Cases précochées, bouton «refuser» enfoui sous des couches de réglages: les sites internet usent de nombreux stratagèmes pour obtenir le consentement des internautes à la récolte de leurs données personnelles, qui leur permettent de proposer des publicités ciblées aux annonceurs, et donc de se rémunérer. Selon une étude réalisée par des chercheurs du MIT, de l’UCL et de l’université d’Aarhus, plus de 88% des sites internet violent le Règlement général sur la protection des données pour inciter leurs utilisateurs à accepter la collecte de leurs informations personnelles, ces fameux cookies qui aiguisent l’appétit des entreprises.
Adopté en 2016, le RGPD fixe un cadre au niveau européen qui régule la façon dont les données personnelles - âge, adresse, habitudes de consommation, informations médicales... - des citoyens doivent être traitées. Leur récolte fait notamment l’objet de règles strictes et ne peut être effectuée sans le consentement libre, explicite et éclairé de l’internaute. C’est tout l’objet des pop-up, bannières et autres formulaires qui fleurissent sur les sites web depuis l’entrée en application du RGPD en mai 2018. Ils doivent respecter les recommandations de la Commission nationale de l’informatique et des libertés, chargée de faire appliquer le RGPD en France. Mais il arrive souvent que ce ne soit pas le cas, révèlent les chercheurs qui ont observé la façon dont 10 000 sites britanniques - dont la majorité fait appel à des plateformes de recueil de consentement qui leur fournissent des solutions clé en main - demandent aux internautes la permission d’enregistrer leurs données. Souvent en dehors du cadre légal.
Ainsi, seule la moitié d’entre eux proposent l’option de se soustraire à la collecte en un clic à l’aide d’un bouton «refuser tout». Et dans 74% des cas, ce bouton est enfoui dans le formulaire de recueil du consentement, au lieu d’être affiché à côté du bouton qui permet d’accepter le recueil des données. Ce dernier figure, lui, souvent en bonne place et est indiqué de façon visible. Ou alors pas du tout, quand les créateurs des sites internet considèrent que le simple fait de naviguer dessus vaut consentement, en violation direct du RGPD, qui n’autorise que certaines exceptions. C’est le cas dans 32% des cas.
Cases précochées
Les cases précochées qui nécessitent une action de l’utilisateur pour retirer son consentement sont également une occurrence régulière sur les sites, puisque les chercheurs en ont trouvé dans 56% des cas. Or, elles sont explicitement interdites par un jugement rendu en octobre 2019 par la Cour de justice de l’Union européenne qui, saisie par la justice allemande, rappelle que le consentement des utilisateurs doit être «libre, spécifique, éclairé et univoque».
«La grande majorité des plateformes de recueil de consentement font en sorte que refuser la collecte de ses données personnelles demande bien plus d’efforts que d’accepter», expliquent les chercheurs, qui ont estimé que l’absence du bouton “ne pas récolter” sur la page d’accueil du site fait monter de 22% le taux de consentement à la récolte des données personnelles. Un gain direct pour les sites internet financés par la publicité, qui peuvent ainsi vendre des réclames ciblées, et donc plus chères, aux annonceurs.
Mais les sites internet ne sont pas les seuls fautifs en la matière. Une enquête réalisée par le Conseil norvégien des consommateurs se penche, elle, sur la façon dont les applications de rencontre comme Grindr, OkCupid ou Tinder forcent les utilisateurs à céder leurs données personnelles, et partagent des données sensibles comme leur orientation sexuelle à de multiples entreprises sans qu’ils en aient conscience. «Cette surveillance commerciale à large échelle met nos droits fondamentaux en danger et peut être utilisée pour discriminer, manipuler ou exploiter. Cet espionnage systématique risque de dégrader la confiance des utilisateurs dans les services numériques», regrette le Conseil.
La CNIL serre la vis
Ces études arrivent à point nommé, alors que la CNIL lance une consultation publique sur son projet de recommandation concernant le recueil des données personnelles. Jusqu’à présent, la Commission restait patiente avec les organismes concernés par le RGPD et se bornait la plupart du temps à leur donner des sanctions symboliques en cas de manquement, dans un esprit de pédagogie.
Elle peut pourtant imposer des amendes allant jusqu’à 4% du chiffre d’affaires. Mais elle va rarement jusque-là. L’amende de 50 millions d’euros imposée à Google en janvier 2019 pour des manquements à son obligation d’informer les internautes sur le traitement de leurs données n’équivaut ainsi qu’à 0,05% des revenus annuels du géant du numérique.
Présidente de la CNIL en février 2019, Marie-Laure Denis a fait de l’application du RGPD une de ses priorités, estimant que la CNIL s’était montrée trop patiente envers les entreprises. Aujourd’hui, elle semble prête à passer la seconde et appelle les organismes concernés par le RGPD à se mettre à la page. «La conformité des acteurs du numérique est très insuffisante, déclare-t-elle aux Échos. Il doit être aussi facile d’accepter que de refuser un cookie, ce qui n’est souvent pas le cas aujourd’hui.»
Source : Le Figaro