Des données partagées 4.000 fois: l'UFC-Que choisir dénonce l'ampleur du pistage sur le web

Est-il possible d'échapper au pistage sur internet? Pas vraiment à en croire la dernière étude de l'UFC-Que choisir. L'association de défense des consommateurs a réalisé une expérience pour savoir où atterrissent les données des internautes. Pour cela, ils ont visité dix des cinquante sites les plus fréquentés en France.

En consultant ces pages, l'association s'est rendu compte que leurs données personnelles ont été récoltées puis transmises à 4.332 reprises. Dans le détail, ces informations privées sont envoyées à 1.040 entités tierces différentes. Les visites ont été réalisées au cours du mois de juin 2023. Parmi les sites visités figurent des médias, Météo France, Orange, Cdiscount ou Leboncoin.

Dans son étude, l'UFC-Que choisir pointe surtout les grandes difficultés pour qu'un consommateur puisse voir ses données collectées supprimées. Notamment parce que, dans la majorité des cas, le visiteur d'un site internet ne sait pas où atterrissent ses informations personnelles.

Pour rappel, ces données, récoltées grâce à des bouts de code informatique baptisés "cookies", sont utilisées pour dresser un profil numérique de chaque internaute, en fonction de ses habitudes en ligne. Elles sont par exemple utilisées par Facebook, Instagram ou Tiktok pour diffuser de la publicité ciblée, selon les sites visités par l'utilisateur.

Une centaines de tiers injoignables

"La quasi-totalité des tierces parties collectant les données sont inconnues des consommateurs", observe l'UFC-Que choisir.

Ainsi, l'association a tenté de faire supprimer les données récoltées lors de ses visites sur internet. Une démarche quasi-impossible à en croire l'étude d'UFC-Que choisir. D'abord parce qu'aucun contact n'a été trouvé pour une centaine d'entreprises. Ensuite, sur les 923 adresses mail trouvées, 83 ne fonctionnaient pas et 374 demandes de suppression des données sont restées lettres mortes au bout du délai de 30 jours fixés par le RGPD.

L'UFC-Que choisir n'a reçu que 465 réponses des entités ayant récolté des données depuis leur navigation web. Près de la moitié expliquaient ne pas avoir l'adresse mail de l'expéditeur dans leur base de données. 189 demandaient un complément d'informations pour identifier la personne à extraire de sa base. Enfin, 49 entités se sont contentées d'un mail générique renvoyant vers la politique de protection des données de l'entreprise.

A l'issue de l'expérimentation, sur les 1.040 entreprises ayant collectées des informations, seules 79 - soit 7% - proposaient "une démarche relativement simple et convaincante" pour supprimer ces données.

Dans de nombreux cas (39%), la démarche a été jugée "excessivement compliquée". Mais l'association a démontré que plus d'un tiers des entités (35%) récoltant nos données en ligne ne donnent tout simplement aucune réponse aux demandes de suppression d'informations personnelles.