Dans une étude sous-titrée « les consommateurs pris au piège du big brother commercial », l’UFC-Que Choisir dénonce avec des arguments sérieux « la surveillance commerciale en ligne » et l’utilisation de dark patterns. Mais le site de Que Choisir aurait pu apparaître dans les exemples de ces dérives.
Dans son étude de 38 pages publiée jeudi 25 janvier [PDF], l'association UFC-Que Choisir explique que « des entreprises de toutes tailles, dans presque tous les secteurs de la consommation hors ligne et en ligne, sont impliquées dans l'économie des données personnelles ». Elle arrive quelques jours après une étude de Consumer Reports et The Markup aux États-Unis sur le partage des données des entreprises avec Facebook.
L'association explique avoir effectué des tests qui démontrent « qu'en consultant à peine une dizaine de sites parmi les plus fréquentés en France, les données personnelles collectées sont partagées plus de 4 000 fois avec plus de 1 000 tiers ».
Elle dénonce une « surveillance commerciale » effectuée par les systèmes de publicité ciblée en ligne « alimentée par le système d’enchères en temps réel, ou real-time bidding (RTB) en anglais, une technologie publicitaire présente sur quasiment tous les sites web et applications ».
Un parcours du combattant pour l'effacement des données
Dans son document, l'UFC-Que Choisir dénonce la « circulation constante de données personnelles entre des milliers d'entreprises » via les cookies.
Elle a scruté le fonctionnement de dix des cinquante sites les plus consultés en France : 20minutes.fr, allocine.fr, cdiscount.fr, leboncoin.fr, lemonde.fr, marmiton.org, meteofrance.com, orange.fr, programme-tv.net et yahoo.com.
Elle y a recensé 1 040 tiers collectant les données personnelles des internautes, des courtiers en données et fournisseurs de publicité en ligne. L'association a voulu simuler le parcours d'un consommateur demandant l’effacement de leurs données auprès de toutes ces entreprises.
Comme l'UFC-Que Choisir l'explique, il faut d'abord trouver le contact de tous les délégués à la protection des données (DPD) désignés par les entreprises. Mais les sites ne facilitent pas cette recherche. Ils indiquent une liste de « partenaires » mais pour 26 d'entre eux, leurs sites ne fonctionnaient pas « et 715, donc plus de deux tiers, ne proposaient pas leur politique de protection des données en français ». Sur 117 sites (11 %), l'association n'a pas trouvé l’adresse électronique ou un autre moyen de contact.
Elle a remarqué aussi que « sur certains de ces sites, la politique de protection des données a visiblement été copié-collé sans prendre la peine de remplir les espaces réservés avec les informations correspondantes ».
Si l'UFC-Que Choisir a trouvé 923 adresses mails de contact, 8 % d'entre elles ne fonctionnaient pas et 35 % de ses mails envoyés sont restés sans réponse après le délai de 30 jours fixé par le RGPD. Sur les 1 040 entreprises tierces, l'association n’a donc pu obtenir une réponse que dans la moitié des cas environ.
La pseudonymisation, arbre qui cache la forêt de données
Et ce n'est pas fini. Sur les 465 réponses reçues, 227 « confirmaient simplement que l'adresse électronique de l'expéditeur ne pouvait pas être trouvée dans les bases de données de l'entreprise », ce qui ne veut pas dire qu'elles ne possèdent pas d'information sur l'internaute. En effet, ces entreprises n'ont pas besoin du nom de l'internaute ou de son email pour l'identifier. Elles utilisent souvent un identifiant publicitaire, ce qui permet de ne pas lier directement les données à l'identité civile de l'internaute.
D'ailleurs, 189 autres ont demandé des informations supplémentaires en raison de cette pseudonymisation des données. Mais ça complexifie la démarche de suppression : la personne doit fournir cet identifiant.
Certaines des entreprises l'accompagnent mieux que d'autres dans cette démarche : « dans 79 cas, le DPD fournissait un lien vers un site permettant au consommateur d’afficher de manière simplifiée l'identifiant du navigateur, ce qui peut être considéré comme la méthode la plus claire et facile pour le consommateur », explique l'association.
Mais « dans les autres réponses, les démarches demandées au consommateur étaient plus complexes : 11 réponses incluaient un lien défectueux, 87 demandaient au consommateur de trouver lui-même l'identifiant publicitaire dans les paramètres du navigateur ou du système d'exploitation, et 11 exigeaient même des justificatifs excessifs tels qu'une pièce d'identité ou une déclaration sur l'honneur ».
Enfin, 49 « se contentaient d'envoyer un message générique renvoyant vers la politique de protection des données de l'entreprise, sans tenir compte de la demande spécifique ».
Dénonciation du profilage des consommateurs
Dans son étude, l'association en profite pour dénoncer le profilage des consommateurs par l'utilisation d'algorithmes « capables d’analyser minutieusement les comportements de navigation, les préférences et les historiques d'achats pour créer des annonces sur mesure, incitant ainsi les consommateurs à succomber à des achats impulsifs ».
« Par exemple, la filiale de Microsoft spécialisée dans la publicité classe les consommateurs en fonction de plus de 650 000 traits de personnalité et situations personnelles », explique l'UFC-Que choisir.
« Nombre de ces traits sont extrêmement intimes, tels que "dysfonction érectile", "dépression", "gros acheteur de test de grossesse", "dépendance aux opioïdes", "sympathisant de syndicats", "réceptif aux messages émotionnels", "dépendance au jeu de hasard", ou encore "problèmes d'argent" », ajoute-t-elle. Le profilage est effectivement une activité de base des agences de publicité, des data brockers et des géants du Net comme Google ou Microsoft.
Ce profilage est mis en place par des trackers. L'association explique que ceux-ci peuvent être visibles comme « le bouton J’aime de Facebook, une vidéo YouTube intégrée, l’option de se connecter avec son compte Google ou Facebook etc ».
Un profilage jusque sur le site de Que Choisir
Preuve en est de l’omniprésence des trackers sur le Net, le site de Que Choisir, qui se bat pourtant contre ces dérives, n’en est pas exempt. Quand on s'intéresse à la page « Politique de protection des données personnelles », on peut lire, dans la liste des cookies qui ne sont pas strictement nécessaires – que l'internaute peut donc choisir de refuser – que l'association utilise des outils pour l'« optimisation de la promotion ».
On y trouve : Google Ads (fonction de pixel de conversion publicitaire), Google/Doubleclick (fonction de retargeting, d’obtention d’informations sur les visiteurs [Google Insight]) et Microsoft Bing Ads (fonction de pixel de régie publicitaire).
Sont également présents, toujours sous réserve de votre consentement, des « fonction[s] de script affichant un bouton de partage sur les pages » pour Facebook et Twitter. On y retrouve aussi Google Analytics (fonction de web analyse) et AT Internet/Analytics Suite. Autant de trackers connus pour, malheureusement, être très bavards.
Il existe par contre un formulaire très bien fait pour contacter le délégué à la protection des données (DPO) afin d’obtenir « communication, rectification ou suppression des informations » vous concernant.
Des dark patterns...
Dans son étude, l'UFC-Que Choisir en profite aussi pour, une nouvelle fois, dénoncer les dark patterns, « ces fameuses interfaces conçues pour manipuler le libre choix des consommateurs. Le consommateur les rencontre le plus souvent sur les bannières cookies ».
L'association rappelle que certaines pratiques utilisées par ces dark patterns ont été « identifiées par le Comité européen de la protection des données (CEPD) comme non conformes au RGPD : il s’agit notamment des cases pré-cochées, de l’absence d’un bouton de refus dès l’apparition de la bannière, et de l’usage de boutons incitatifs (par exemple, un petit bouton "refuser" gris et en contraste faible à côté d’un grand bouton vert "accepter") ».
Et l'association prend, à titre d'illustration, la capture d'écran montrant la bannière cookies du site leboncoin.fr :
Elle montre les différentes fenêtres de configuration de cette bannière :
Par rapport à la capture ci-dessus de l’UFC-Que choisir, on remarque un petit changement sur le pop-up de consentement de Le Bon Coin : sur la ligne « Vous autorisez » il y a désormais « Refuser tout » et « Accepter tout », permettant de pré-cocher toutes les cases correspondantes en dessous (y compris les partenaires).
Et effectivement, il y a beaucoup à redire sur la bannière de leboncoin.fr. Mais l'étude aurait aussi pu se pencher sur le site de quechoisir.org.
... utilisés aussi par l'UFC-Que Choisir
Malheureusement, comme on peut le constater sur la capture d'écran ci-dessous, l'association ne fait pas exception sur l'utilisation d'un dark pattern :
Le bouton pour « tout accepter et fermer » est mis très fortement en avant et celui pour « continuer sans accepter » est, lui, mis en retrait.
Et quand on veut personnaliser ses choix, on tombe certes sur un formulaire sur lequel aucun choix n'est fait par défaut, mais aussi où le lien sur « Afficher plus d'informations » (difficilement cliquable, puisqu'il faut faire un clic droit + ouvrir dans un autre onglet) renvoie vers un formulaire vide.
Comme si la configuration de l'outil de management de consentements utilisé par l'association, Trustcommander, n'avait pas été finalisée. Il est aussi possible que les informations supplémentaires soient déjà celles affichées sous le lien. Dans tous les cas, la présentation laisse planer le doute et peut perdre l’internaute, dommage.
Contactée, l’UFC-Que Choisir botte en touche
Contactée sur l'utilisation de Google Ads, Google/Doubleclick, Microsoft Bing Ads (fonction de pixel de régie publicitaire) sur son site web ainsi que sur le dark pattern de son outil de management de consentement et de son « étonnante » configuration, l'association n'a pas répondu précisément sur ces points.
L'UFC-Que Choisir a décidé de se retrancher derrière le principe de « licéité, loyauté et transparence » du RGPD qu'elle respecterait, selon elle, « strictement ». Concernant son outil de management de consentement, selon l'association, il serait « parfaitement conforme à la maquette de ce qui avait été proposé par la CNIL sur son document de recommandations de 2021 ».
Voici, in extenso, la réponse de l'UFC-Que Choisir qui nous précise d’emblée qu'elle ne fera « pas d’autre commentaire » :
« Notre association est particulièrement active dans le domaine de la protection des données personnelles. Respecter le RGPD n'implique pas d'arrêter toute activité commerciale, mais plutôt d'adopter une approche loyale et transparente dans le traitement des données personnelles. La conformité au RGPD renforce la confiance avec les parties prenantes, en garantissant un traitement éthique et responsable des informations.
C’est ce que nous essayons de faire, afin de satisfaire notre public qui est la seule source de financement de nos missions. Le premier principe du RGPD est énoncé à l'article 5, paragraphe 1, lettre (a) du règlement. Ce principe est le suivant :
-
- Licéité, loyauté et transparence : Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente à l'égard de la personne concernée.
Cela signifie que le traitement des données personnelles doit être basé sur une base juridique valable, que les individus doivent être informés de la manière dont leurs données sont collectées et utilisées de manière transparente, et que le traitement doit être conforme aux principes de loyauté et de transparence. En d'autres termes, les personnes concernées doivent être conscientes de la collecte et du traitement de leurs données, et cela doit être effectué de manière éthique et conforme à la loi
Notre politique « données personnelles » respecte strictement ce principe. Ajoutons que contrairement à bon nombre de titres de presse nous ne faisons aucune publicité dans nos médias et nous n’avons aucun revenu d’affiliation.
Quant à la CMP [Consent management platform, ndlr] la nôtre est parfaitement conforme à la maquette de ce qui avait été proposé par la CNIL sur son document de recommandations de 2021 ».
Commentaires (22)
#1
Je parle des sites qui usent et abusent des dark patterns, et sont coutumiers du partage avec plusieurs centaines, voir milliers de partenaires. Dernier exemple en tête : Molotov.tv. De mémoire, ça partage avec 700 partenaires, rien que ça. J'ai beau apprécier leur service (et même avoir un abo payant), mais devoir se payer la config tant sur site web que sur l'appli (faut y penser, sisi), pour refuser une telle débauche de partages, pfiou....
Donc 1/ la suppression devrait être aussi facile que le partage des données. Je pensais naïvement que ça devait être le cas, et j'espérais des sanctions... 2/ peut-être devrait-on commencer à estimer que "partager" (ok, vendre, soyons honnête) des données persos avec 1000 "partenaires" (j'appellerais plutôt ça un viol collectif...) est un poil exagéré, et que cette pratique (surtout le nombre) devrait être prohibée. C'est clairement de l'abus.
J'espère vraiment qu'un jour nos représentants se saisiront du problème.
#1.1
Le problème vient de la partie que j'ai mise en gras. Et je veux bien croire que c'est compliqué une fois les informations chez autant de partenaires de leur demander de supprimer les données surtout si elles ont été traitées et transformées par des intermédiaires.
Il suffirait que la partie en gras disparaisse pour que le partage soit bien plus faible afin de pouvoir supprimer ensuite les données.
#2
#2.1
#2.2
Sur l'app mobile sur le bandeau fixe en bas de l'écran.
#2.3
- kimetrack (l'extension de NxI) que je garde encore tant qu'elle fonctionne, n'affiche aucun pistage.
- les boutons de partage font appel à des fonctions jscript, ce ne sont pas les boutons trackers de ces sites, mais il serait dommage pour eux de se priver de ces relais d'audience
Petit bémol, après avoir cliqué sur "partager sur Facebook", j'ai vu, dans la console de Mozilla, sur cet onglet : "Accès au stockage automatiquement accordé pour l’origine « https://www.facebook.com » sur le site « https://next.ink »."
Je subodore que c'est une fonction "normalement anormale" et pas gérée par next.ink
Bref, pour moi, pas de problèmes pour ces boutons
#2.4
en vrai, y'a un appel de fonction JS, mais j'imagine que c'est plus pour le comptage de clics qu'autre chose...
#3
#4
https://www.sudouest.fr/justice/que-choisir-perd-son-proces-contre-le-militant-girondin-stephane-lhomme-1969793.php – 19/05/2020
Cette décision m'avait marqué car c'était L'Arroseur arrosé.
#4.1
L'excuse de bonne foi ne signifie pas que le militant a raison sur le fond. Elle dit juste qu'il pouvait dire de bonne foi ce qu'il avait dit. Et comme le signale l'article, étant militant et pas journaliste (qui doit faire preuve de plus de rigueur dans la rédaction), il est normal que la justice soit plus tolérante dans ce cas.
#4.2
Même si la critique provient d'un anti-Linky, c'est toujours intéressant de voir un magazine, qui se dit indépendant des marques et sans pub, se faire remettre en question : c'est vrai que QueChoisir proposait une offre d'électricité, ça fragilisait de fait son « indépendance » tant martelée sur toutes ses publications.
#5
#6
Un jour j'ai eu le malheur de faire un don à une association de lutte contre une maladie lors d'un évènement caritatif. Malgré le fait que j'ai bien coché les petites cases pour le pas que mes données soit utilisées, elle ont été vendu à toutes les grosses associations caritatives de lutte contre des maladies qui depuis m'envoie plein de courriers régulièrement pour quémander des dons. Et quand je leur écrit sur l'adresse mail dédié au RGPD en demandant de supprimer mes données, ou bien elle ne répondent pas, ou elle disent qu'elles n'ont pas mes données alors qu'ils m'envoient des courriers à mon adresse.
#6.1
J'ai eu le problème lors d'un déménagement : très vite, des courriers de pub dans la boîte aux lettres. Mais ? Comment ils ont eu mon adresse ?
La CNIL m'a demandé les pubs en question. À partir des petits lignes de chiffres, ils ont fait le lien avec ... La Poste ! Yeah !
Quand on signe une ré-expédition du courrier, on ne lit pas l'enculade en opt-out en bas de la feuille : il faut cocher la case si on ne veut pas recevoir de pubs, et pas l'inverse ...
OK, ça, avec la CNIL, c'était la partie simple ...
#6.2
De mémoire il y en avait un seul qui précisait sur le courrier avoir obtenu mes coordonnées par le biais de la poste.
Le côté fourbe, après avoir rempli le formulaire le guichetier te donne une version vierge et non une copie du formulaire.
#6.3
J'ai même cru un moment que c’était une arnaque au faux don, mais non tous les courrier sont vrais, les sites webs mentionnés sur les courrier, les adresses pour expédier les dons aussi...
#7
Ils partagent les données à tour de bras, ne répondent pas aux requêtes RGPD etc.
J’ai récemment porté plainte via la CNIL contre eux pour obtenir une réponse à ma requête d’effacement des données et de la suppression de celles-ci des partenaires commerciaux à qui ils les ont vendus pour faire du démarchage papier.
Car oui, ils vous spamment plusieurs fois par an pour vous abonner à leur magazine malgré les oppositions au démarchage.
Après donc plusieurs mois de procédure réponse « merci de nous donner la liste de ce que vous avez reçu pour qu’on identifie les partenaires qui doivent supprimer vos données ». Et bien sûr refus d’inscription sur la liste des personnes refusant tout démarchage futur.
Je pense qu’on peut honnêtement parler de « se moquer du monde » a minima !
Donc l’UFC devrait commencer par montrer l’exemple avant de faire la leçon. J’ai cessé de les soutenir il y a plusieurs années à cause de ça.
#8
Ils sont forts pour critiquer, mais ne balayent pas devant leur porte.
J'en ai fait l'expérience récemment, quand j'ai reçu des publicités postales. J'ai demandé des explications aux entreprises concernées, qui m'ont dit de me retourner vers l'UFCQC chez qui je venais de prendre un abonnement au magazine.
Je leur ai signalé que je n'avais pas autorisé le partage de mon adresse postale, mais ils m'ont assuré que si. Quand j'ai insisté, ils ont bien été obligé de reconnaître leurs torts. J'avais gardé la copie du coupon d'abonnement, où la croix de refus du partage était pourtant explicite.
Donc malgré leurs airs de chevalier blanc, ils sont comme les autres : pêche au chalut, fuck le consentement et les autorisations, le but est de faire du marketing à outrance, pour quelques gus qui font râler et être procédurer, le gain reste très positif.
#9
#10
J'ai sollicite leur aide afin de régler un litige avec Boursorama, qui m'a bloqué mon compte pour des raisons d'origine de la nationalité.
Boursorama bottant en touche et ne voulant pas entendre mes arguments, j'ai fais l'appel a UFC locale de ma ville.
Je sollicite l'aide avec un litige, j'adhère. Et la patatras. L'interface d'échange entre une personne et ufc, n'est pas protégée par un mot de passe. Mon surprise de découvrir que leur interface d'échange avec les utilisateurs dans le cadre d'une litige n'est pas protégée par aucun mot de passe. Pour accéder a ton litige il suffit de cliquer sur un URL! Depuis n'importe quel navigateur, toute personne peut accéder a l'interface tant qu'il a un lien. L'URL est composée d'une requête php avec un numero de dossier et d'une "clef" alphanumerique de 16 caractères ! Et tout ca transmis dans le URL elle même ! Quand j'ai fais remarquer ca a l'association locale ils ont botté en touche.
Malheureusement j'ai du continuer d'utiliser cette espace car c'était le seul moyen afin de pouvoir recevoir de l'aide de leur part.
J'ai y deposé des documents sensibles.
Et meme quand j'ai demandé a l'association locale de supprimer ces données ils m'ont presque envoyé chier en disant "supprimez les vous memes de l'espace" mais je ne pouvais pas il n'y avait pas d'option de suppression. Apres avoir contacté multe fois l'association, ils ont finis par.... supprimer les fichiers qu'ils ont déposée eux mêmes! J'ai du ensuite contacter leur responsable des données personnelles national afin qu'il intervienne. Au bout de quelques semaines ils ont enfin fermé mon litige (que par conséquence arrêtait l'acces de l'extérieur). Mais combien d'autres litiges sont ouverts a 4 vents? Certes il faut connaitre la clef alphanumérique et le numéro de dossier mais ne pas verrouiller cet espace avec un mot de passe, et faire en sorte que tant que t'as le lien tout le monde y accède....
#10.1
#10.2
Edit: trouvé.
Mais c'est complexe.
https://www.cnil.fr/fr/adresser-une-plainte