J'ai téléchargé mon Facebook

Suite à un cours sur la protection des données et sur le RGPD, il m'est venu cette idée saugrenue : normalement, on peut télécharger ses données sur un site web... Et si j'essayais sur Facebook ?

Le résultat est assez extraordinaire, comme vous le verrez plus loin dans ce papier. Mais parlons d'abord du pourquoi : quel intérêt a Facebook à vous rendre vos données ? Aucun. Mais il y est obligé par la loi. Voyons ça plus en détail sans plus tarder.

Le point légal

Article 20 - Droit à la portabilité des données

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque:

a) le traitement est fondé sur le consentement en application de l'article 6, paragraphe 1, point a), ou de l'article 9, paragraphe 2, point a), ou sur un contrat en application de l'article 6, paragraphe 1, point b); et

b) le traitement est effectué à l'aide de procédés automatisés.

2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.

3. L'exercice du droit, visé au paragraphe 1 du présent article s'entend sans préjudice de l'article 17. Ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.

4. Le droit visé au paragraphe 1 ne porte pas atteinte aux droits et libertés de tiers.

Extrait du Chapitre III du Règlement Européen sur la Protection des Données (RGDP), voir CNIL : RGPD, Chapitre III, Article 20.

Si vous n'avez pas tout compris à l'encart ci-dessus - ou si vous n'avez pas le courage de lire, qui pourrait vous en blâmer ? - voici une traduction simplifiée.

Vous avez le droit de demander l'intégralité de vos données personnelles utilisées par un service (tel que Facebook), de les recevoir dans un format commun et de les transmettre à un autre service. Vous pouvez par exemple demander toutes les données personnelles que Spotify a sur vous et les transmettre à Deezer pour changer de prestataire de streaming musical.

De plus, vous pouvez également exiger du service 1 qu'il communique directement les données au service 2 s'ils le peuvent techniquement*. Cela ne doit pas porter atteinte au droit à l'effacement. Ce n'est pas valable pour les missions "d'intérêt publique" (très vague, je vous l'accorde) ou pour les autorités publiques.

* Il est évident que certains vont freiner des quatre fers à ce propos et œuvrer bec et ongle pour rendre la chose impossible, mais bon...

Quelles sont mes données Facebook ?

Le nombre de données qu'à Facebook sur vous est tout simplement monstrueux. La preuve en est, le formulaire pour demander ses données contient pas moins de 22 catégories, dont certaines assez loquaces : vous pouvez e.g. télécharger l'historique complet de vos pokes depuis la création de votre compte.

Parmi toutes les catégories, en voici trois qui m'intéressent particulièrement.

1. Messages. Vous pouvez récupérer l'entièreté des messages échangés via Facebook (dont ceux sur Messenger), ce qui peut représenter, si, comme moi, vous utilisez Messenger régulièrement, des dizaines, voire centaines de milliers de messages.
2. Localisation, qui dans mon cas est vide car je suis assez strict sur les paramètres de confidentialité de Facebook
3. Publicités, qui regroupe tous vos goûts connus de Facebook, les publicités sur lesquelles vous avez cliqué ou que vous avez fermées, etc.

Parmi les autres, l'ensemble de vos connexions / déconnexion de Facebook, ou encore toutes les adresses IP utilisées. Oui, Facebook sait tout sur vous.

Comment récupérer mes données ?

C'est tout à fait enfantin, rendez-vous sur Facebook sur ordinateur, cliquez sur le petit triangle puis sur "Paramètres".

A gauche, cliquez sur "Vos informations Facebook", vous obtiendrez la page ci-dessous.

Enfin, cliquez sur la catégorie "Télécharger vos informations" afin d'accéder au formulaire. De là, vous pourrez choisir quelles informations vous désirez télécharger et sur quelle période.

Votre sauvegarde va être notée en attente, cela peut prendre un petit peu de temps si vous avez coché beaucoup de choses. Pour toutes les catégories depuis 2012, Facebook m'a généré un fichier (zippé) de 4,76Go, et il a fallu 3h30 pour le générer (et presque autant pour le télécharger).

Que fait Facebook de toutes ces données ?

On arrive à la partie intéressante. Comme vous l'avez vu si vous avez téléchargé vos données, il s'agit d'éléments bruts. On pourrait comparer vos données personnelles à du pétrole : les données dont on parle dans cet article sont du pétrole brut, mais Facebook ne les vend pas telles quelles, elles sont d'abord transformées, de la même manière que Total raffine le pétrole pour obtenir un produit à plus forte valeur ajoutée.

Ainsi, Facebook ne vend pas ces données, il les transforme et donne accès à ses annonceurs à des types de populations plus ou moins précis grâce à un outil ouvert à tous, Audience Insight, mais j'ai le sentiment que celui-ci mérite un article à lui tout seul.