Dès 2007, Facebook ouvrait aux constructeurs de smartphones et d'appareils de toute sorte un accès aux données de ses abonnés, et à celles de leurs amis, le tout sans leur consentement. Une soixantaine de fabricants a noué ce partenariat avec le réseau social, dont BlackBerry, Microsoft, Samsung, Amazon et Apple, raconte le New York Times.

Ce deal, mis en place alors même que les applications mobiles de Facebook n'existaient pas encore, ont permis aux constructeurs d'exploiter ces données dans leurs appareils, via des API spécifiquement développées pour ces partenaires (un développement qui se poursuivait en 2014). Certains d'entre eux ont pu utiliser les statuts relationnels, les affinités religieuses, les inclinations politiques et les agendas. Facebook reconnait par ailleurs que certains constructeurs ont pu stocker des données des utilisateurs et de leurs connaissances sur les serveurs de ces partenaires.

Les constructeurs dans la boucle ont aussi pu mettre la main sur les données des amis, y compris quand ces derniers refusaient de partager leurs informations avec une tierce partie. « C'est comme avoir des serrures aux portes de sa maison », illustre le chercheur Ashkan Soltani, un ex de la FTC américaine, « et de se rendre compte que le serrurier a donné des clés à tous ses amis, ils peuvent se rendre chez vous et fouiller dans vos affaires sans vous demander la permission ».

Apple, citée parmi les constructeurs qui ont fait affaire avec Facebook, explique avoir utilisé le coffre aux données de Facebook pour permettre aux utilisateurs de ses produits de publier des photos sur le réseau social sans avoir à ouvrir l'application Facebook, entre autres usages. La Pomme indique aussi que ses appareils n'utilisent plus cet accès privé depuis septembre dernier.

En vertu du partenariat signé avec Facebook en 2008, les produits de Microsoft exploitent les données du réseau social pour ajouter des contacts au carnet d'adresses et recevoir des notifications. Les données sont stockées en local sur les (derniers et rares) téléphones Windows et ne sont pas stockées sur les serveurs de Microsoft.

BlackBerry « ne collecte pas et n'exploite pas les données Facebook de ses utilisateurs », assure un porte-parole. L'article donne pourtant un exemple saisissant de la portée invraisemblable de cet accès, à partir de l'application Hub de BB10¹ : après s'être connecté à son compte Facebook, Hub a collecté 50 types de données pour 556 de ses amis, puis pour 294 258 amis de ces amis ! Amazon (qui vend des tablettes équipées d'un OS maison) et Samsung n'ont pas donné suite aux demandes d'explications du NYT.

Depuis le mois d'avril, suite au scandale Cambridge Analytica, Facebook a commencé à fermer ce robinet à données dont l'ampleur était méconnue jusqu'à cet article. Il demeure toutefois un certain nombre de partenariats toujours valides.

Mise à jour — Facebook conteste cette présentation des faits. Les constructeurs avaient bien accès aux données des utilisateurs du réseau social, mais cela n'avait aucun rapport avec la controverse entourant Cambridge Analytica.

La société de Mark Zuckerberg explique que ces partenariats ont été établis afin de permettre aux fabricants d'appareils de mettre au point leurs propres apps Facebook. De plus, les données demeuraient « majoritairement » sur les smartphones. Avant le lancement de ces API, en 2007, le concept d'App Store n'existait pas encore et malgré tout les utilisateurs des premiers smartphones étaient demandeurs d'applications Facebook.

« Des entreprises comme Facebook, Google, Twitter et YouTube devaient travailler directement avec les éditeurs de systèmes d'exploitation et les constructeurs pour mettre leurs services entre les mains de leurs utilisateurs », se dédouane Facebook. D'où la création de ces API, mises au point dans l'objectif de répondre au besoin des utilisateurs d'utiliser Facebook « peu importe leur appareil ou OS ».

Facebook l'assure : des garde-fous ont été mis en place pour empêcher les constructeurs d'exploiter ces données, en dehors des apps Facebook développées en interne. « Contrairement à ce que dit le New York Times, les informations des amis, comme les photos, n'étaient accessibles que sur les appareils où les personnes ont pris la décision de partager leurs informations avec leurs amis ».

Ces API spécifiques sont « très différentes » de celles utilisées par les développeurs tiers, qui ne sont pas autorisés à concevoir leurs propres apps Facebook. L'entreprise indique enfin qu'avec la popularité d'iOS et d'Android, la nécessité de ces API est de moins en moins forte (cela fait quelques années maintenant que ces deux plateformes sont majoritaires…), c'est pourquoi Facebook a commencé à en fermer l'accès au mois d'avril.