Plusieurs d’entre vous avez entendu dire ces jours-ci que les applications Facebook causaient des fuites de renseignements, et que ce problème à grande échelle pourrait avoir une incidence sur votre vie privée.
Lundi, le Wall Street Journal publiait le plus récent d’une série d’articles sur la vie privée en ligne, qui rapportait que de nombreuses applications Facebook causaient des fuites de renseignements personnels — sous forme d’identificateurs Facebook — à des annonceurs en ligne. Un identificateur Facebook est un numéro distinct attribué à chaque utilisateur du site et qui fait partie du profil public d’une personne : on ne peut pas restreindre l’accès à son identificateur en modifiant simplement les paramètres de confidentialité de son compte.
Quand vous visitez une page Web, votre fureteur annonce généralement l’URL de la page où vous étiez avant de cliquer vers la page actuelle : c’est ce qu’on entend par le « référent ». Une application Facebook est souvent chargée sur la même page Web que les annonces de tiers. Quand ces annonces sont téléchargées sur la page, l’application donne au réseau de publicité l’URL de la page sur laquelle leur annonce est chargée. Dans le cas de nombreuses applications Facebook, cet URL contient l’identificateur distinct de la personne qui a téléchargé la page. Cet identificateur peut ensuite servir à identifier l’utilisateur en question — ce numéro est associé à des données de profil publiques, comme le nom au complet. L’URL (et l’identificateur) est envoyé même si l’utilisateur ne clique sur aucune annonce.
Ce n’est pas la première fois que cette question alimente la discussion. Elle a été soulevée en août 2009 dans un rapport de recherche et — dans un contexte similaire — elle a été décrite dans un article précédent du Wall Street Journal au sujet des annonces Facebook. Une poursuite en justice entamée en Californie allègue que Facebook a communiqué des renseignements personnels aux annonceurs.
Le débat actuel au sujet des conséquences pour la vie privée des renseignements compris dans les référents fait entre autres une critique des affirmations faites dans l’article du Wall Street Journal. Certains observateurs considèrent que l’article est alarmiste; d’autres font valoir que cet enjeu n’est pas propre à Facebook, qu’il s’agit plutôt d’une question de vie privée sur l’ensemble du Web. En effet, les conséquences plus vastes des référents sur la vie privée ont été soulevées récemment dans le cadre d’une plainte à la Federal Trade Commission au sujet de l’utilisation par Google des en-têtes référents.
Il est important de souligner que l’utilisation de données référentes est en soi une pratique légitime. Les normes Web qui sous-tendent la manière dont les informations et les instructions sont transmises à travers Internet permettent aux fureteurs de transmettre les données référentes comme une composante optionnelle de la requête à un serveur Web. Toutefois, il y a une certaine marge de manœuvre quant aux renseignements précis qui sont inclus dans l’en-tête référent, et quant à la possibilité pour les utilisateurs de permettre au départ à leurs fureteurs de transmettre ces données. Harlan Yu a énuméré un certain nombre de solutions dans un billet de blogue opportun : entre autres, omettre les identificateurs de la requête, utiliser des identificateurs jetons plutôt que de véritables identificateurs Facebook, et améliorer les fureteurs afin que les gens aient davantage de contrôle sur la transmission de données référentes.
Un membre bien en vue de la communauté Web a co-rédigé un document de norme Internet qui aborde l’incidence sur la vie privée des données référentes :
Nota : Puisque l’origine d’un lien pourrait représenter un renseignement confidentiel ou pourrait révéler une source d’information autrement confidentielle, il est fortement recommandé que l’utilisateur puisse choisir s’il veut ou non que le champ « Référent » soit transmis. Par exemple, un fureteur client pourrait comprendre une touche à bascule qui permettrait de choisir entre une navigation ouverte et une navigation anonyme, qui autoriserait ou empêcherait l’envoi de données référentes. [traduction]
Le co-auteur en question? Tim-Berners Lee (celui que l’on considère être le père du Web), et l’année, 1996. Et le débat se poursuit…