L'organisation britannique réclame des enquêtes aux autorités de protection des données en France, en Irlande et au Royaume-Uni. Elle attaque des courtiers en données (« data brokers », Acxiom et Oracle), des sociétés publicitaires (Criteo, Quantcast et Tapad) et d'évaluation des risques-clients (« credit score », Equifax et Experian).

Parmi eux, Criteo est un géant français du reciblage publicitaire, qui se démène pour sortir d'un modèle à bout de souffle. Equifax est, pour sa part, tristement célèbre pour sa fuite de données qui a mené à la diffusion d'informations de 145 millions d'Américains l'an dernier.

« Nos plaintes visent des entreprises qui, malgré leur exploitation de données de millions de personnes, n'ont pas pignon-sur-rue et sont donc rarement mises en cause » explique Privacy International.

Les plaintes sont fondées sur plus de 50 demandes d'accès aux données d'internautes, ainsi que sur les capacités vantées par ces services. L'ICO britannique aurait déjà ouvert des enquêtes contre Acxiom, Equifax et Experian.

L'organisation estime que ces sociétés ne disposent d'aucune base légale de traitement des données personnelles, au regard du Règlement général sur la protection des données (RGPD) européen.

Ces sociétés ne recueilleraient aucun consentement, argue Privacy International, préférant invoquer l'intérêt légitime à cette collecte.

Cette base de traitement est la plus permissive des six du RGPD, et est utilisée comme une carte joker par les organisations ne voulant pas s'encombrer de l'accord des citoyens. C'est le cas de Lusha, un service de prospection commerciale, qui récupère les coordonnées d'internautes à leur insu (voir notre analyse).

À la mi-septembre, la société derrière le navigateur Brave attaquait Google sur les enchères publicitaires en temps réel, devant les CNIL britannique et irlandaise. Elle estime que le partage de données avec des dizaines de sociétés intervient sans protection adéquate de la vie privée des internautes.