BFM Business

Vie privée: comment savoir ce que les géants des données personnelles savent de vous

Un centre de données personnelles

Un centre de données personnelles - Jonathan Nackstrand - AFP

Des outils ont été mis en place par les GAFA, mais également par des développeurs et juristes indépendants pour aider les internautes à demander davantage de transparence sur leur données personnelles.

Comment savoir ce que Facebook, Google ou les “data brokers”, entreprises spécialisées dans la revente de données personnelles, savent de vous? Ce 20 mai, le magazine Cash Investigation a enquêté sur plusieurs acteurs majeurs de la donnée personnelle, notamment dans le domaine de la santé: d’une part par le biais de la collecte d’informations en pharmacie, d’autre part au travers d’applications à l’apparence anodine.

Depuis la mise en place du règlement européen sur la protection des données personnelles (RGPD) en 2018, toute entreprise qui collecte des données personnelles fait face à des obligations renforcées à destination des personnes concernées. A commencer par un devoir de transparence (préciser la nature des données collectées) et le respect du droit d’opposition pour quiconque désire refuser cette collecte.

Différentes méthodes peuvent-être utilisées par les internautes pour demander des comptes aux entreprises ayant collectées leurs données, selon qu'il s'agisse de plateformes bien connues ou d’intermédiaires de la donnée plus opaques.

Pages dédiées sur les grandes plateformes

Pour les géants du numérique, des outils de transparence sur les données collectées ont été mis en place depuis l’arrivée du RGPD. Chez Facebook, Google, Apple, mais aussi Spotify ou Uber - au même titre que des centaines d’applications populaires implantées dans l’Union européenne, un détour dans les paramètres permet de formuler une demande de récupération des informations personnelles dont l’entreprise dispose à son sujet.

A titre d’exemple, Facebook propose une page dédiée aux informations collectées (accessible ici), pour chaque utilisateur, afin qu’il puisse télécharger les données le concernant.

Page Facebook affichant les liens du réseau social avec les sites partenaires
Page Facebook affichant les liens du réseau social avec les sites partenaires © BFMTV

L’émission Cash Investigation a par ailleurs évoqué les échanges entre Facebook et ses nombreux sites partenaires, dans le but de pister les internautes en dehors du réseau social pour afficher des annonces toujours plus ciblées entre deux publications ou deux stories Instagram (filiale de Facebook). Un pistage que les utilisateurs d’iPhone peuvent désormais refuser.

Là encore, Facebook propose une liste de tous les sites partenaires qui ont transmis des données concernant l’internaute (accessible ici).

Principal concurrent de Facebook sur le marché de la publicité en ligne, Google propose lui aussi une page résumant l’ensemble de l’activité d’un internaute utilisant ses services, baptisée “My Activity” (accessible ici). Elle affiche un historique chronologique de l’ensemble des informations collectées aux travers des nombreux services du géant américain.

La page "My Activity" de Google
La page "My Activity" de Google © BFMTV

Cela peut concerner les recherches faites sur Google, mais aussi les itinéraires calculés sur Maps, les requêtes effectuées au sein de Gmail, les notifications affichées sur votre smartphone Android ou encore les vidéos consultées sur YouTube. Comme sur Facebook, une page dédiée (accessible ici) permet de télécharger l’ensemble de ses données Google sous la forme d’un - très lourd - fichier unique.

Traqueurs de “trackers”

Parallèlement à ces entreprises bien connues du numérique existe un écosystème bien plus vaste et discret de “data brokers”, qui achètent et revendent nos données personnelles, parfois issues de collectes frauduleuses comme cela peut être le cas après un piratage. Comme le rappelle la Commission nationale de l'informatique et des libertés (Cnil) sur son site, ces entreprises sont tenues de répondre sous un mois à tout internaute désirant savoir ce qu’elles savent sur lui.

Contrairement à ce que l’on pourrait penser, il n’est pas compliqué de connaître l’identité de l’ensemble des acteurs de cet écosystème. Il suffit d’installer une extension pour navigateur chargée d’identifier et d’afficher l’ensemble des “trackers” d’activité, ces petits logiciels de suivi disséminés un peu partout sur le Web et appartenant à ces acteurs de la donnée.

Informations affichées par l'extension Disconnect sur un site de vente de vêtements en ligne
Informations affichées par l'extension Disconnect sur un site de vente de vêtements en ligne © BFMTV

Plusieurs extensions pour le navigateur Chrome, le plus utilisé du marché, mais également compatibles avec Safari ou Firefox, affichent le type de “trackers” utilisés par chaque site Web. Parmi les plus réputées, on retrouve Disconnect (accessible ici sur Chrome) ou Ghostery (accessible ici sur Chrome)

Une fois installés, ces extensions affichent une liste des “trackers”, en les triant selon qu’ils soient utilisés pour de simples analyses statistiques ou de la publicité ciblée en ligne. Les noms des sites qui apparaissent dans cette seconde catégorie - en plus de Google et Facebook - sont souvent ceux des fameux “data brokers”, qui collectent les données personnelles chez ces sites partenaires.

Générateur de lettres d’opposition

Contrairement aux géants des réseaux sociaux ou des applications pour smartphone à destination du grand public, ces “data brokers” affichent rarement des formulaires destinés à envoyer les données personnelles de celles et ceux qui le demandent. Il faut donc passer par une demande par mail.

Pour simplifier la tâche des internautes, l’équipe du média suisse Le Temps a mis en place, aux côtés du spécialiste des données personnelles Paul-Olivier Dehaye, un générateur de demande de données personnelles (accessible ici, uniquement en anglais pour le moment).

Il permet, en quelques clics, de générer une lettre en bonne et dûe forme à destination de centaines d’entreprises différentes, qui sont amenées à traiter de près ou de loin les données personnelles des utilisateurs. Il est par ailleurs possible d’effectuer une demande en un clic pour qu’une entreprise non-référencée soit ajoutée.

Ebauche de mail pour Google générée par la plateforme du quotidien suisse Le Temps
Ebauche de mail pour Google générée par la plateforme du quotidien suisse Le Temps © BFMTV

Une fois l’entreprise choisie, l’internaute voit apparaître un formulaire affichant l’adresse mail de l’entreprise visée, un objet de mail et un texte encadrant juridiquement la démarche. Quelques informations peuvent rester à compléter, à commencer par le nom, ou l’adresse mail, au moment de copier/coller le tout dans un email.

De telles lettres peuvent par ailleurs être envoyées à Facebook, Google et consorts, pour un rapport plus exhaustif aux yeux de Paul-Olivier Dehaye.

“Facebook, Twitter et les autres grandes plateformes ont créé des systèmes et des interfaces pour répondre à leurs obligations sur le droit d’accès, mais c’est avant tout un paravent. Ce qu’ils partagent est ridicule par rapport à ce qu’ils devraient réellement divulguer” assure l’expert auprès de BFMTV.

Comme ont pu le constater les équipes de Cash Investigation, une part importante des acteurs de la donnée personnelle en ligne ne respectent pas leurs obligations légales en matière de transparence. En cas de réponse défavorable, tardive, ou d’absence de réponse, il est recommandé de déposer une plainte en ligne auprès de la Cnil.

https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech