par Matteo ANTONI, étudiant du Master 2 Droit des médias électroniques
Dans le cadre de la « Journée européenne de la protection des données » et de sa campagne « Je ne suis pas une data », l’UFC-Que Choisir a publié une étude alarmante révélatrice de l’étendue de la collecte et du partage de données personnelles sur le Web.
Cette étude a pour but de sensibiliser et de prévenir les consommateurs face aux pratiques préoccupantes de collecte et de partage massif de données personnelles sur le Web. Ainsi les tests effectués sur une dizaine de sites parmi les plus fréquentés en France démontrent que les données personnelles collectées « sont partagées plus de 4 000 fois avec plus de 1 000 tiers, souvent des fournisseurs de publicité en ligne et des courtiers en données. »
Ces acteurs, largement inconnus des consommateurs, opèrent grâce au real-time bidding (RTB), une technologie publicitaire omniprésente sur les sites web et applications qui repose sur une collecte intensive de données à travers des pratiques souvent qualifiées de trompeuses et agressives, notamment en utilisant des conditions générales d’utilisation complexes et difficiles à comprendre.
Une surexploitation des données personnelles afin d’inciter à la (sur)consommation
L’étude va mettre en lumière la création de profils publicitaires extrêmement détaillés, résultant de l’analyse poussée des comportements des consommateurs par des algorithmes sophistiqués, liés le plus souvent à la manipulation du libre choix des consommateurs vis-à-vis de l’utilisation de ses données, via le recours aux dark patterns. Ces profils vont alors inclure des détails très personnels, allant des habitudes de consommation à des aspects intimes tels que la santé mentale ou la situation financière.
Un exemple va être pris : celui de la filiale de Microsoft spécialisée dans la publicité, qui classe les consommateurs en fonction de plus de 650 000 traits de personnalité et situations personnelles. Ces données sont ensuite utilisées pour créer des publicités extrêmement ciblées, exploitant la personnalité, l’état d’esprit et les vulnérabilités psychologiques des consommateurs.
Pour rappel, Meta a déjà été contraint par le Comité européen pour la protection des données de cesser d’exploiter les données personnelles des utilisateurs à des fins publicitaires.
L’UFC-Que Choisir va alors souligner que cette pratique conduit à une surestimation constante des consommateurs, les incitant à des achats impulsifs souvent non nécessaires. Face à cette réalité, elle exhorte les sites internet et applications collectant des données à faire preuve de transparence sur leur utilisation, et à garantir aux consommateurs un accès et un contrôle effectifs sur leurs données personnelles transmises à des tiers.
Bien que le cadre réglementaire du Règlement Général sur la Protection des Données (RGPD) exige le consentement des consommateurs pour la collecte et le traitement de leurs données, la plupart des entreprises utilisent des pratiques trompeuses pour obtenir ce consentement.
Le « droit à l’oubli », une pratique complexe et inconnue du public
De plus, le RGPD prévoit en son article 17 un Droit à l’effacement («droit à l’oubli»), cependant, comme le rapporte l’étude, il est extrêmement difficile pour les consommateurs de faire effacer leurs données une fois qu’elles ont été collectées. L’UFC-Que Choisir décrit ce processus comme un véritable “parcours du combattant”, où les consommateurs doivent identifier les sites tiers, trouver la liste des données partagées, et tenter de contacter ces sites, une démarche souvent infructueuse.
Cette révélation met en lumière l’urgence de renforcer la réglementation et d’instaurer des mesures concrètes pour protéger les droits des consommateurs face à la collecte abusive et au partage excessif de leurs données personnelles.
L’UFC-Que Choisir appelle alors à une action collective et à une transparence accrue de la part des entreprises pour restaurer la confiance des consommateurs dans l’utilisation de leurs informations personnelles en ligne.
Sources:
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679