Alors que Facebook payait le mois dernier une amende record de 5 milliards de dollars suite au scandale de Cambridge Analytica, le groupe est aujourd’hui au coeur d’un nouvelle polémique, cette fois-ci au sujet d’Instagram. HYP3R, un partenaire publicitaire d’Instagram, aurait collecté sans leur accord les données de millions d’utilisateurs.
Qu’est-ce que HYP3R ?
HYP3R est une plateforme de marketing géolocalisée basée à San Francisco. Elle permet aux entreprises de “déverrouiller des données géosociales pour acquérir et engager des clients à haute valeur ajoutée.” Autrement dit, l’entreprise collecte des données de localisation sur les réseaux sociaux et s’en sert à des fins de ciblage publicitaire.
Par exemple, si quelqu’un poste une photo depuis un hôtel, HYP3R peut collecter cette donnée grâce à la localisation. Cette personne pourra alors, par la suite, être ciblée par l’un des concurrents de l’hôtel.
HYP3R à l’origine d’un scandale concernant les données des utilisateurs d’Instagram
Comme de nombreuses plateformes, Instagram dispose d’une API (Interface de Programmation d’Applications), qui permet aux développeurs d’intégrer des fonctionnalités propres à Instagram dans d’autres applications. À l’origine, cet API rendait la recherche de publications publiques pour un lieu donné possible. Cependant, suite au scandale Cambridge Analytica, Instagram a restreint les fonctionnalités de son API, surtout en ce qui concerne les outils de localisation, causant alors un chaos pour des entreprises comme HYP3R. Aujourd’hui, l’API officielle permet uniquement l’accès aux comptes professionnels, soit une part infime des utilisateurs Instagram et ne donne en aucun cas accès à des données de localisation.
Si HYP3R a publiquement salué le choix d’Instagram de protéger ses utilisateurs, l’envers du décor est un peu plus sombre : l’entreprise a profité de son statut privilégié auprès du groupe Facebook pour mettre en place un système de collecte de données contraire à la politique d’Instagram. Les stories — des publications qui sont supposés disparaître après 24 heures — n’ont jamais été disponibles via l’API d’Instagram, mais HYP3R a créé un outil pour les collecter, ainsi que les métadonnées qui y sont associées. Par ailleurs, l’entreprise s’est permise de collecter des informations telles que les bios d’utilisateur et leur followers, des posts localisés et tout type de données publiques (les comptes privés n’ont pas été touchés).
De cette collecte massive résulte la création d’une base de données sophistiquée sur les utilisateurs d’Instagram, leurs intérêts et leurs déplacements, qu’HYP3R vante ouvertement auprès de ses clients comme l’un de ses principaux arguments de vente, bien que cela soit tout à fait contraire à la politique d’Instagram.
HYP3R n’a jamais caché la nature de ses activités, mais ses multiples violations de la politique d’Instagram, révélées hier par Business Insider, lui ont valu une exclusion définitive de la liste des partenaires marketing de Facebook. L’entreprise s’est défendue en rappelant que les données collectées sont déjà publiques, et on ne peut effectivement pas qualifier son comportement d’illégal. Néanmoins, il semblerait que Facebook ait appris de ses erreurs et accorde désormais une réelle importance à la protection de ses utilisateurs. Evidemment, Instagram a pris les mesures nécessaires pour sécuriser son interface.