Dans le cadre de la journée européenne de la protection des données, et dans le prolongement de sa campagne « Je ne suis pas une data », l’UFC-Que Choisir rend publique aujourd’hui une étude alarmante quant à l’ampleur de la collecte et du partage de données opérés par les acteurs du Web, permettant un profilage des consommateurs et les exposant à un véritable pistage à des fins commerciales constant dans le seul objectif de leur afficher des publicités ciblées. En conséquence, l’association exige de garantir aux consommateurs un véritable contrôle sur leurs données personnelles collectées et partagées par des entreprises en ligne.
Un consommateur qui consulte à peine dix sites web est pisté plus de 4 000 fois
Chaque jour, les données personnelles des consommateurs sont traquées, vendues et utilisées à leur insu. Les tests de l’UFC-Que Choisir démontrent qu’en consultant à peine une dizaine de sites parmi les plus fréquentés en France, les données personnelles collectées sont partagées plus de 4 000 fois, avec plus de 1 000 tiers.
(Sur un échantillon de 10 sites web, l’UFC-Que Choisir a répertorié la présence de 1 040 tiers, cumulant un total de 4 332 occurrences (certains d’entre eux étant présents sur plusieurs sites). Les tests ont été effectués sur les 10 sites suivants : 20minutes.fr, allocine.fr, cdiscount.fr, leboncoin.fr, lemonde.fr, marmiton.org, meteofrance.com, orange.fr, programme-tv.net, yahoo.com. Ces sites sont classés parmi les 50 sites les plus consultés en France, selon les mesures de Similarweb.)
Ces entreprises, largement inconnues des consommateurs, sont des fournisseurs de publicité en ligne et des courtiers en données, dont l’activité principale est le pistage et l’analyse du comportement des consommateurs à des fins publicitaires. Ce partage massif de données personnelles est alimenté par un système d’enchères en temps réel, ou real-time bidding (RTB), une technologie publicitaire présente sur presque tous les sites web et applications.
La publicité ciblée exploite les données personnelles des consommateurs pour les inciter à la(sur)consommation
Grâce à cette technologie de pistage sophistiquée et omniprésente, les marchands de données personnelles sont capables de créer un profil publicitaire précis de chaque consommateur, exposant des détails allant de ses habitudes de consommation à sa situation financière ou son état de santé mentale. Par exemple, la filiale de Microsoft spécialisée dans la publicité classe les consommateurs en fonction de plus de 650 000 traits de personnalité et situations personnelles.
Nombre de ces traits sont très personnels, voire intimes, tels que « réceptif aux messages émotionnels », « problèmes d’argent », « dépendance au jeu de hasard », « dysfonction érectile », « dépression », « gros acheteur de test de grossesse », « sympathisant de syndicats », ou encore « dépendance aux opioïdes ».
Ainsi, les algorithmes analysent minutieusement les comportements de navigation, les préférences et les historiques d’achats pour créer des annonces profilées, de nature à inciter les consommateurs à succomber à des achats impulsifs. Cette pratique d’exploiter les vulnérabilités psychologiques et de créer un sentiment de besoin immédiat et de satisfaction instantanée conduit à une surstimulation constante des consommateurs, les poussant à acheter des produits dont ils n’avaient peut-être même pas besoin.
La publicité ciblée en ligne se révèle ainsi être facteur d’une consommation déraisonnée. S’y ajoute le risque concret de piratage des données et d’actes cybercriminels au détriment de la vie privée des consommateurs, qui est multiplié par la circulation constante de données personnelles entre des milliers d’entreprises.
Les droits des consommateurs de refuser la collecte et demander l’effacement de leurs données personnelles sont systématiquement bafoués
Face à ces dérives, 84 % des consommateurs ne sont pas favorables au pistage et à la monétisation de leurs comportements en ligne. Pourtant, les entreprises usent de pratiques trompeuses et agressives pour obtenir leur consentement.
Elles ont par exemple fréquemment recours aux dark patterns, ces fameuses interfaces conçues pour manipuler le libre choix des consommateurs (des cases pré-cochées, ou encore l’absence de boutons pour refuser le partage de données). Par ailleurs, une autre stratégie classique consiste à submerger le consommateur dans des conditions générales inintelligibles et interminables, qu’il est ensuite demandé d’accepter. Lire l’intégralité des conditions de Facebook, un des mastodontes de la publicité en ligne, rendrait en effet pas moins de 2 heures et 45 minutes, sans compter le fait qu’il s’agit d’un verbiage incompréhensible pour le consommateur non expert juridique !
Si une fois pris au piège les consommateurs ont en théorie le droit de demander l’effacement de leurs informations, notre étude montre que, dans les faits, cela relève du mirage. D’une part un parcours du combattant s’impose à eux, puisqu’ils sont contraints de se souvenir de tous les sites web qu’ils ont consultés, de fouiller les politiques de confidentialités pour trouver la liste de tiers avec lesquels leurs données ont été partagées, de se rendre un par un sur leurs sites (majoritairement en anglais) et de recueillir les adresses électroniques des personnes à contacter.
D’autre part, même une fois les tiers identifiés, l’enquête de l’UFC Que Choisir montre que l’effacement de ses données est quasi-systématiquement impossible.
Sur plus de 1 000 tiers examinés, plus de la moitié d’entre eux (54 %) ne proposent aucun moyen de contact ou ignorent tout simplement les demandes qui leur sont adressées. Et ceux qui répondent dissuadent pour la plupart les consommateurs en exigeant des démarches supplémentaires excessives, comme l’envoi d’une copie d’une pièce d’identité ou d’une déclaration sur l’honneur.
Au vu de ces constats, l’UFC-Que Choisir, soucieuse de garantir aux consommateurs une réelle maîtrise de leurs données personnelles, exige des sites internet et applications qui les collectent une véritable transparence sur l’utilisation qui en est faite, et, de garantir aux consommateurs un accès et un contrôle sur les données personnelles qu’ils ont transmis à des tiers.
Par ailleurs, l’association rappelle que dans le cadre de sa campagne « Je ne suis pas une data », elle met à disposition des consommateurs un outil gratuit leur permettant de découvrir ce que les plateformes en ligne savent sur eux et de reprendre la main sur leurs données personnelles.