Le réseau social assure qu’il s’agissait d’un bug qui a été corrigé. 

Que ça soit sur Facebook ou sur Instagram, il est possible de demander une copie de l’ensemble de ses données collectées par la plateforme. Cela comprend autant les photos publiées que les messages envoyés sur la plateforme. Lorsque le chercheur en cybersécurité Saugat Pokharel a eu recours à cette fonctionnalité sur Instagram, il s’est rendu compte que son dossier contenait des photos et d’autres données qu’il avait supprimées un an auparavant. Pourtant, Instagram assure que les clichés postés, puis supprimés de sa plateforme ne sont pas conservés sur ses serveurs – bien qu’il y ait une petite subtilité, mais on y reviendra. Il y a donc un problème quelque part.

En octobre dernier, lorsque le chercheur a informé Instagram de sa trouvaille, le réseau social lui a assuré qu’il s’agissait d’un et que celui-ci serait corrigé. Le problème a en effet été corrigé plus tôt ce mois-ci, soit près d’un an après sa découverte. Instagram a offert 6.000$ au chercheur en récompense pour l’avoir informé du bug.

Un mea-culpa forcé

Sans la fonctionnalité qui permet à un utilisateur de télécharger toutes ses données, le bug n’aurait peut-être jamais été découvert ni révélé au grand public. Cet outil avait été introduit en 2018 sur Facebook et Instagram afin que les deux réseaux sociaux soient en accord avec la réglementation de l’Union européenne concernant la confidentialité des données personnelles. Le RGPD exige en effet que les citoyens de l’UE puissent avoir accès à leurs données et d’en avoir une copie.

Un porte-parole du réseau social a indiqué à TechCrunch qu’aucune preuve d’abus n’avait été détectée et que le problème avait été depuis résolu. Difficile de savoir si le problème en question était effectivement un bug de l’application ou si Instagram a recours à des pratiques douteuses.

Une suppression tardive

Que ça soit sur Facebook ou Instagram, les utilisateurs restent propriétaires de leur contenu – retrouvez notre dossier dédié ici –, donc quand ils suppriment des photos ou des conversations, ils sont en droit de s’attendre à ce que ces données disparaissent sans concession. Dans les faits, la suppression de photo ou de message n’est pas tout à fait effective.

Si les photos et messages n’apparaissent plus pour l’utilisateur, les deux réseaux sociaux conservent les données supprimées durant une période de 90 jours sur leurs serveurs. Or, plusieurs chercheurs en cybersécurité ont découvert des failles dans ce délai de suppression. Sur Twitter, des messages directs ont ainsi été conservés pendant des années sur les serveurs du réseau social après leur suppression.