Le Conseil norvégien des consommateurs a lancé, mardi 14 janvier, un pavé dans la mare, en dévoilant son enquête 'Hors de contrôle', qui montre comment « les consommateurs sont exploités par l’industrie de la publicité en ligne ».
Le rapport de 186 pages passe au crible dix applications mobiles sur Androïd - dont les quatre applications célèbres de rencontres Tinder, OkCupid, Grindr et Happn - et montre qu’elles partagent les données personnelles de leurs utilisateurs avec au moins 135 entreprises tierces. Celles-ci utilisent ensuite ces données à des fins de ciblage publicitaire ou de profilage comportemental en ligne.
Prenons l’exemple de l’application de rencontres LGBTI Grindr, qui s'était déjà retrouvée au cœur d'un scandale en 2018, après avoir partagé avec des prestataires extérieurs des données sensibles de ses utilisateurs, notamment leur statut VIH et la date de leur dernier test de dépistage.
L'enquête montre que l'application partage l'adresse IP, l'identifiant publicitaire, la localisation GPS, l'âge, le sexe et même parfois « le type de relation recherché » de ses utilisateurs, avec un grand nombre d'entreprises tierces impliquées dans la publicité et le profilage.
La filiale de Twitter, MoPub, a d'ailleurs été utilisée pour une grande partie de ce partage de données, avant de les transmettre ensuite à plusieurs entreprises publicitaires, dont beaucoup se réservent le droit de partager les données qu'elles collectent avec leurs partenaires, selon le rapport.
Selon Finn Myrstad, chargé de la politique numérique au sein du Conseil norvégien des consommateurs, « ces pratiques sont incontrôlables et en violation de la législation européenne sur la protection des données ».
La collecte et l'utilisation des données ne reposent en effet sur aucun consentement juridiquement valable des utilisateurs au sens du règlement général sur la protection des données (GDPR).
Les utilisateurs n'ont généralement aucune idée de l'existence même de ces entreprises. Par ailleurs, aucune de ces applications n'offre la possibilité de refuser le partage de ses données à des tiers, à moins de rejeter les conditions d'utilisation et donc, de renoncer à utiliser l'application.
Les autorités européennes interpelées
Sur la base de ce rapport, le Conseil norvégien des consommateurs a déposé plusieurs plaintes auprès de l’autorité norvégienne de protection des données contre Grindr et cinq entreprises de publicité en ligne : MoPub, AppNexus, Open X, AdColony et Smaato pour violation du règlement ‘GDPR’.
L’organisation noyb dirigée par l'activiste autrichien Max Schrems, qui l’a assisté dans l’analyse juridique et la rédaction des plaintes, a indiqué qu’elle allait, elle aussi, dans les prochaines semaines, déposer des plaintes similaires auprès de l’autorité autrichienne de protection des données.
Bien conscientes que les utilisateurs eux-mêmes ont peu d’options pour empêcher ce partage massif de leurs données, plus de 20 organisations de protection des consommateurs et de la société civile en Europe, aux États-Unis, en Russie et en Nouvelle-Zélande ont demandé à leurs autorités nationales d'enquêter sur ces pratiques de l'industrie de la publicité en ligne.
C’est notamment le cas du Bureau européen des unions de consommateurs (BEUC). « La législation de l'UE en matière de protection des données est un outil puissant pour défendre les consommateurs contre les entreprises qui ne respectent pas leur vie privée. Les autorités chargées de la protection des données doivent prendre des mesures contre ceux qui enfreignent les règles », a déclaré sa directrice, Monique Goyens, dans un communiqué.
Le BEUC a par ailleurs adressé une lettre aux commissaires européens Margrethe Vestager, Thierry Breton et Didier Reynders ainsi qu'au Comité européen de la protection des données et au Contrôleur européen de la protection des données, leur demandant de prendre des mesures contre la « surveillance commerciale systématique et illégale permise par le modèle commercial de la publicité ».
De son côté, le Conseil norvégien des consommateurs a exhorté les entreprises dont le modèle commercial dépend de la publicité en ligne à chercher des solutions alternatives, par exemple par le biais de technologies qui ne reposent pas sur la collecte et le partage généralisés de données personnelles.
Voir le rapport : https://bit.ly/2tgihBT (Marion Fontana)