Les noms de ces entreprises sont peu connus du grand public. On y trouve des « data brokers », qui collectent, stockent et revendent des données ou l’accès à des données personnelles, comme Acxiom ou Oracle. Des entreprises de publicité en ligne, comme le français Criteo ou Quantcast, et des sociétés spécialisées dans l’évaluation du risque, très utilisées outre-Manche et outre-Atlantique par les banques pour décider si elles peuvent ou non accorder un prêt. Au total, c’est contre sept sociétés que l’association Privacy International, sise à Londres et qui défend le droit à la vie privée, a déposé des recours auprès des régulateurs de la vie privée anglais, irlandais et français.

Selon l’association, ces entreprises, qui gèrent des millions de données personnelles pour la plupart collectées en ligne, ne respectent pas le règlement européen sur la protection des données (RGPD), entré en vigueur en mai, sur plusieurs points. L’association épingle notamment l’absence de transparence des collectes de données faites par ces sociétés.

« La manière dont ces entreprises collectent des données est opaque », écrit Privacy International. « Elles amassent de gigantesques quantités de données sur des millions d’individus, les analysent pour créer des profils (exacts ou erronés) de ces mêmes individus, et partagent ces données avec une multitude d’autres acteurs dans des dizaines de buts différents. »

Consentement « libre, spécifique, éclairé et univoque »

Le point-clé sur lequel se base l’association pour contester les pratiques de ces entreprises est celui du consentement. Le règlement européen insiste fortement sur cette notion : il doit être « libre, spécifique, éclairé et univoque ». Or, selon Privacy International, aucune de ces entreprises n’a « apporté la preuve que la manière dont elles collectent les données se faisait avec ce consentement libre, spécifique, éclairé et univoque ». Dans la majorité des cas, elles ont recours à des formulaires génériques qui s’affichent à la première consultation d’un site utilisant leurs services – de très nombreux sites français ont notamment recours aux outils de Quantcast.

Depuis l’entrée en vigueur du RGPD, le nombre de plaintes contre les collectes de données sur des sites français est en forte hausse. La Commission nationale de l’informatique et des libertés, le régulateur français de la vie privée, a reçu entre la fin de mai et le début de juillet 2 770 plaintes, contre 1 780 sur la même période en 2017 – qui était déjà une année record.

Données personnelles : avec le RGPD, les plaintes à la CNIL en forte hausse Le nouveau règlement européen sur les données personnelles (RGPD) est entré en vigueur le 25 mai dernier. Depuis, le nombre de plaintes reçues par la Commission nationale de l’informatique et des libertés (CNIL), le gendarme français de la vie privée, a considérablement augmenté, selon les informations du site spécialisé Next INpact confirmées par Le Monde auprès de la CNIL. Ainsi, 2 770 plaintes ont été reçues par la Commission depuis ce nouveau règlement contre 1 780 sur la même période en 2017, ce qui constituait déjà une année record. Le RGPD renforce les obligations des entreprises concernant le traitement des données personnelles et fait planer sur elles le risque d’une sanction de 4 % de leur chiffre d’affaires en cas de non-respect. La forte médiatisation de ce nouveau règlement, mais aussi les polémiques liées aux données personnelles ces derniers mois (notamment le scandale Facebook-Cambridge Analytica) font partie, selon la CNIL, des raisons pouvant expliquer l’explosion du nombre de plaintes. Lire aussi RGPD : ce qui change pour les particuliers

Le Monde