volume d'extraction? A-t-elle des droits contractuels pour auditer les systèmes en aval?
Informe-t-elle les utilisateurs lorsque la suppression ne peut pas être vérifiée? Fait-elle la distinction entre les erreurs ordinaires des développeurs et les transferts de données à risque civique? Cambridge Analytica a montré le coût de répondre à ces questions après coup.
Les preuves publiques soutiennent une conclusion fondée sur des preuves: l'application antérieure de Facebook s'appuyait trop sur des assurances après le mouvement des données et pas assez sur des contrôles vérifiables de l'utilisation des données avant ou pendant l'accès. Cette conclusion s'appuie sur les déclarations de l'entreprise et les archives réglementaires. Elle ne doit pas être étendue à des affirmations sur chaque application ou chaque employé de Facebook. Le point est systémique: la gouvernance des données de plateforme échoue lorsque la politique est traitée comme un document et non comme un cycle de contrôle applicable.
L'utilisation des données politiques a fait du risque de plateforme un risque du secteur public
Cambridge Analytica était important parce que le chemin des données chevauchait la gestion de campagnes politiques et le débat public. Un cas d'abus d'application commerciale peut nuire aux consommateurs; un cas d'abus de données politiques peut également affecter la confiance démocratique. Le rapport du Parlement britannique traitait la gestion de campagnes basée sur les données, la responsabilité des plateformes et la désinformation comme des problèmes liés. La mise à jour de l'enquête plus large de l'ICO soushttps://ico.org.uk/media/action-weve-taken/2260271/investigation-into-data-analytics-for-political-purposes-update.pdfa placé l'affaire Facebook dans le cadre d'une enquête plus large sur l'analyse des données à des fins politiques. Ces sources ne prouvent pas chaque affirmation publique concernant les résultats électoraux. Elles montrent que les institutions démocratiques considéraient les flux opaques de données politiques comme un problème de surveillance.
La distinction est importante. Il est facile d'exagérer l'influence prouvée de Cambridge Analytica sur les résultats électoraux. Les preuves publiques ne permettent pas une affirmation causale nette selon laquelle le transfert de données a modifié un résultat électoral spécifique. Le dossier de responsabilité n'a pas besoin de cette affirmation. Un système de données de plateforme peut être irresponsable même si l'efficacité de la persuasion en aval est incertaine.
L'échec de contrôle réside dans le fait que des acteurs politiques ont pu rechercher des avantages à partir de données dont la collecte, le consentement, le transfert et le statut de suppression n'étaient pas transparents pour les personnes décrites par les données.
Le risque des données politiques modifie également le modèle de préjudice. Si un utilisateur reçoit une publicité manipulatrice, est assigné à un public cible modélisé ou est exclu d'un message de campagne, l'utilisateur peut ne jamais le savoir. Si une campagne construit une stratégie avec des données obtenues de manière inappropriée, les étrangers peuvent ne pas être en mesure de séparer l'effet des données des messages, des achats médias, des opérations de terrain, des fichiers d'électeurs ou du climat politique plus large. L'opacité elle-même fait partie du problème de responsabilité.
La continuité du secteur public dépend de la capacité des institutions à examiner et à contester l'infrastructure qui façonne la communication politique.
Facebook a ensuite créé plus d'outils de transparence pour les publicités politiques et imposé plus de restrictions, mais l'affaire Cambridge Analytica reste une référence car elle a révélé l'écart entre la portée de la plateforme et la surveillance publique. Les régulateurs peuvent punir après coup. Les législatures peuvent tenir des audiences. Les journalistes peuvent enquêter. Les utilisateurs peuvent intenter des poursuites. Mais aucun de ces mécanismes ne fonctionne aussi proprement que les contrôles de plateforme qui empêchent l'extraction de données à haut risque avant qu'elle ne devienne politiquement utile ailleurs.
L'affaire appartient donc à la fois à la continuité du secteur public et à la souveraineté des données. Une plateforme mondiale de médias sociaux n'est pas une agence gouvernementale, mais elle peut façonner l'environnement informationnel dans lequel les institutions publiques travaillent. Lorsque ses règles d'application échouent, les conséquences peuvent atteindre la confiance civique. Cela ne signifie pas que chaque incident de plateforme est un échec d'État.
Cela signifie que les exploitants de plateformes doivent traiter certaines autorisations, en particulier celles qui concernent les graphes sociaux et l'analyse politique, comme des risques de niveau infrastructurel.
Ce qui a changé et quelles preuves restent importantes
Les changements de Facebook après le scandale comprenaient des restrictions de l'accès des développeurs, des avis aux utilisateurs, des modifications de la vérification des applications, des engagements en matière de programme de confidentialité et des assurances publiques de la direction. La déclaration préparée de Mark Zuckerberg et la page de transcription de l'audience soushttps://about.fb.com/news/2018/04/transcript-of-zuckerbergs-senate-hearing/est pertinente car elle montre comment l'entreprise a présenté l'affaire aux élus comme un échec de responsabilité nécessitant des changements de produit et de gouvernance. L'ordonnance de la FTC a ensuite transformé certaines assurances en obligations exécutoires. La différence entre une promesse volontaire et une ordonnance exécutoire est centrale. Les excuses publiques peuvent commencer la responsabilité, mais la responsabilité durable nécessite un audit, des rapports, une vérification et des conséquences.
Les preuves à observer après Cambridge Analytica ne sont pas seulement de savoir si un scandale similaire se répète. C'est de savoir si les flux de données à haut risque sont régulés avant le scandale.
Une plateforme sérieuse devrait être en mesure de répondre: quelles autorisations exposent les amis ou les graphes sociaux; quelles applications reçoivent des combinaisons de données sensibles; quels développeurs ont des objectifs politiques, de courtage, d'analyse ou de profilage; quelles données quittent la plateforme; quelles preuves de suppression existent; quel seuil de notification aux utilisateurs s'applique; et quels cadres certifient que le système de contrôle fonctionne. Ce sont des questions de gouvernance, pas des questions de relations publiques.
Un autre point d'observation est de savoir si les paramètres utilisateur reflètent un contrôle réel. Un tableau de bord de confidentialité peut donner aux gens des choix, mais si ces choix ne peuvent pas empêcher le transfert à des tiers via l'application d'un autre utilisateur, le tableau de bord peut surestimer le contrôle. Une plateforme devrait distinguer les paramètres qui contrôlent la visibilité directe, les paramètres qui contrôlent le mouvement de l'API et les paramètres qui ne concernent que l'accès futur.
Cambridge Analytica a montré que les utilisateurs ont besoin de réponses claires sur ce que la plateforme peut encore appliquer après que les données ont quitté la plateforme.
La coordination réglementaire est également importante. La FTC, la SEC, l'ICO, les autorités canadiennes, le Parlement britannique et les tribunaux ont chacun touché différentes parties de l'épisode. La fragmentation peut créer des lacunes lorsque la protection des données, la divulgation de titres, la surveillance électorale, la protection des consommateurs et les procès civils se déroulent isolément les uns des autres. L'affaire montre pourquoi les incidents majeurs de plateforme nécessitent une responsabilité transversale.
Un élément de preuve de données peut être à la fois un problème de protection des consommateurs, un problème de protection des données, un problème de divulgation de titres, un problème de transparence politique et un problème de litige privé.
Les archives publiques laissent encore des questions ouvertes. Elles ne montrent pas complètement comment toutes les données concernées ont été utilisées, si tout le matériel dérivé a été supprimé, comment chaque destinataire en aval a traité les données, quels signaux de risque internes existaient avant 2015 ou comment chaque équipe comprenait le problème avant 2018. Ces inconnues ne doivent pas être comblées avec une certitude non fondée. Elles doivent être traitées comme des raisons d'exiger des preuves plus solides.
Si une plateforme ne peut pas démontrer le confinement, la charge de la preuve ne devrait pas incomber aux utilisateurs pour prouver où leurs données sont allées.
Il y a aussi une leçon d'approvisionnement pour les institutions qui utilisent les plateformes de médias sociaux pour la sensibilisation, la publicité, la communication avec les électeurs ou la recherche. Les autorités publiques, les universités, les organisations caritatives, les organisations médiatiques et les campagnes traitent souvent les outils de plateforme comme une infrastructure d'audience. Ils peuvent acheter des publicités, exploiter des pages, autoriser des applications, intégrer des outils de partage ou utiliser des analyses sans avoir de pouvoir direct sur l'application de la plateforme.
Cambridge Analytica a montré que les utilisateurs institutionnels devraient demander si la plateforme peut documenter l'accès aux données à haut risque, les garanties pour les segments politiques, l'escalade de la vérification des applications, les droits d'audit, la vérification de la suppression et les seuils de notification aux utilisateurs. Ces questions ne sont pas seulement pour les délégués à la protection des données. Elles appartiennent à l'approvisionnement, à la conformité des campagnes, à la sécurité de l'information, à la communication publique et à la surveillance du conseil d'administration.
La même leçon s'applique aux développeurs. Un écosystème d'applications sain nécessite un accès utile, mais l'accès utile doit être gradué selon le risque. Les intégrations à faible risque peuvent suivre une vérification plus légère. Les applications qui demandent des données de graphe social, d'amis, de profil, politiques, démographiques ou comportementales nécessitent des obligations plus fortes de limitation des finalités, de journalisation et de révocation. Les développeurs doivent savoir que l'accès est conditionnel et que les abus ultérieurs peuvent déclencher des exigences de preuve, pas seulement la suspension du compte.
Les plateformes devraient publier suffisamment sur ces obligations pour que les développeurs légitimes comprennent les règles et que les utilisateurs comprennent pourquoi une demande d'autorisation est sensible. Le secret autour du modèle d'application peut protéger les attaquants, mais l'opacité totale peut également affaiblir la confiance du public.
Pour les utilisateurs, l'affaire est un rappel que le contrôle de surface et le contrôle des données ne sont pas la même chose. Un utilisateur peut supprimer une application, modifier un paramètre ou fermer un compte, mais ces actions peuvent ne pas être en mesure de récupérer les données déjà exportées vers un autre système. Cela ne rend pas les actions des utilisateurs inutiles. Cela signifie que les contrôles côté utilisateur doivent être couplés à des garanties côté plateforme pour l'accès futur, l'exportation historique, la suppression et la notification.
Un paramètre de confidentialité devrait dire ce qu'il peut empêcher, ce qu'il ne peut pas annuler et quand la plateforme informera les gens que la frontière d'un tiers a échoué.
Le standard de responsabilité est le consentement exécutoire
Le standard ultime de responsabilité est le consentement exécutoire. Le consentement n'est pas exécutoire si les utilisateurs ne savent pas ce qui quitte la plateforme, si des amis peuvent les exposer sans choix spécifique à l'application, si les développeurs peuvent réaffecter ou partager des données sans détection en temps opportun, si les promesses de suppression remplacent la vérification, si les abus connus ne sont pas clairement divulgués et si l'utilisation des données politiques n'est examinée qu'après des mesures journalistiques et réglementaires.
Le consentement exécutoire nécessite un système d'autorisation qui peut être audité, restreint, révoqué et expliqué.
Les faits confirmés soutiennent cette norme. Les archives publiques confirment le chemin des données de l'application, l'avis de blocage de Facebook, l'estimation de jusqu'à 87 millions de personnes concernées, l'amende et l'ordonnance de la FTC, le règlement de divulgation de la SEC, l'amende de l'ICO, les constatations canadiennes en matière de protection des données, l'examen parlementaire et les processus de règlement des procès civils.
La conclusion fondée sur des preuves soutient une conclusion de gouvernance plus large: les contrôles de plateforme de Facebook n'étaient pas à la hauteur des risques civiques et de confidentialité des flux de données que la plateforme permettait. Restent inconnues l'utilisation en aval complète, les délibérations internes et les préjudices au niveau individuel.
La responsabilité devrait suivre le contrôle pratique. Facebook contrôlait l'architecture de la plateforme et le modèle d'application. Les développeurs contrôlaient leurs applications et la conformité aux conditions. Les sociétés de données politiques et les campagnes contrôlaient leur acquisition et leur utilisation des services d'analyse. Les régulateurs contrôlaient l'application a posteriori. Les utilisateurs ne contrôlaient que des choix étroits, et parfois même pas cela lorsque l'accès aux données des amis était impliqué.
Cette carte est la raison pour laquelle Cambridge Analytica reste un dossier de responsabilité vivant même des années après les premiers titres.
La leçon plus large pour la gouvernance du cloud et des plateformes est simple mais exigeante: les règles d'accès aux données doivent être construites comme des contrôles opérationnels, pas comme un langage de réputation. Une plateforme devrait supposer que la récupération deviendra incertaine et que la confiance publique sera plus difficile à rétablir une fois que les données auront quitté sa frontière.
Le contrôle le plus sûr est la prévention par la minimisation, l'examen des finalités, les autorisations étroites, la vérification des développeurs, la surveillance des accès anormaux, le blocage rapide, la suppression vérifiée et la notification des utilisateurs lorsque le confinement est incertain.
Les archives de Cambridge Analytica de Facebook appartiennent donc à un dossier de risque, non pas parce qu'elles répondent à toutes les questions politiques, mais parce qu'elles posent la bonne question d'infrastructure. Lorsqu'une plateforme privée devient le gardien de l'identité, des graphes sociaux, de la publicité, de la communication politique et de l'accès des tiers, son système d'autorisation n'est plus seulement une caractéristique de produit. C'est une surface de responsabilité publique.
Le test est de savoir si la plateforme peut prouver que le consentement, l'application, la suppression, la divulgation et la remédiation fonctionnent avant que des étrangers n'imposent le dossier.

