Le volume de données collectées et partagées par les acteurs du web rend presque impossible l'effacement de données personnelles, c'est ce que déclare l'association UFC-Que Choisir qui a publié une étude récente appelée « Protection de données personnelles - les consommateurs pris au piège du big brother commercial ».
L'étude a révélé que les données personnelles collectées sur les dix sites les plus populaires de France sont partagées plus de 4 000 fois avec plus de 1 000 tiers. Chose étonnante pourtant, ces tiers qui collectent les données restent inconnus des consommateurs. Qui est à l'origine de ce trafic ? Ce sont les fournisseurs de publicité en ligne et les courtiers de données, dont l'activité principale est le suivi et l'analyse du comportement des consommateurs/internautes à des fins de profilages publicitaires. Cette pratique est d'ailleurs courante dans l'industrie de la publicité en ligne.
Un écosystème de publicité en ligne sibyllin
Lorsqu'un internaute visite un site web ou utilise une application qui affiche des publicités, des données personnelles sont collectées en quasi-permanence par une multitude d'acteurs dans une chaine de valeurs assez complexe, grâce à des technologies de pistage, dont les cookies tiers ne sont les représentants les plus connus. Par conséquent, l'internaute partage ses données avec des centaines d'entreprises en un simple clic.
L'écosystème de publicité en ligne par lequel les internautes sont submergés à chaque visite de site web peut être illustré de la manière suivante :
Dans ce système, 3 acteurs jouent un rôle clef :
- Le SSP (Supply-Side Platform)1 où les éditeurs des sites web visités par les internautes publient leurs inventaires d'espace publicitaire ;
- L'Ad Exchange qui est une marketplace pour l'achat et la vente des espaces publicitaires inventoriés ; et
- Les DSP (Demand Side Platform)2 plateforme à disposition des annonceurs pour configurer leurs campagnes publicitaires et définir des conditions pour l'achat d'espace publicitaire.
Nul n'est censé ignorer qu'en 2020 la CNIL a publié des lignes directrices3 et des recommandations4 concernant le recours aux traceurs et notamment des modalités de recueil du consentement des internautes par les acteurs du web. Force est de constater que de nombreux acteurs ne tiennent pas (totalement) compte de ces préconisations...
Le droit d'effacement inefficace
Pourtant, le droit d'effacement, prévu par l'article 17 du RGPD permet aux personnes concernées de demander à un organisme de supprimer leurs données personnelles.
Cependant, malgré la multiplicité des moyens d'exercer ce droit (voie électronique5, courrier, ou autre), l'étude montre que la réalité est bien différente. En effet, 54% des 1 040 tiers examinés ne fournissent aucun moyen de contact ou ignorent simplement les demandes d'effacement qui leur sont adressées. Plus subtilement, ils peuvent aussi mettre en place des démarches supplémentaires excessives pour dissuader la personne concernée.
Un écosystème qui ne permet pas aux utilisateurs une réelle maîtrise de leurs données personnelles
L'étude met en exergue une stratégie des acteurs du web consistant à submerger l'internaute avec des conditions générales d'utilisation inintelligibles et interminables, qu'il doit accepter (en totale contradiction avec l'article 12 du RGPD et la doctrine de la CNIL).
Les acteurs du web utilisent des pratiques non-transparentes pour influencer des internautes lorsqu'ils doivent prendre des décisions concernant leur vie privée ou leurs droits.
Certains acteurs ont par exemple recours aux "dark patterns", une interface conçue pour manipuler l'utilisateur avec des cases pré-cochées ou l'absence de boutons pour refuser le partage de données entravant la liberté de son consentement.
La raison de ces manipulations est toute simple : la publicité ciblée rapporte 50% de plus que la publicité non ciblée. C'est d'ailleurs pour cette raison que de nombreux sites nous imposent des cookies wall hybrides (mélange cookie et pay wall) pour nous inciter à accepter les cookies de publicité ciblée.
Dans tous les cas, on souhaite bon courage à la CNIL française et aux autorités européennes de manière générale car plus on creuse plus on se rend compte que réguler ce marché de la publicité en ligne revient quasiment à vider la mer avec une petite cuillère...
Footnotes
1. Le SSP est une plateforme d'optimisation des ventes publicitaires qui aide les éditeurs à monétiser leurs espaces ou applications publicitaires
2. Plateforme qui aide les annonceurs à acheter des espaces publicitaires en ligne
3. Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019
4. Délibération n° 2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »
5. Formulaire, adresse électronique, bouton de téléchargement etc
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
