Par Colin Stretch

Mise à jour le 24 juillet 2019 à 20h16 (CET) : Mark Zuckerberg a présenté ces changements lors d’un événement interne à l’entreprise. Voici ses remarques.

Publié initialement le 24 juillet 2019 à 13h44 (CET) :

Après plusieurs mois de négociations, nous sommes parvenus à un accord avec la FTC (Federal Trade Commission). Cet accord établit un nouveau cadre global de protection de la confidentialité des utilisateurs et des informations qu’ils nous communiquent.

Cet accord exige un changement majeur de la façon dont nous appréhendons notre activité. Il s’appuie sur notre approche actuelle et renforce à la fois les exigences que nous devons respecter en matière de confidentialité, mais aussi le niveau de surveillance et de responsabilité auquel nous sommes soumis. Il donne également plus de responsabilités aux personnes qui développent nos produits, et ce, à tous les niveaux de l’entreprise. Cet accord incarne notre tournant vers davantage de confidentialité à une échelle sans précédent. 

Le niveau de responsabilité requis par cet accord va au-delà de la législation américaine actuelle, et nous espérons que celui-ci deviendra un modèle pour le reste de notre secteur. Il exige des processus plus stricts pour identifier les risques en matière de confidentialité, une documentation plus détaillée de ces risques et des mesures plus fortes pour garantir le respect de ces nouvelles exigences. À l’avenir, notre approche en matière de confidentialité sera similaire à celle des contrôles financiers. Elle se traduira par un processus de conception exigeant des certifications individuelles visant à garantir que nos contrôles fonctionnent – et que nous les corrigeons lorsque ce n’est pas le cas.

Pour parvenir à cet accord, nous avons également accepté de payer une amende de 5 milliards de dollars à la FTC – bien plus que ce que toute autre entreprise a payé auparavant – pour répondre aux allégations selon lesquelles nous avons enfreint notre ordonnance de consentement de 2012.

L’enquête de la FTC a été ouverte après les évènements liés à Cambridge Analytica l’année dernière. Nous avons abordé cette question comme une rupture de confiance entre Facebook et les personnes qui comptent sur nous pour protéger leurs données. L’accord ne concerne donc pas uniquement les régulateurs ; il vise également à regagner la confiance des gens qui utilisent notre plate-forme.

Au cours de la dernière année, nous avons fait des progrès significatifs en matière de protection de la vie privée. Nous avons donné aux gens plus de contrôle sur leurs données, fermé des applications et mis en place davantage de ressources pour protéger leurs informations.

Mais même en tenant compte de ces changements, le programme de confidentialité que nous sommes en train de mettre sur pied constitue un changement important dans la façon dont nous traitons les données. Nous redoublerons de vigilance pour identifier, évaluer et atténuer les risques en matière de confidentialité. Nous adopterons de nouvelles approches pour mieux documenter les décisions que nous prenons et surveiller leur impact. Nous introduirons également des contrôles techniques plus poussés pour mieux automatiser les mesures de protection de la vie privée.

Dans le cadre de cet effort, nous procéderons à un examen complet de nos systèmes. Nous nous attendons à ce que ce processus mette en lumière des problèmes – c’est en effet l’un de ses objectifs. Une fois ces problèmes détectés, nous nous efforcerons de les résoudre rapidement.

Pas plus tard que ce mois-ci, et en réponse à l’enquête de la FTC, nous avons découvert que des défaillances dans nos systèmes permettaient à certains partenaires de continuer à accéder aux données pour fournir des fonctionnalités Facebook sur leurs produits. Bien que nous n’ayons décelé aucun abus, le nouvel accord nous aidera à nous prémunir contre de tels risques à l’avenir. Nous ferons également preuve de plus de diligence dans la surveillance des abus, et nous exigerons des développeurs de rendre compte de la façon dont ils utilisent les données et de se conformer à nos règles.

La transparence et la responsabilité seront deux concepts fondamentaux. Des certifications trimestrielles seront mises en place afin de vérifier que nos paramètres de confidentialité fonctionnent. Et si nous identifions des problèmes, nous ferons en sorte de les résoudre. Le processus remontera jusqu’au bureau de notre PDG, qui confirmera par sa signature que nous avons effectivement fait ce que nous avions promis.

Nous disposerons également d’un nouveau niveau de surveillance. Un comité du conseil d’administration de Facebook se réunira chaque trimestre pour s’assurer que nous respectons nos engagements. Le comité sera assisté par un évaluateur indépendant en matière de confidentialité, qui sera chargé d’examiner le programme de confidentialité de façon continue et de rapporter les possibilités d’amélioration au conseil d’administration.

Les différentes mesures seront toutes entreprises sous la supervision de la FTC. Cet accord impose un certain nombre de rapports à rendre à la FTC et au Département de la Justice des États-Unis afin qu’ils puissent à tout moment superviser l’efficacité avec laquelle nous nous acquittons de nos responsabilités.

Malgré la mise en place de ces nouvelles mesures, nous sommes conscients que nous ne pouvons pas résoudre l’ensemble de ces problèmes complexes seuls. C’est pourquoi nous formaliserons et nous intensifierons nos efforts en demandant l’avis d’experts externes à l’entreprise.

Aujourd’hui, nous avons également réglé une enquête en cours de la Securities and Exchange Commission (SEC). Selon la SEC, nous aurions dû disposer de meilleurs processus pour informer dûment les investisseurs en cas d’utilisation abusive de données, comme ce fut le cas avec Cambridge Analytica. La SEC considère également qu’après avoir appris fin 2015 qu’un développeur avait transféré des données à Cambridge Analytica (ce qui allait à l’encontre de nos règles), nous aurions dû en dire plus aux investisseurs au sujet de cette infraction. Nous partageons l’intérêt de la SEC d’assurer la transparence auprès de nos investisseurs au sujet des risques importants auxquels nous sommes exposés, et nous avons déjà mis à jour nos informations et nos contrôles dans ce domaine. Dans le cadre de notre accord avec la SEC, nous avons accepté de payer une amende de 100 millions de dollars.

Nous avons entendu que les mots et les excuses ne suffisaient pas et que nous devions agir. En résolvant à la fois les procédures de la SEC et de la FTC, nous espérons pouvoir clore ce chapitre et orienter pleinement notre attention et nos ressources vers l’avenir.

Des milliards de personnes dans le monde entier utilisent nos produits pour enrichir leur quotidien et permettre à leurs organisations de prospérer. Il est donc particulièrement important que chacun puisse s’assurer que ses informations sont en sécurité sur notre plate-forme. Cet accord est un engagement à le faire sans aucune ambiguïté.