L'Union européenne a encore du chemin à faire en matière de protection des données personnelles sur Internet, selon une étude publiée mi-mars par une entreprise danoise. Selon elle, malgré le règlement général sur la protection des données (GDPR), 89 % des sites web gouvernementaux et 52 % des pages web de services de santé publique contiennent des traceurs de publicité commerciale qui agissent en secret.
« Ce rapport révèle comment les programmes d'identification utilisent des techniques inventives pour accéder à des sites web non commerciaux en utilisant des services tiers gratuits, tels que des plug-ins vidéo et des boutons de partage social. Ces résultats indiquent que de nombreux autres sites web non financés par la publicité pourraient également servir involontairement de plates-formes de surveillance en ligne », indique le rapport.
Un constat qui a poussé l'ancien rapporteur fictif sur le GDPR pour le groupe ADLE, Sophie in’t Veld (néerlandaise), et l'actuel rapporteur sur la confidentialité des communications électroniques, Birgit Sippel (S&D, allemande), à interpeller le Comité européen de la protection des données (EDPB) et la Présidence roumaine du Conseil de l'UE. Dans une lettre datée du 27 mars, les deux députées appellent l'Union européenne à réagir. Elles s'interrogent notamment sur de possibles inspections coordonnées entre l’EDPB et les autorités nationales de protection des données (DPA).
Des résultats effrayants
L'étude a été réalisée par l'entreprise danoise Cybot, spécialisée dans la gestion des cookies et du consentement en ligne, avec le soutien de l'organisation de défense des droits sur Internet (EDRi). Elle a examiné les sites web officiels des administrations publiques des États membres de l'UE (184 683 pages au total) et une petite centaine de pages liées à la santé publique dans 6 États membres.
Sa conclusion est sans appel : plus de 100 entreprises de technologie publicitaire surveillent systématiquement et de manière invisible les citoyens européens lorsqu'ils visitent les sites de leurs administrations publiques nationales ou lorsqu'ils accèdent à des pages de services de santé publique sur des sujets sensibles tels que la grossesse, la santé sexuelle, le cancer ou la maladie mentale. Une fois collectées, ces données peuvent être revendues via des courtiers en données à des entreprises de l'industrie publicitaire ou non.
Pour les sites des administrations, en particulier, Cybot a découvert des traceurs sur les sites web de 25 sur 28 États membres ; l'Allemagne, les Pays-Bas et l'Espagne étant les seuls à ne pas en avoir. Le plus grand nombre de sociétés de traçage était présent sur les sites web des administrations publiques françaises (52), lettones (27), belges (19) et grecques (18). Google contrôle les trois principaux domaines de suivi trouvés dans cette étude : YouTube.com, DoubleClick.net et Google.com.
Pour les sites liés à la santé publique, c'est l'Irlande qui se classe au pire rang, avec 73 % des pages de destination contenant des traceurs ; ce, alors que les informations sensibles sur l’état de santé d’une personne font partie de données dites de catégorie spéciale qui sont soigneusement protégées en vertu de l’article 9 du GDPR. À nouveau, sur les 6 pays étudiés, l'Allemagne fait figure de meilleur élève.
L'étude peut être consultée sur : https://t.co/9alDS9kiMX. (Sophie Petitjean)