1000 traceurs en 20 minutes:

une société sous surveillance

Allo, mon téléphone m'écoute

Une enquête de Jean Busché et Sandra Imsand

Avec le soutien d’une bourse attribuée par la Fondation Jordi pour le journalisme

30 août 2023

La FRC, en collaboration étroite avec HestiaLabs, a réalisé une expérience unique en son genre. Elle a analysé les flux de données résultant de l’utilisation de nos smartphones au quotidien. Les résultats sont édifiants.

  • À travers l’utilisation d’applications suisses courantes (information, mobilité, shopping) durant vingt minutes à peine, près de 1000 traceurs ont été envoyés à des entreprises tierces.

  • Beaucoup de ces acteurs ont été identifiés comme étant des data brokers, des courtiers en données dont le modèle d’affaire est basé sur la collecte et la vente d’informations sur les consommateurs.

  • Ces entreprises n’ont aucun lien direct avec les personnes qu’elles surveillent et sont la pierre angulaire d’un système opaque dont la finalité est l’influence des individus.

  • Certains data brokers sont problématiques et ont été condamnés à de fortes amendes à l’étranger pour leurs agissements.

  • Les acteurs suisses qui incluent ces traceurs dans leurs applications se déresponsabilisent par rapport aux problèmes soulevés, voire font preuve d’une attitude dilettante quant à leurs obligations légales.

  • L’ampleur du dispositif déployé pour surveiller puis influencer le consommateur est édifiant, alors que notre expérience ne montre que la pointe de l’iceberg.

Cela vous est probablement déjà arrivé. Autour d’un repas avec des amis, à la pause avec des collègues, dans un groupe dans les transports publics: une des personnes présentes évoque sa passion pour la montagne, son week-end dans une capitale ou encore un nouveau produit récemment testé. S’ensuit une discussion sur le sujet. Plus tard, au moment d’effectuer une recherche internet, de consulter un site d’information ou de se rendre sur un réseau social, des encarts sautent aux yeux, car ils sont en lien direct avec les sujets discutés. Une publicité propose des chaussures de randonnée, des séjours à bas prix dans la ville mentionnée ou une promotion sur le fameux produit évoqué. «On m’espionne, mon téléphone m’écoute!»

La réalité est un peu plus complexe qu’une simple écoute téléphonique passive. Elle fait appel à des fonctionnements de la technologie, à un marché de la publicité très réactif auquel appartient des centaines d’acteurs, aux noms familiers ou totalement méconnus. Des acteurs qui possèdent un nombre faramineux de données concernant chaque personne sur la planète.

La FRC a donc mené l’enquête sur ce qui se passe derrière les écrans des smartphones, lorsqu’ils sont utilisés, mais aussi lorsqu’ils sont simplement posés sur la table ou glissés dans nos poches.

Google sait exactement quand j’ai quitté mon domicile pour la naissance de mon deuxième enfant et combien j’ai passé de temps à l’hôpital.
Paul-Olivier Dehaye, fondateur de HestiaLabs

L’expérience des Martine

C’est une expérience unique en son genre qui s’est tenue dans les locaux de la FRC en mai dernier. En collaboration avec HestiaLabs, projet qui met son expertise au service de la réappropriation des données personnelles, nous avons analysé les flux de données résultant de l’utilisation de nos smartphones au quotidien.  

Concrètement, une vingtaine de personnes ont endossé le rôle de cobaye. Pour l’occasion, ces volontaires ont été pseudonymisées sous l’appellation «Martine» suivie d’un chiffre, afin qu’ils ne soient pas directement identifiables lors de l’examen de leurs données personnelles. Nos Martine ont passé une demi-journée en atelier à analyser ce que Google et Meta savaient de leurs déplacements, faits et gestes. L’expérience a également porté sur les applications qu’ils utilisent quotidiennement. Le but était de comprendre comment leurs recherches, leurs localisations ou encore leur utilisation du wi-fi permettent aux poids lourds du web de tirer des conclusions sur leur vie, comme sur celle de centaines de millions d’autres utilisateurs dans le monde. Au programme, une véritable chasse au trésor qui doit permettre d’identifier qui s’échange des données à propos de chacun d’entre eux. 

«Google sait exactement quand j’ai quitté mon domicile pour la naissance de mon deuxième enfant et combien j’ai passé de temps à l’hôpital», illustre, démonstration à l’appui, Paul-Olivier Dehaye, fondateur de HestiaLabs. En utilisant la géolocalisation, le mastodonte du numérique peut augmenter sa valeur auprès de ses annonceurs. «C’est la preuve que Google amène de l’efficacité, que ses pubs fonctionnent.» Grâce à différentes manipulations, les Martine ont pu télécharger leurs données de géolocalisation, retrouver les recherches effectuées. Et soulever de nombreuses questions et interrogations.  

«Si je paie avec ma carte de crédit dans un magasin, cet achat me géolocalise-t-il à cet endroit pour d’autres entreprises?», s’interroge une Martine. Paul-Olivier Dehaye explique qu’aux Etats-Unis, Google a contracté des partenariats avec les sociétés de cartes de crédit; les regroupements sont possibles. «C’est d’ailleurs un de ses arguments massue pour vendre des publicités. En Europe, on ne sait pas si c’est le cas aussi», ajoute l’expert. Et c’est seulement en effectuant des explorations sur ses données personnelles qu’on peut espérer répondre à ce genre de question.  

Les réactions outrées n’ont pas manqué lors de cet atelier par les participants. «Facebook est une balance», s’exclame ainsi une des Martine, quand elle découvre l’ampleur des ramifications liées au réseau social.

Focus: comment ça marche?

L'enchère publicitaire en ligne est un processus par lequel les annonceurs misent sur l'espace publicitaire disponible sur les sites et les applications. L'enchère se déroule en temps réel, à chaque fois qu'un utilisateur visite une page internet ou ouvre une application. L'annonceur qui remporte l'enchère voit sa publicité s'afficher à l'utilisateur.

Le processus d'enchère publicitaire en ligne se déroule théoriquement en trois étapes:

  • La demande | Les annonceurs indiquent le montant maximum qu'ils sont prêts à payer pour qu'une de leurs publicités s'affiche à un utilisateur donné.

  • L'offre | Les éditeurs d'espaces publicitaires indiquent le montant qu'ils souhaitent obtenir pour un espace publicitaire donné.

  • L'enchère | Un système d'enchères en temps réel (RTB) compare les enchères des annonceurs et des éditeurs pour déterminer l'annonceur qui remporte l'enchère.

Le système d’enchères représente l’écrasante majorité du marché publicitaire en ligne. La valeur de chaque publicité est intimement liée à la qualité des informations disponibles sur la personne à qui elle va être destinée, les chances de conversion augmentant pour l’annonceur lorsqu’un service est proposé au client parfait. On assiste donc à une concurrence quant à la qualité et la précision des profils d’utilisateurs.

Les data brokers recueillent des informations à partir de diverses sources, notamment les dossiers publics, les réseaux sociaux, les sites de e-commerces, l'utilisation d'applications et même parfois leur propre plateforme publicitaire. Ils les compilent ensuite sous forme de profils qui ont divers usages:

  • Publicité ciblée | Les data brokers peuvent vendre leurs services pour cibler des personnes spécifiques recherchées par les annonceurs sur la base de caractéristiques et de comportements.

  • Solvabilité | Les data brokers peuvent vendre des informations aux entreprises chargées d’évaluer la solvabilité des personnes et de déterminer si un prêt est envisageable.

  • Assurances | Les data brokers peuvent vendre des informations aux compagnies, qui les utilisent pour déterminer les montants des primes et la couverture. Par exemple, une compagnie d'assurance peut acheter des données à un courtier en données pour trouver des personnes ayant des antécédents d'accidents de la route.

  • Vérification des antécédents | Les data brokers peuvent vendre des informations aux entreprises qui vérifient les antécédents des candidats à l'emploi ou des locataires. Ces informations peuvent inclure des casiers judiciaires, des parcours professionnels et des informations financières.

  • Études de marché | Les data brokers peuvent vendre des informations à des entreprises qui effectuent des études de marché. Ces informations peuvent être utilisées pour connaître les préférences et les habitudes des consommateurs.

null

Les entreprises derrières nos données

Après avoir observé leurs habitudes d’utilisation et identifié des cas leur paraissant louches dans les historiques de Google, les participants ont été invités à installer Tracker control (TC Slim) sur leurs smartphones Android. Cette application, développée par le département d’informatique de l’Université d’Oxford (GB), a pour but de suivre les collectes de données dans les applications mobiles. Concrètement, elle va rendre transparente une information habituellement indisponible pour l’utilisateur, en d’autres termes: montrer ce qui se passe derrière les écrans et afficher combien d’entités sont en lien avec une application lorsqu’un utilisateur l’ouvre. TC Slim permet en outre de dévoiler à quelle fin sont utilisées les données ainsi partagées et quelles sont les compagnies derrière ce traçage.

Après s’être promenées sur diverses applications suisses ou étrangères durant une petite vingtaine de minutes, nos Martine ont exporté le fichier de leurs traceurs avant que les responsables de HestiaLabs ne les regroupent dans un fichier qui permet d’obtenir une vision détaillée et complète de l’expérience.

Les résultats sont édifiants. À travers l’utilisation d’applications courantes (information, mobilité, shopping) durant à peine vingt minutes par 13 personnes, près de 1000 traceurs ont été envoyés à des entreprises tierces, en général spécialisées dans le marketing en ligne.

«Tous les chemins mènent à Google», commente Paul-Olivier Dehaye en découvrant le graphique final. En effet, la bulle renvoyant à ce géant est clairement disproportionnée par rapport aux autres acteurs. La taille du cercle représente la quantité de données récoltées et l’épaisseur du trait, le nombre d’échanges entre les différents acteurs. Une preuve limpide que Google est un acteur majeur dans la récolte et le traitement des données dans le but d’offrir des publicités qui feront mouche (comprenez: qui provoqueront un achat) auprès des utilisateurs. Mais une analyse plus fine du graphique révèle bien d’autres découvertes.

Focus: les géants Google et Facebook

Facebook et Google apparaissent encore comme les deux leaders clairs du secteur de la publicité en ligne. En 2022, le chiffre d'affaires d'Alphabet Inc. (Google) a été de 282,8 milliards de dollars et son bénéfice de 60 milliards. Quant à Meta (Facebook mais également ses autres services comme Instagram, Messenger ou WhatsApp), le chiffres d’affaires était de 113,6 milliards de dollars l’an dernier. Ces mastodontes, qui font partie du top 10 des sociétés à la plus importante capitalisation boursière au monde, fournissent principalement des services gratuits aux internautes et génèrent l’essentiel (90%) de leurs gigantesques revenus grâce à la commercialisation de services publicitaires aux éditeurs et annonceurs, qui sont fondés sur l’exploitation de volumes colossaux d’informations sur les individus, les éditeurs et les annonceurs. Ces données sont ensuite valorisées et commercialisées par leur intégration à différents services publicitaires. C’est ainsi qu’ils peuvent cibler des segments d’audience, adresser les publicités et fournir des informations sur le déroulement des campagnes pour améliorer les performances.

La particularité de ces deux géants était initialement de pouvoir opérer en circuit fermé, avec l’opportunité de relier leurs profils d’utilisateurs à leurs espaces publicitaires. La révolte contre le poids de ce duopole ainsi que la taille grandissante du marché ont fait exploser le nombre d’acteurs, qu’il s’agisse d’outils fournissant des espaces, de moteurs de mises aux enchères, de data brokers, d'annonceurs ou d’un mélange de ces éléments-clé.

Ce que l’on réalise moins, c’est que ces deux mondes se rejoignent souvent. Si Meta ou Google se défendent de fournir des données individuelles, ils n’empêchent pas par exemple de déverser des données complémentaires sur leur plateforme puis de permettre de cibler chaque individu. Concrètement, cela signifie qu’une assurance peut envoyer ses données concernant une personne sur Instagram pour le retrouver. Que des data brokers possédant un profil identifiant un consommateur avec son mail, son numéro de téléphone ou des identifiants d’appareil peuvent faire de même, pour ensuite vendre une audience spécifique à des annonceurs sous l’œil intéressé de Meta, qui nourrit ses profils et observe les pratiques de la concurrence.

1000 traceurs en 20 minutes

Si nous nous attendions à ce que nombre d’applications partagent des informations avec des tiers, nous avons été surpris par la quantité de traceurs observés ainsi que la multitude d’acteurs impliqués dans cet échange de données.  

Les applications visitées durant l’atelier ont été choisies directement par les participants représentant toutes les catégories d’âges, selon leurs habitudes et intérêts personnels. Notre expérience visait donc à reproduire l’utilisation «normale» de leur propre smartphone. Les données agrégées et analysées par HestiaLabs ont permis de réaliser un certain nombre d’observations. 

  • Toutes les applications observées, sans exception, envoient des données de traçage à des tiers

  • Un nombre important d’acteurs externes internationaux sont impliqués dans la collecte des données des consommateurs suisses. 

  • Certaines applications suisses sont au centre d’un dispositif impressionnant de traçage des internautes. 

  • Même des applications d’apparence anodine récoltent des données.   

Sur les près de 1000 (917 pour être exact) émissions de données identifiées comme des traceurs, près de la moitié sont directement liées à l’analyse des comportements, au traçage, à la (ré)identification des internautes, voire directement au ciblage publicitaire. De plus, 30% sont liées aux contenus et 20% n’ont pas encore été identifiées. 

La presse romande est particulièrement concernée par cette transmission de données auprès des tiers. Le Temps, Blick et Le Matin cumulent ainsi près de la moitié des traceurs observés durant notre expérience.  

Plus surprenant pour nos enquêteurs, l’application des CFF, dont le cœur de métier n’a a priori rien à voir avec la vente d’espaces publicitaires, partage des données à but de marketing, de suivi et de réidentification des utilisateurs à Google et à l’entreprise Adform.

null

Criteo, une entreprise condamnée

Nos applications de tous les jours fournissent donc des informations sur nos comportements et habitudes à des acteurs tiers pour la plupart peu connus. Plongée dans l’univers trouble des publicitaires et data brokers

Outre Google, omniprésent dans l’économie des données et propriétaire d’Android, une kyrielle d’entreprises s’intéressent aux données des Suisses. Une partie d’entre elles sont des data brokers dont le modèle d’affaire est basé sur la collecte et la vente d’informations à propos des consommateurs. Les données ainsi collectées proviennent de multiples sources telles que les applications ou bases de données diverses. Ces entreprises n’ont aucun lien direct avec les individus mais disposent de bases de données sur des millions d’entre eux. L’expérience menée par FRC et HestiaLabs a révélé que les données des Suisses intéressent un très grand nombre de data brokers parmi lesquels des poids lourds du secteur, qui ne se trouvent pas toujours du côté de la loi. 

L’entreprise Acxiom (Etats-Unis), qui collecte des informations à travers l’application du journal Le Temps et Immobilier.ch, est considérée comme le plus gros courtier en données personnelles au monde et affiche un chiffre d’affaires dépassant allégrement le milliard de francs. 

OpenX, basée en Californie, se vante de disposer de plus de 3000 caractéristiques individuelles différentes pour cibler les consommateurs. Dans notre expérience, les applications du Temps, de 20 minutes et de Immobilier.ch envoient un grand nombre de données à cette entreprise.  

Du côté des sociétés européennes, Adform collecte des informations sur les utilisateurs suisses via l’application des CFF, ainsi que celle du Temps et de Blick

Enfin, Criteo (siège en France mais cotée en bourse à New York avec une capitalisation de 1,8 milliard de dollars, ndlr), également spécialisée dans le reciblage publicitaire, est l’un des plus gros courtiers basés ailleurs que sur le sol américain. Le reciblage publicitaire, aussi appelé retargeting, est une technique de marketing en ligne qui permet de viser les visiteurs d'un site web ou d'une page web qui ont manifesté un intérêt pour une marque, un produit ou un service.  

Criteo a fondé sa croissance sur les procédés permettant de cibler un internaute et de lui adresser des publicités spécifiquement liées à ses données de navigation et d’intention d’achat. La société se targue de posséder «la plus grande collection de données commerciales».  

Ses méthodes ont fait l’objet de plaintes. L’entreprise a été condamnée en juin dernier à une amende de 40 millions d’euros par l’autorité française de protection des données (Commission nationale de l'informatique et des libertés, CNIL), notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement. L’entreprise figure dans notre enquête, car ses traceurs ont été observés lors de l’utilisation des applications du Temps et de Immobilier.ch.  

Les données collectées à travers des applications suisses le sont par des tiers majoritairement situés aux Etats-Unis. À ce stade, il est impossible de déterminer où les données sont effectivement stockées et pendant quelle durée, mais il est vraisemblable qu’elles quittent la Suisse pour les USA et sont dès lors soumises au droit américain. 

Le groupe Tamedia, Immobilier.ch, les CFF et beaucoup d’autres alimentent donc un système de surveillance des consommateurs, opaque, souvent à l’insu des individus, via leurs applications.  

Les acteurs locaux sommés de s’expliquer

Depuis toujours, la vente d’espaces publicitaires fait partie intégrante du modèle économique de la presse (en ligne ou papier). Le Temps justifie ainsi sa collaboration avec des partenaires et data brokers sur son application: «[Cette présence] est liée à la monétisation de nos contenus et à l'affichage de publicités sur notre site. Ces sources de revenus nous permettent, en tant que média, de continuer à offrir une information de qualité, des reportages et des enquêtes à nos lecteurs à des prix raisonnables.»

D’autres applications, à l’instar de celle des CFF, collectent des données sans lien avec leur mission première. Interpellée à ce sujet, l’ex-régie fédérale déclare «utiliser le service adserver de Google (Google Ad Manager) pour les annonces publicitaires sur nos sites web et dans nos applications». Selon leurs affirmations, les CFF collectent les données de profil (âge, localité et sexe); les informations contextuelles sur le voyage (lieu, heure et date de départ, jour de la semaine du départ, destination, heure et date d’arrivée, jour de la semaine de l’arrivée, classe de voyage, numéro d’article, zone et type d’abonnement); les sites web consultés, y compris la recherche le cas échéant; les coordonnées GPS approximatives (en réalité la localisation est précise même lorsque l’application tourne en arrière-plan, ndlr) les identifiants de l’utilisateur, identifiant de la publicité, l’adresse IP; les informations sur le navigateur et le système d’exploitation; la marque et le modèle de l’appareil utilisé. Les CFF vendent ainsi de l’espace publicitaire ciblé aux annonceurs et renseignent également l’entreprise Google sur ses utilisateurs.

Notre enquête a également montré un lien entre les CFF et l’entreprise Adform, acteur majeur de la collecte de données en Europe. Mais la réponse des CFF ne fait pas mention de ce partenariat. Les CFF ont d’ailleurs revu leur déclaration de protection des données dont le contenu est désormais instructif quant à l’ampleur de la collecte.

L’implication d’acteurs tiers, qui plus est de data brokers, n’est simplement pas justifiable pour une entreprise détenue par la Confédération, en situation de monopole avec une mission claire qui ne repose pas sur la collecte et le traitement des données de ses usagers dans un but publicitaire. Le fait que l’ex-régie fédéral lie ses informations avec des bases de données externes est particulièrement préoccupant. L’application s’autorise à construire des profils par agrégation avec des données récupérées hors ligne, ou à lier entre eux les profils de différents membres d’un même ménage. Prendre un billet de train, circuler dans une gare, ou créer une Carte Junior ne devrait pas être une occasion de plus pour surveiller des individus et enrichir un profil.

Autre acteur problématique: l’application Immobilier.ch, largement utilisée lors de la recherche d’appartements, de maison et de locaux à vendre et à louer en Suisse. Alors qu’il a été identifié comme l’un des acteurs transmettant des données à des entreprises tierces, pour certaines vraiment peu recommandable, le «portail des professionnels romands de l'immobilier» n’a pas répondu à nos sollicitations. La FRC encourage fortement Immobilier.ch à questionner ses pratiques.

Le Temps revoit sa politique de consentement, pas ses pratiques

Dans le cas de la presse, il est intéressant de lire comment les médias présentent le ciblage publicitaire, le rendant plus attractif: «publicité personnalisée», «publicité qui vous intéresse», «livraison efficace de publicité en ligne».

L’expérience menée sur l’application du Temps a montré un nombre très préoccupant de partenaires et d’échanges avec des entreprises externes. Interrogé à ce propos, le média annonce avoir effectué des changements. «Depuis la date de votre analyse, le 16 mai 2023, nous avons mis en place une CMP (Consent management platform, interface de recueil du consentement des utilisateurs, ndlr) sur notre site web et notre application et la plupart des entreprises citées dans votre mail n'ont plus d'accès sur nos plateformes. L'étude mentionnée dans votre mail est donc caduque à ce jour, et ne représente pas nos pratiques actuelles.» Face à cette réponse, la FRC a reproduit l’expérience le 21 août, afin d’observer les progrès annoncés. Selon notre analyse, l’application du média envoie toujours autant de données à des entreprises externes et data brokers. Les grands acteurs tels que Criteo ont toujours accès à certaines données pour un but de ciblage et reciblage. Au vu des changement annoncés par Le Temps, comment expliquer que ces entreprises aient toujours accès aux données des utilisateurs? Réponse: «En effet, nous avons dû conserver certains échanges avec des plateformes tierces afin de continuer à gérer la monétisation de notre site web et l'affichage de publicités sur notre site.»

Quant à 20 Minutes et Le Matin, interrogés sur la transmission importante de données personnelles à des entreprises tiers, ils n’ont pas jugé bon de répondre à nos questions. Dans la mesure où leurs applications transmettent un nombre impressionnant de données à des tiers, il est indispensable que les médias prennent leurs responsabilités et soient plus transparents.

Focus: le suisse Aymo cible au mètre près

En Suisse, l’entreprise Aymo, filiale de APG/SGA, propose du ciblage publicitaire basé sur la géolocalisation des personnes. Un système qui joue selon nous sur la notion de consentement de l’utilisateur.

Les applications liées au groupe Tamedia (La Tribune de Genève, Le Matin, 24 Heures), Blick, Watson ainsi que d’autres médias alémaniques et tessinois et l’application Alarme météo sont partenaires de cette entreprise spécialisée dans le ciblage publicitaire. Elles envoient en temps réel à Aymo les données de géolocalisation des personnes qui utilisent leur application afin de permettre aux annonceurs de cibler les individus sur un périmètre arrêté «au mètre près».

Concrètement, Aymo définit des zones cible (appelées polygones) avec ses clients, pour définir le type de population à toucher. Quand un utilisateur se connecte dans le polygone établi, il est automatiquement «marqué» et peut être atteint à nouveau ultérieurement dans un autre lieu avec une publicité ciblée. Aymo se vante de disposer des données en temps réel «des principales applications suisses» traitant chaque jour 3,8 millions de points de géolocalisation.

L’entreprise cite sa collaboration avec les pharmacies Benu au moment du lancement de leur carte de fidélité en été 2018. Les potentiels clients se trouvant dans un périmètre de 500 mètres autour des pharmacies étaient touchés par une publicité contextualisée. Une franche réussite, à en croire le site internet d’Aymo: «Cette campagne a connu un véritable succès. Le trafic du site a été multiplié par cinq et plus de 50000 cartes de fidélité ont été commandées en quelques semaines, se félicite ainsi le responsable communication de Benu.

Le procédé est légal: au premier démarrage de l’application, l’utilisateur a donné son accord pour indiquer son emplacement (aussi lorsque l’application en question n’est pas active) Cependant, en ce faisant, était-il vraiment conscient que cette demande ne servait potentiellement pas seulement à lui proposer des articles d’information ou des prévisions météorologiques concernant sa région mais aussi des publicités qui le suivent à la trace dans ses déplacements?

capt_aymo.jpg

La gestion de ces données ne relève plus de notre responsabilité, mais est soumise aux réglementations de protection des données propres à chaque entreprise concernée.
Blick

Une responsabilité dissoute dans les CGU

Notre expérience met en évidence des pratiques qui relèvent de la publicité comportementale: la collecte massive d’informations sur les consommateurs afin de cibler, voire anticiper leurs intérêts. À ce stade, les pratiques des différents acteurs identifiés par la FRC et HestiaLabs soulèvent un certain nombre de problèmes.

Tout d’abord, du point de vue du consentement des utilisateurs: le fait d’accepter les conditions générales d’utilisation (CGU) ne signifie pas d’être conscient et informé de l’ampleur de la collecte des données personnelles, ni de leurs implications. Considérant l’opacité du système de surveillance des consommateurs et le nombre d’acteurs impliqués, l’adhésion aux CGU ne se fait pas d’une manière éclairée.

Ensuite, l’opacité savamment entretenue de cette économie de surveillance brouille les pistes pour les consommateurs. La complexité de l’écosystème bâti sur l’examen attentif des comportements en ligne laisse l’individu bien désarmé: le consommateur ne sait pas quel acteur détient quelles informations, où ces dernières sont stockées, avec quelles autres entreprises elles sont partagées ni les points de collectes concernés. Ainsi l’utilisateur est privé de tout contrôle sur ce qui lui appartient.

Enfin, on assiste à une double déresponsabilisation des entreprises. D’une part, celles qui intègrent des traceurs de tiers dans leurs applications considèrent que les données ainsi collectées sont désormais de la responsabilité de leurs partenaires (ici des courtiers). «La gestion de ces données ne relève plus de notre responsabilité, mais est soumise aux réglementations de protection des données propres à chaque entreprise concernée», répond notamment Blick. Pas mieux chez Fnac : «Les informations recueillies par Fnac Darty pour son propre compte en lien avec les réseaux sociaux sont régies par les présentes conditions et les conditions spécifiques des applications Fnac Darty. En revanche, Fnac Darty n'est pas responsable de l'utilisation ultérieure qui est faite de vos données par les réseaux sociaux pour leur propre compte.»

De l’autre, les data brokers se déresponsabilisent lors de la récolte du consentement des utilisateurs. Il appartient, par exemple, au Temps ou à Immobilier.ch d’informer les consommateurs quant aux catégories de traitement des données collectées sans nécessairement donner le nom des acteurs impliqués. Ainsi, Acxiom, Criteo et autres ne sont pas directement identifiés dans leurs agissements. En résumé, les tiers impliqués dans la collecte massive des données personnelles ne sont pas en contact direct avec les consommateurs, sont basés à l’étranger et sont couvertes par les CGU des applications qui ne les nomment même pas.

Les individus ont le droit d’exiger des entreprises qu’elles soient claires, honnêtes et transparentes sur la manière dont leurs données personnelles sont collectées et utilisées. Et ce même lorsque ces entreprises n’ont pas de relation directe avec les consommateurs. Cette transparence doit exister à tous les échelons de la collecte au traitement des données personnelles.

Participez: Faites votre Martine

Rien de plus efficace pour réaliser l’étendue des «mouchards» que d’en faire l’expérience soi-même. En utilisant un téléphone Android sans précaution concernant la récolte de données, un passage par myactivity.google.com et «historique des positions» permet de découvrir le traçage relativement précis réalisé par Google.

À peine plus technique, l’installation de TC Slim via Google Play met en évidence les traceurs présents dans chaque application sur un téléphone Android. Attention cependant à ne pas laisser la surveillance opérer en continu au risque de limiter les performances du mobile.

TC Slim n’a malheureusement pas d’équivalent sur iPhone. Le système d’exploitation de Google est en effet plus ouvert, ce qui en fait une plateforme de choix pour observer les communications masquées au cœur de cette enquête. Il ne s’agit pas pour autant de tirer des conclusions de cette ouverture. Le modèle d’affaire d’Android repose en partie sur la publicité, privilégiant gratuitement des solutions Google qui favorisent le traçage. Côté Apple, l’opacité totale ne permet pas de faire de bilan à l’heure actuelle.

Un exemple illustre parfaitement ce système de ciblage publicitaire. Depuis l’arrivée en Suisse du fournisseur chinois Temu, impossible d’ouvrir un moteur de recherche ou un réseau social sans voir une publicité pour un produit vendu par l’application spécialisée dans les produits à bas prix. Il suffit de faire le test pour se rendre compte que les articles proposés par Temu diffèrent en fonction des intérêts de chacun, afin de susciter l’intérêt et d’encourager les internautes à télécharger l’application – preuve que le système marche, elle a déjà été installée plus de 50 millions de fois, rien que depuis le Google Play Store. Ces offres, très variables d’un utilisateur à un autre, illustrent l’exploitation de données personnelles grâce à un budget marketing très conséquent.

HestiaLabs met à disposition des outils qui vous permettent de réaliser l'expérience et d'envoyer des demandes d'accès directement à l'adresse https://digipower.academy/.

Demandes d'accès envoyées

Le résultat de l’atelier était très surprenant, il a fallu ensuite (ré)agir. Les Martine ont ainsi fait valoir leur «droit d’accès» à leurs données. Selon la loi, une personne peut demander à une entreprise si des informations la concernant sont traitées et – si nécessaire – les faire effacer ou rectifier. Nos participants ont donc saisi l’occasion d’interpeller les sociétés identifiées lors de l’exploration pour savoir ce qu’elles détiennent comme information, mais aussi pour savoir quelles données les concernant ont été transmises aux data brokers. Chacun a donc envoyé entre une et sept demandes, adressées au service identifié comme étant responsable du traitement. Ce message, extrêmement détaillé, rappelle la législation en vigueur sur le plan suisse, européen et international, en demandant des réponses concernant les données, leur stockage ainsi que les tiers y ayant accès avec comme preuve l’heure de transmission de même que les noms des destinataires identifiés par l’expérience.

Au total, 13 participants ont envoyé 40 demandes auprès de 28 entreprises, dont 20 basées en Suisse. En vertu de la Loi sur la protection des données, les entreprises avaient 30 jours pour réponses aux questions figurant dans le message.

Pas de réponse trois mois plus tard

Première surprise, pour certaines des entreprises ciblées, les services présentés comme étant ceux traitant de la protection des données ne sont pas correctement identifiés. Ainsi le contact trouvé sur le site de RTS n’était visiblement pas valable. Un premier obstacle qui démontre déjà à quel point les sociétés sont mal équipées pour répondre à ces demandes.

 La suite ne s’annonce pas mieux. Quasi aucune entreprise n’a répondu dans le délai légal de 30 jours. Quelques entités ont demandé un délai supplémentaire, autorisé par la loi, dans leur accusé de réception. Mais un grand nombre de Martine ont dû faire des relances en rappelant les dispositions légales. Trois mois et demi plus tard, certaines des entreprises n’ont toujours pas répondu! Ainsi Martine3, qui a écrit à 20 Minutes et aux CFF le 16 mai, n’a jamais obtenu ne serait-ce qu’un accusé de réception, malgré une relance. Un comportement léger, surtout quand l’expérience montre que 20 Minutes envoie des données servant au ciblage et reciblage à pas moins de six sociétés (Google, Integral Ad Science, AT&T, OpenX, CasaleMedia et Facebook) et que l’ex-régie fédérale est en contact avec deux entreprises actives dans le milieu (Google et Adform). Bonnet d’âne aussi à 24 Heures, qui n’a pas répondu à la demande du 16 mai émanant de Martine11, malgré une relance effectuée directement auprès du Rédacteur en chef le 31 mai dernier. Un manque de transparence et une non-conformité à la loi que ces entreprises feraient bien de régler.

Une réponse légale, mais glaciale

Vaudoise Assurances est une des rares entreprises à avoir répondu dans les délais à toutes les questions posées. Dans un premier message, elle rappelle qu’elle ne traitera la demande que sous l’angle du droit suisse, à savoir l’article 8 LPD (Loi sur la protection des données), qu’elle ne répondra que selon ses obligations légales et que la demande pourrait occasionner des frais. «Je me permets d'attirer votre attention sur le fait que Vaudoise Assurances est légalement autorisée à exiger le paiement d'une participation financière aux coûts qu'engendrerait votre demande si la communication des renseignements demandés occasionne un volume de travail considérable (art. 2 al. 1 let. b OLPD). Ce montant est de 300 CHF au maximum (art. 2 al. 2 OLPD). Je vous informerai en temps voulu si votre demande répond à cette condition.» S’il n’y a rien à redire sur le plan légal de cette réponse, l’accueil fait à une personne souhaitant savoir ce qu’il est fait de ses données personnelles est plutôt de nature à dissuader ce genre de demande, alors que l’interlocuteur est aussi dans son bon droit.

Environ trois semaines plus tard, l’assurance répond ne traiter aucune donnée sur notre volontaire, Martine9, et explique de façon assez détaillée la façon dont les annonceurs utilisent ses données sur Facebook. «[La mention] Remarketing Custom Audience: True signifie que vous avez été touché par les campagnes de retargeting (les campagnes qui ciblent les individus ayant regardé nos vidéos sur Meta et/ou interagi avec un de nos contenus sur Meta et/ou a visité notre page Facebook/Instagram et/ou consulté notre site internet). Ces audiences de retargeting sont disponibles sur un maximum de 180 jours.» Impossible en revanche d’en savoir plus, car les données sont collectées et stockées par Meta, sur des serveurs aux Etats-Unis. Seule solution, remonter la chaîne et demander directement à Meta, en se basant sur la législation américaine. Et ainsi de suite en fonction des différentes entités intervenant dans le commerce juteux des données de Martine9.

Cet exemple illustre parfaitement le parcours du combattant que doit entreprendre l’utilisateur pour obtenir enfin des éléments. Et encore, cette réponse est une des trop rares à être complète et envoyée dans les délais.

Aujourd’hui il nous est impossible au vu du grand nombre de nos sous-traitants de vous lister avec précision la liste exacte des sous-traitants ayant été destinataires de vos données personnelles.
Fnac

Renvoi vers les conditions générales

D’autres entreprises ne se sont pas embarrassées d’autant de détails. La société japonaise ITO Technologies, qui fabrique le podomètre de notre volontaire Martine11, l’a simplement renvoyée vers sa page internet traitant de la politique de confidentialité sans répondre aux questions concrètes liées posées dans le message. «En ce qui me concerne, l’expérience a été très intéressante et innovante. Je n’aurais jamais cru que mon podomètre détenait autant de données et me suivait à la «trace»: pour qui, pour quoi? Cela me paraît irréel, commente l’intéressée. Ça devient de plus en plus agaçant, voire irritant. Pour ma part, si je peux, je continue sans accepter les cookies sur les sites ou je n’y vais pas!»

Les outils pour recevoir ces demandes ne sont pas non plus toujours adéquats, comme par exemple des formulaires au nombre de caractères limité, qui ne peuvent pas recevoir une demande détaillée. Sur le site de Fnac Suisse figure une adresse e-mail de contact pour les demandes d’accès. Suite à quoi, l’utilisateur reçoit un message générique en retour. «Nous vous informons que cette adresse e-mail est exclusivement destinée à émettre des messages automatiques. Pour exercer vos droits d'accès, de portabilité, de rectification, d'opposition et de suppression, nous vous invitons à démarrer un chat avec un conseiller sur la page de la politique de protection des données personnelles Fnac en cliquant sur l'image.» Le chat avec ses moyens limités est-il vraiment le bon outil pour traiter des demandes sur les données? Après des recherches supplémentaires, notre volontaire a trouvé une autre adresse e-mail, ce qui lui a permis d’obtenir des réponses à ses questions. En tout cas, les efforts demandés ne facilitent pas la vie de l’utilisateur.

Pour les Martine, les réponses obtenues sont frustrantes. En effet, les entreprises contactées se sont limitées aux quelques informations contenues dans leur base de données, quand il y en avait. Or les demandes concernaient un tout autre point, à savoir les tiers qui communiquent avec les applications et les données transmises et détenues par ces derniers. Et à ces questions, nos Martine ont obtenu bien peu de réponses. Ainsi Martine13, particulièrement active dans ses demandes de droit d’accès, a relancé à plusieurs reprises ses interlocuteurs. Mais aussi bien chez Raiffeisen que chez Phonak, SuisseMobile ou encore RTS, impossible d’aller au-delà de quelques bribes d’informations. Le Temps a été un peu plus loin dans sa réponse, indiquant que des données ont effectivement été transmises à des tiers, chez Parse.ly et les hits publicitaires. «Les informations fournies à Parse.ly sont anonymisées et permettent d'assembler le trafic généré par vos lectures autour d'un visiteur anonyme. Cela signifie que les informations transmises sont agrégées pour donner un aperçu du comportement des utilisateurs, sans identifier individuellement qui a lu quoi. Les «hits» sont des requêtes d'informations envoyées aux serveurs publicitaires. Bien que ces hits ne transmettent pas directement des informations personnelles, ils permettent aux publicitaires de reconnaître certaines traces laissées par les utilisateurs sur leurs plateformes. Cela peut être utilisé, par exemple, pour le retargeting publicitaire, où des annonces spécifiques sont affichées en fonction de vos activités en ligne.»

Dans sa réponse, Fnac donne plus de détails, et a pris le temps de répondre point par point au message envoyé. Mais même là, les détails sont chiches: «En ce qui concerne votre demande sur la liste de «tout tiers auquel mes données ont été révélées». Aujourd’hui il nous est impossible au vu du grand nombre de nos sous-traitants de vous lister avec précision la liste exacte des sous-traitants ayant été destinataires de vos données personnelles.» L’entreprise, basée en France, indique que des transferts hors Union Européenne sont réalisés notamment au Maroc et à Madagascar «pour le service client (call center)», et aux Etats-Unis «pour des prestations informatiques, prévention de la fraude, exploitation des données en lien avec les réseaux sociaux.» Elle annonce également travailler «actuellement à la mise en place d’une liste communicable de nos principaux sous-traitants.»

Un timide début pour commencer à comprendre comment fonctionne cette nébuleuse des données.

En bref, les réponses obtenues par nos Martine concernaient les données traitées par les applications qu’elles utilisent. Ces données comprennent la plupart du temps les coordonnées comme nom, prénom, adresse et courriel. Il a fallu relancer les entreprises pour demander les réponses concernant les données transmises aux autres entités. Même là, les réponses étaient vraiment décevantes, car les rares retours ne concernaient que les liens avec Meta et Google, sans faire référence aux autres data brokers impliqués dans la collecte des données. Ainsi, même si Le Temps mentionne Parse.ly dans sa réponse à Martine13, il collabore aussi avec Criteo et de nombreux autres acteurs, mais aucune mention n’est faite de cette entreprise dans les réponses fournies aux utilisateurs.

Focus: nLPD à partir du 1er septembre

La nouvelle Loi sur la protection des données entre en vigueur le 1er septembre. Accouchée au forceps par le Parlement, elle s’inspire en partie du RGPD (règlement général sur la protection des données) sans malheureusement aller aussi loin.

La première loi fédérale sur la protection des données date du 19 juin 1992. Elle est entrée en vigueur à l’été 1993, à une époque où internet n’était pas encore utilisé à des fins commerciales et où rien ne laissait présager la réalité numérique d’aujourd’hui, caractérisée par l’omniprésence des smartphones. Avec la révision partielle en 2008, qui avait pour but de mieux informer la population sur le traitement de ses données, il est rapidement apparu que le développement technologique fulgurant rendait d’autres adaptations nécessaires. À l’automne 2017, le Conseil fédéral a approuvé le projet d’une révision totale de la loi. Six longues années plus tard, elle entre en vigueur.

Le législateur a introduit les concepts de privacy by design et de privacy by default (art. 7 nLPD). Ces principes visent à garantir que la protection de la vie privée soit intégrée dès la conception et par défaut dans tous les produits et services qui traitent des données personnelles.

La violation de ces deux principes n’entraîne néanmoins pas de sanction directe, si ce n’est que le Préposé fédéral à la protection des données (PFPDT) pourra ordonner au responsable du traitement de mettre en œuvre ces principes.

Le droit d’accès des personnes est également renforcé et les pouvoirs du PFPDT légèrement élargis malgré des moyens qui demeurent largement insuffisants.

Au contraire des autorités européennes de protection des données, le nouveau droit n’accorde toujours pas de pouvoir de sanction au PFPDT. Les contrevenants seront punis par les autorités cantonales de poursuite pénale, avec des possibilités d’amendes qui frisent le ridicule en comparaison européenne. Avec le RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial. En Suisse l’amende est plafonnée à 250 000 francs.

De plus, la révision de la LPD s'est concentrée sur la responsabilité privée (individuelle) plutôt que celle des personnes morales, ce qui en limite la portée.

Impossible de remonter la piste

Le constat est malheureux, mais il reflète la loi. En effet, le droit d’accès tel que prévu dans la LPD ne permet pas de faire la lumière sur les data brokers dans la mesure où le responsable de traitement (ici l’entreprise) ne doit pas transmettre les noms des entités avec lesquelles il travaille. «Le droit prévoit deux composantes, à savoir un droit de savoir, le fait pour une personne concernée par un traitement de demander au responsable du traitement si des données la concernant sont traitées ou non, mais également un droit d’être renseigné qui prévoit que le responsable du traitement communique à la personne concernée certaines informations, commente Livio di Tria, juriste spécialisé en nouvelles technologies et co-fondateur de swissprivacy.law. Parmi ces informations, le responsable du traitement doit communiquer à la personne concernée les «catégories de données personnelles traitées», ainsi que «les catégories de destinataires des données». Le responsable du traitement n’a donc pas besoin de transmettre l’identité des destinataires. Ce manque est vraiment dommageable, car il empêche le consommateur de remonter la chaîne de ses données.

La nouvelle Loi sur la protection des données (nLPD), qui entre en vigueur le 1er septembre 2023, apporte toutefois quelques changements à ce propos. «Le droit d’être renseigné a été complété par le législateur. Désormais, il est notamment prévu que le responsable du traitement fournisse à la personne concernée, le cas échéant, «les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées», explique Livio di Tria. Dans ce cas, comment faire pour obtenir le nom des destinataires et pas simplement une information vague concernant leur catégorie?  «Il appartient à la personne concernée, lorsqu’elle exerce une demande de droit d’accès, de demander l’identité des destinataires de façon précise, analyse l’expert. En ce qui concerne le règlement général sur la protection des données (RGPD), qui contient une disposition similaire, la jurisprudence de la Cour de justice de l’Union européenne a expressément reconnu qu’il appartenait effectivement à la personne concernée de choisir entre l’identité et les catégories de destinataires. Selon moi, la même logique prévaut en droit suisse.»

La nouvelle loi permettra-t-elle d’améliorer le manque de transparence intrinsèque à la collecte indirecte de données par des tiers? Pas sûr. Car la Suisse et l’Europe ont adopté des approches fondamentalement différentes, souligne Livio di Tria. «En Europe, tout traitement de données personnelles n’est licite qu’à condition de disposer d’une base juridique. En Suisse, un traitement est autorisé sauf s’il enfreint la protection de la personnalité régie par le Code civil.» Cela signifie notamment que Criteo, condamné à une forte amende en France, ne l’aurait pas été en Suisse… L’entrée en vigueur de cette nLPD devrait néanmoins fournir des outils supplémentaires pour documenter la surveillance des consommateurs.

La croissance des interactions en ligne a révolutionné nos habitudes et apporte avec elle des défis et des conséquences qui doivent être regardés bien en face.
Sophie Michaud Gigon

Conclusions

Quelle méthode est acceptable pour influencer quelqu’un, pour l’amener à accepter une proposition ou à adhérer à une certaine opinion? «À la FRC, nous accompagnons l’évolution de la consommation dans tous les domaines. La croissance des interactions en ligne a révolutionné nos habitudes et apporte avec elle des défis et des conséquences qui doivent être regardés bien en face. Quant à la pub, la FRC continue à vouloir la limiter et l’identifier par rapport à l’info», souligne Sophie Michaud Gigon, appuyant sur le danger de l''influence au-delà de l'acte d'achat. Espionner les faits et gestes et réunir des informations sur les goûts et préférences à travers une multitude de points de collecte sans en informer le consommateur, n’est-ce pas aller trop loin?

L’ampleur du dispositif déployé pour surveiller puis influencer le consommateur est édifiant, alors que notre expérience ne montre que la pointe de l’iceberg.

«La transmission de données à des tiers dans le cadre de l'utilisation d'applications ou d'usages comparables (comme p. ex. les sites web) occupe le PFPDT depuis un certain temps déjà, expliquent les services du Préposé. Nous partageons votre avis selon lequel cette problématique soulève différentes questions de protection des données.»

Il est scandaleux que toutes les applications testées contribuent plus ou moins massivement à l’espionnage des individus pour leur propre compte ou pour celui d’acteurs dont le modèle économique est la surveillance et l’influence des consommateurs. Pire, la déresponsabilisation de chacun de ces acteurs alimente et renforce l’opacité du système. Les individus ne savent pas qui détient des informations sur eux ni de quelle nature elles sont; surtout, ils ne disposent pas d’outils légaux suffisants pour obtenir les renseignements auxquels ils auraient droit. La réalité est kafkaïenne.

Les CFF, Le Temps, Le Matin, Immobilier.ch et beaucoup d’autres sont responsables de contribuer à un système délétère. Car même si la publicité comportementale ciblée permet, selon ses défenseurs, «aux clients de ne voir que des annonces qui les intéressent» elle permet avant tout aux marques d’influencer les internautes tout en s’accaparant une ressource rare: l’attention. Les data brokers possèdent toujours plus d’informations et donc, potentiellement, de pouvoir, sur les individus.

«On voit bien que le problème implique beaucoup d'acteurs différents qui sont de mèche pour se décharger mutuellement de leurs responsabilités. La loi et le Préposé sont vraiment à la traîne, et ont depuis longtemps concédé de nombreuses zones d'obscurité et de non-droit, commente Paul-Olivier Dehaye, fondateur de HestiaLabs. En revanche, la recherche de transparence peut être toxique pour certains modèles d’affaires au sein de cet écosystème. En effet, un citoyen qui est en mesure de faire valoir ses droits de manière stratégique dispose d’un levier puissant grâce à cette transparence. Refuser cette transparence, c’est risquer un dégât d'image important qui éclabousse vite par simple association. Les entreprises suisses jouent différemment de leur réputation que les GAFAM (acronyme des géants du Web: Google, Apple, Facebook, Amazon et Microsoft, ndlr), le risque est grand pour elles. À l'heure où la population commence à se positionner pour promouvoir le concept d'intégrité numérique, on peut rêver que les entreprises du pays commencent à prendre en compte leurs responsabilités plus sérieusement.»

Les revendications de la FRC

À ce stade, les revendications de la FRC concernent avant tout les entreprises suisses complices des loups du web que sont Google, Acxiom, Criteo, OpenX, etc.

1) Prendre le problème au sérieux. Les entreprises ont trop souvent traité les demandes LPD reçues par les enquêteurs FRC de manière dilettante. À ce niveau, la loi doit être appliquée avec diligence et sérieux.

2) Agir de manière éthique. Il convient de limiter la collecte et l’implication de tiers. Ne pas travailler avec des entreprises condamnées ou impliquées dans des scandales. Si la loi Suisse peut être défaillante en matière de protection des données, chaque acteur sanctionné sur la base du RGPD doit devenir persona non grata.

3) Être proactives dans l’Information aux consommateurs. Fournir des CGU ou une déclaration de protection des données indigeste au sein de laquelle les partenaires ne sont pas nommés ne constitue pas une information permettant d’obtenir un véritable consentement.

4) Pas de flicage inutile! Ne pas collecter de données simplement parce que la technologie le permet. Si la vente de publicité ne fait pas partie du modèle d’affaires d’une entreprise, il n’y a aucune raison valable pour qu’elle contribue à la surveillance des consommateurs.

La FRC va continuer à remonter la piste de nos données personnelles chez les data brokers afin de faire peu à peu la lumière sur ce système de surveillance dont les implications vont bien au-delà des problèmes posés par la publicité. Nous multiplierons les demandes d’accès, afin de contraindre les acteurs de cette surveillance à plus de responsabilité et de transparence.

«L’appareil législatif est toujours en retard par rapport à la réalité, constate Sophie Michaud Gigon, Secrétaire générale de la FRC. La LPD en est un bon exemple, elle est dépassée face aux défis avant même son entrée en vigueur. Pour faire face à ces problèmes, l’Union Européenne a lancé le Digital service act qui propose des pistes intéressantes. La Suisse doit également se pencher sur la manipulation numérique (voir dossier dark patterns, ndlr), la responsabilité des plateformes et surtout, le marché des données et ceux qui en profitent.»

Nettoyer devant sa porte: traçage à la FRC

Le site de la FRC utilise le CMS Wordpress et la solution de boutique Woocommerce qui nécessitent des cookies traçant l’utilisateur pour leur fonctionnement. Les statistiques sont gérées en interne l’outil via Matomo. Hormis la recherche du site via Google Search et des vidéos Youtube intégrées dans certaines pages, aucun cookie de publicité ciblée n'est utilisé ou transmis à des tiers.

L’association a néanmoins recours à des publicités sur Facebook et Instagram utilisant la géolocalisation pour la promotion de ses contenus éditoriaux en Suisse romande.

L’application FRC Cosmétiques développée en 2018 avec UFC Que choisir comprend les librairies de Google (Analytics mais aussi AdMob), sans proposer de publicité.