Depuis la nouvelle législation européenne en matière de protection des données personnelles, les plaintes contre les Gafam, les cinq géants du web, s’accumulent. En cause : ils continuent de piller nos données en masse, des réseaux sociaux aux contenus de nos e-mails.

Vous souvenez-vous du flot d’e-mails qui a inondé vos boîtes de réception il y a quelques semaines ? « La protection des données personnelles est un enjeu important », nous assurait les expéditeurs, avant de nous inviter à consulter leur « nouvelle politique de confidentialité » comme un homme politique qui revient en clamant qu’il « a changé ». Pourtant, ces changements n’ont rien à voir avec leur bonne volonté mais avec le Règlement européen sur la protection des données personnelles (RGPD), effectif depuis le 25 mai dernier.

Voté en 2016, ce texte contraint les entreprises, associations et organismes publics à obtenir le consentement explicite des internautes avant de réclamer leurs données personnelles. Finies les cases précochées ou les textes écrits en tout petit sur les sites pour « accepter les cookies »… en théorie. Mais certains semblent ne pas s’y résigner. Comme les Gafam (Google, Amazon, Facebook, Apple et Microsoft), tout aussi accro à nos données que nous le sommes à leurs services.

Le webdesign au service du capitalisme

Les géants du web utilisent des « pièges » à clics pour berner les utilisateurs à livrer le maximum de données les concernant,  or noir du monde numérique et fondement de leur modèle économique. On les appelle des « dark patterns », terme inventé par le webdesigner anglais Harry Brignull en 2010, intraduisible en français. Cette expression (expliquée dans la vidéo ci-dessous) qualifie toutes les astuces pensées dans l’interface d’un site internet pour « capturer l’utilisateur, l’amener sur le site et faire en sorte qu’il y reste », définit le webdesigner français Geoffrey Dorne. Utilisés depuis longtemps par les sites d’e-commerce, les « dark patterns » prennent tout d’abord la forme de suggestions de produits basées sur ceux que l’on a consultés. Quel rapport avec les Gafam ? Parmi les catégories de « dark patterns » identifiées par Harry Brignull, on trouve le « Privacy Zuckering », ou « Zuckerage de la vie privée » : « Lorsque vous êtes poussé à partager toujours plus d’informations sur vous-mêmes que vous ne l’aviez prévu. » Si typique sur Facebook que Harry Brignull lui a donné un sobriquet qui rappelle le créateur du réseau social numéro un.

Heureusement, les choses ont changé depuis l’arrivée du RGPD. Les premiers à se targuer de respecter la nouvelle législation étaient les Gafam. Vraiment ? Ce ne sont pas les conclusions du rapport « Deceived by design » (« trompé par sa conception même »), réalisé entre avril et juin par le réactif Conseil norvégien des consommateurs sur les pratiques de Facebook, Google et Windows 10.

Gafam et données personnelles : incitation ou manipulation ?

« Nous voulions regarder le processus du consentement », commence Finn Myrstad, directeur des services numérique de l’organisation. Ce que le Conseil a trouvé : « Les trois services utilisent des techniques pour encadrer l’information. » Et par là, Finn Myrstad veut dire des astuces peu éthiques. Outre les gros boutons bleus pour accepter tout en bloc qui éclipsent les options beaucoup plus discrètes pour « gérer les paramètres » de manière plus détaillée, le Conseil reproche aux trois services de diriger  l’utilisateur de manière insidieuse là où ils veulent l’emmener. Par exemple, Google culpabilise la personne qui refuserait d’activer la géolocalisation arguant qu’elle leur permet de leur proposer des suggestions plus appropriées, donc plus ciblées. En général, il ne lui en faut pas plus pour se plier à la volonté du géant.

Pire, le Conseil norvégien des consommateurs dénonce des mensonges par omission sur la publicité ciblée. Facebook présente ainsi la reconnaissance faciale comme un outil « qui aide les malvoyants et qui protège des utilisateurs malveillants » sans ajouter qu’elle leur sert aussi à cibler encore plus les publicités affichées.

A ce sujet, Geoffrey Dorne, va d’ailleurs plus loin que le rapport : pour lui, toutes ces technologies de reconnaissance – faciale ou digitale – relèvent du domaine de la vie privée et ne devraient pas servir à s’authentifier : « Si je me fais pirater un mot de passe, je le change, j’en invente ou j’en génère un nouveau. Par contre, le jour où je me fais pirater la reconnaissance de mon visage – par une photo affichée en 3D par exemple – je ne pourrai pas la changer. Mon empreinte digitale, non plus. »

Ce diaporama nécessite JavaScript.

Selon le rapport, Windows 10 semble plus respectueux du consentement des utilisateurs que les deux autres. Néanmoins, Microsoft fait bien sentir, par les mots utilisés, que la publicité ciblée est une chose positive et que s’en passer serait dommage car « le nombre de pubs que vous verrez ne changera pas, mais celles-ci pourraient être moins pertinentes pour vous ». Un tel langage vous décourage ? Normal, c’est le but.

Ces exemples, et bien d’autres encore, vont à l’encontre de l’obligation de consentement libre et explicite caractérisé par le RGPD. Pire, pour ceux qui ne veulent pas accepter de se livrer un peu, Facebook ne propose une seule option : supprimer son compte. Cette alternative extrême est interdite si l’on en croit le RGPD.

FireShot Capture 013 - Create infographics & online charts -_ - https___infogram.com_app_#_downloa
Conclusions du rapport « Deceived by design »

« Nous espérons que les Gafam changeront leurs méthodes, qui peuvent être vues comme manipulatrices, pas du tout éthiques », souffle Finn Myrstad. Le Conseil norvégien des consommateurs travaille avec d’autres organisations similaires dans les pays européens, comme l’UFC-Que choisir en France, pour faire pression et hisser ces mauvaises pratiques à l’agenda politique. Quant à savoir si elles sont illégales et répréhensibles, Finn Myrstad s’en remet aux organismes de régulation: « Nous avons envoyé des lettres aux autorités compétentes, la Commission nationale de l’informatique et des libertés (Cnil) en France. »

La Cnil affirme avoir reçu la lettre et l’avoir « partagée avec les autres autorités européennes » mais admet qu’il « n’y a pas de réponse apportée pour le moment… » Finn Myrstad nous a également transmis la réponse de Google et de Facebook, qui lui proposent d’en discuter au retour de vacances. Une réunion en vidéoconférence entre le Conseil norvégien et les multinationales est prévue pour début septembre.

« C’est un problème de modèle économique »

« Je ne sais pas si dénoncer le design de ces sites est la meilleure stratégie… », commence timidement Arthur Messaud, juriste à La Quadrature du Net, association luttant pour la protection des données. Il développe : « Nous avons entendu parler de ce rapport. C’est jouer à leur jeu que de tirer de telles conclusions. Le problème n’est pas dans le design ou le langage utilisé. C’est un problème de modèle économique. Ces acteurs pensent qu’on peut acheter des libertés fondamentales. En utilisant leurs services, le consentement ne sera jamais valide. »

Geoffrey Dorne acquiesce : « Le modèle économique des sites internet est encore majoritairement basé sur la publicité ciblée. Ils ont donc besoin de beaucoup d’audience pour gagner de l’argent. » D’où le besoin de capturer l’utilisateur. Coûte que coûte.

Pour le webdesigner, la réponse se trouve chez l’internaute, qui doit chercher des alternatives aux Gafam. Il salue notamment la campagne « Dégooglisons internet » de l’association française Framasoft ou encore le modèle économique basé sur l’abonnement, citant le site d’investigation sur les enjeux numériques Reflets comme exemple (mais on peut aussi penser à Mediapart).

Plus de 1 000 plaintes en un mois

Arthur Messaud, lui, veut se battre sur le terrain de la loi. Depuis ce jour, les plaintes en tout genre auprès de la Cnil ont bondi : l’organisme a reçu 1 046 réclamations entre le 25 mai et le 30 juin, contre une moyenne mensuelle d’à peine 700 en 2017. Une augmentation de 43%.

Trois jours seulement après l’arrivée du RGPD, La Quadrature du Net a envoyé à la Cnil cinq plaintes collectives contre Google, Amazon, Facebook, Apple et LinkedIn. « Ces entreprises pouvaient déjà être poursuivies car elles ne respectaient pas toujours le caractère libre du consentement, souligne le juriste. Mais nous avons attendu le RGPD pour faire en sorte que les débats soient très concrets, avec une vraie base légale. Nous avions aussi besoin du texte pour mener des plaintes collectives. » Cet arsenal juridique a en effet été créé par la nouvelle législation européenne. L’association française est soutenue par 12 000 internautes dans ces actions en justice déposées auprès de la Cnil, qui a promis un retour d’ici un mois – que la Quadrature attend toujours.

Si le gendarme du numérique considère les plaintes recevables, elle les confiera aux autorités des pays européens dans lesquels les Gafam sont installés : la Data Protection Commission en Irlande pour Google, Facebook et Apple et la Commission nationale luxembourgeoise pour la protection de données pour Amazon. Le siège de Microsoft Europe, lui, est basé en France. L’organisme concerné mènera alors son enquête. Une fois fixé, le chef européen des Cnil, le Comité européen de la protection des données (CEPD), prendra une décision, avec un vote à la majorité s’il y a des désaccords. « Nous sommes les tout premiers à leur envoyer des plaintes collectives, précise Arthur Messaud. Avec nous, ils essuient les plâtres. »

FireShot Capture 015 - Create infographics & online charts -_ - https___infogram.com_app_#_downloa

Après le greenwashing, le privacy-washing

Contactée par téléphone, l’entreprise Amazon France assure qu’elle a toujours respecté la loi et qu’elle est conforme au RGPD. Microsoft et Google nous ont promis une réponse, pour l’instant sans résultat. Facebook et Apple n’ont pas encore répondu malgré de multiples relances.

Sans attendre un processus qui peut «prendre entre un et deux ans» selon Arthur Messaud, la Quadrature compte envoyer quatre autres plaintes collectives à la Cnil. Cette fois-ci, les services visés sont Whatsapp, Instagram, Android, et deux services de Microsoft, Outlook et Skype.

«Comme il y a du greenwashing, on a aujourd’hui du privacy-washing, où le respect de la vie privée devient un argument commercial, analyse Geoffrey Dorne. Ce n’est pas toujours vrai, c’est même parfois malhonnête.»

Récemment, Google a écopé d’une amende de 4,3 milliards d’euros par l’Europe pour abus de position dominante. Or, la firme de Mountain View serait susceptible de payer une somme similaire avec la plainte de la Quadrature, affirme l’association. Un autre activiste du net, l’Autrichien Maximilian Schrems, évalue à 7,6 milliards d’euros l’ensemble des sanctions si ses quatre plaintes (contre Android, Instagram, Whatsapp et Facebook) sont jugées en sa faveur. En attendant, la prochaine fois qu’on vous assure respecter vos données, veillez bien à vérifier les cases précochées avant d’y croire.

FireShot Capture 017 - Create infographics & online charts -_ - https___infogram.com_app_#_downloa

 

Nos petites entreprises : attention à la crise !

« J’ai vu des arnaques fleurir dès l’automne 2017 », se rappelle Fabian Rodes, créateur d’un service pour aider les entreprises à respecter le RGPD. Il y a d’abord l’escroquerie qui « existe depuis la nuit des temps » : un fax, un courrier ou un e-mail qui dirige vers un numéro en 09, surtaxé et à l’étranger. En général, la missive réclame entre 500 et 1 000 euros. « En automne, le fax que j’ai vu n’était même pas mis à jour, il évoquait une ancienne directive européenne et pas le RGPD », soupire Fabian Rodes. Pas toujours du travail de pro… Mais avec ce règlement européen est arrivé un nouveau fléau pour le petites entreprises : le ransomhack (« hacking contre rançon »). Ce logiciel malveillant, repéré en Bulgarie par la société de sécurité numérique TAD Group, surgit sur l’ordinateur de l’entreprise et réclame entre 1 000 et 20 000 euros (en bitcoin, généralement), sans quoi il menace de dévoiler les données de l’ensemble des clients. Si elle paye discrètement, l’entreprise risque la double peine : être sanctionnée pour ne pas avoir alerté les pouvoirs publics en moins de 72 heures et, si l’assaillant divulgue ses données, être responsable de la fuite. « Cela fait doucement rigoler les grosses structures, qui ne sont pas dupes, mais une TPE ou une PME pourrait y croire… », admet Fabian Rodes. La Cnil a publié un guide pour les petites entreprises et alerté sur les arnaques classiques. Pour le moment, elle n’a pas reçu d’alerte de ransomhack en France.

 

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s