Ce matin-là, Joséphine Mosch fredonnait une chanson au saut du lit avant de lancer l’application musicale Spotify en mode aléatoire. «Le service a joué le morceau que j’avais en tête», raconte la trentenaire, encore surprise par cette drôle de coïncidence. La célèbre plateforme serait-elle un peu trop à l’écoute de ses envies musicales? La plaisanterie se teinte de soupçon.
Au fil de l’utilisation se forme une solide base de données dans laquelle on trouve l’historique détaillé des écoutes, le type d’appareil utilisé ou encore la liste des recherches effectuées. Autant d’informations qui permettent d’adapter les suggestions musicales aux goûts et à l’humeur de l’utilisateur. «Le truc formidable avec Spotify, c’est que nous vous proposons du contenu de plus en plus personnalisé à mesure que nous en savons plus sur vous et vos habitudes d’écoute», s’enthousiasme l’entreprise suédoise.
J’ai l’impression d’avoir plongé dans un univers qui m’a échappé
Cette connaissance fine de notre personnalité suscite l’appétit des annonceurs, dont les réclames se glissent entre deux chansons dans la version gratuite du service. «J’allais dire le flicage au lieu du ciblage», ironise Joséphine Mosch. Pour gratter le vernis de la personnalisation, la Martigneraine a envoyé une demande d’accès aux informations collectées par Spotify à son sujet, comme le permet le règlement européen sur la protection des données en vigueur depuis 2018.
Cette démarche a été réalisée dans le cadre d’une opération participative du Temps. Comme elle, dix lectrices et lecteurs aux profils variés ont bénéficié d’un accompagnement durant plusieurs mois pour solliciter diverses entreprises, de l’acteur local au géant américain. Au total, une soixantaine de requêtes ont été envoyées.
Le spécialiste Paul-Olivier Dehaye, fondateur de l’organisation non gouvernementale PersonalData.IO, basée à Genève, a partagé son regard acéré tout au long du projet. Paul Ronga, datajournaliste au «Temps», a également aidé les lecteurs à décrypter les données les plus obscures. Avec une question centrale: les entreprises jouent-elles le jeu de la transparence? Le citoyen peut-il vraiment reprendre le contrôle? «J’ai observé deux réactions possibles chez les participants, indique le spécialiste. Certains baissent les bras et arrivent à la conclusion que le système est pourri quand d’autres se révèlent plus combatifs en affirmant que le cadre juridique doit être respecté et multiplient les démarches.»
Alors que des mastodontes de la tech façonnent des algorithmes au mécanisme opaque, pister nos traces numériques permet de mieux saisir les enjeux. Nos données sont utilisées à des fins de marketing, mais pas seulement: elles peuvent se transformer en arme politique redoutable ou en puissant outil de surveillance.
En savoir plus sur la démarche exceptionnelle qui a conduit à cet article
Or, «le traitement des données à caractère personnel devrait être conçu pour servir l’humanité», souligne le texte de loi européen. Pour les participants, la quête s’est révélée alambiquée et décourageante. «Il est très simple d’envoyer une demande, mais obtenir une réponse claire, c’est un parcours du combattant, regrette Joséphine Mosch. Les plateformes numériques qui utilisent mes informations personnelles le font-elles à mes dépens ou à mon service? J’ai l’impression d’avoir plongé dans un univers qui m’a échappé.»
Nos traces numériques forment un gisement considérable. Que ce soit un réseau social ou une plateforme vidéo, la logique est la même: proposer des services attrayants pour capter l’attention des internautes. Plus les adeptes sont nombreux, plus les revenus de la société augmentent. Leur nombre, la connaissance de leurs habitudes en ligne ou de leurs pratiques de consommation forment une masse d’informations précieuses. Statistique éloquente: en 2019, chaque utilisateur de Facebook a rapporté en moyenne près de 30 dollars de revenus publicitaires, pour un total de 69,7 milliards de dollars. Des recettes en constante progression.
Ce mécanisme redoutable a fait naître des géants du numérique. Avec des intentions louables au premier abord. Si le client est roi, alors il convient de connaître les détails de son existence pour le servir au mieux. Le développement des outils informatiques permet d’automatiser la procédure.
«L’économie des données ne me dérange pas en soi, les entreprises peuvent essayer de gagner de l’argent avec le traçage. Elles ont également besoin de ces informations pour améliorer leur service comme leur application mobile. Ce sont des arguments recevables mais elles doivent agir avec transparence», estime Laurent Fasnacht, salarié d’une entreprise spécialisée dans la cryptographie et participant au projet du Temps. Lui a sollicité de nombreuses sociétés, «surtout des acteurs locaux».
Alors que l’inquiétude des citoyens grandit au rythme des scandales autour de la vie privée, les entreprises redoublent d’efforts pour afficher leur bonne foi. Elles choisissent des slogans et des formules qui rassurent sur l’utilisation des informations personnelles, tout en insistant sur les bienfaits de la personnalisation.
«La protection des données est une question de confiance, et votre confiance nous est précieuse», affirme Swisscom. «Découvrez comment contrôler les publicités qui vous sont présentées afin qu’elles soient plus utiles pour vous», encourage Facebook. «Les entreprises de transports publics utilisent vos données personnelles pour vous offrir une valeur ajoutée tout au long de la chaîne de mobilité», affirment les CFF. Cette tonalité se retrouve également dans les réponses de plusieurs entreprises à nos questions, bien souvent pour éluder des demandes délicates.
La montée en puissance des réseaux sociaux, depuis les années 2010, qui permettent d’associer des comportements à un profil précis, mais aussi l’utilisation des smartphones à tout âge ont marqué un tournant. Devenu le principal outil de consultation des plateformes numériques, le téléphone mobile permet un traçage inédit. Des services anodins – écoute de musique, jeux pour enfants – sont assortis de traceurs invisibles qui récoltent des données pour des entreprises de marketing. «Nous avons mené une enquête sur 6000 jeux pour enfants: 10% collectaient et transmettaient le numéro IMEI, soit le numéro d’identification unique du téléphone», relève Joel Reardon, chercheur en technologie de l’information à l’Université de Calgary, au Canada. Paul-Olivier Dehaye a ainsi constaté qu’une application météo livre à Amobee, un revendeur de données, un taux de «probabilité que l’utilisateur ait des problèmes de vessie».
«Les revendeurs de données proposent aux éditeurs d’apps d’intégrer des codes qui collectent des informations telles que les adresses MAC [identifiant unique attribué aux appareils], les connexions aux points d’accès wifi, ou encore les coordonnées GPS quand c’est possible», précise Joel Reardon. Ces données sont notamment revendues à des chaînes de magasins, qui peuvent ainsi analyser combien de temps les clients passent dans leurs commerces.
Résultat: de nombreuses entreprises se retrouvent à gérer une masse de données qui les dépasse, sans édicter de règles appropriées pour respecter dès le départ la vie privée de leurs clients. Les réseaux de revente de données atteignent des proportions vertigineuses. Jessica Pidoux, participante à l’expérience et doctorante en humanités digitales à l’EPFL, explore cet univers dans sa thèse sur les métriques des sites de rencontre. Exemple avec Grindr. L’application est partenaire de la régie publicitaire MoPub, elle-même liée au gigantesque réseau AppNexus. Au total, utiliser ce service revient à fournir des données à pas moins de 4259 entreprises tierces.
Bien souvent, les formulaires de consentement font trois kilomètres de long.
Dans cet écosystème, l’utilisateur ne peut que perdre le contrôle. Les spécialistes donnent un nom à cette impuissance face aux conditions générales illisibles: la fatigue du consentement. «Il faudrait rendre les formulaires de consentement plus clairs pour avoir une idée du niveau d’engagement et de partage de données. Bien souvent, ce sont des documents de trois kilomètres de long», lâche Jean-Marc Vandel, ingénieur informatique participant à notre expérience et co-président du Parti Pirate Vaudois, engagé sur la question des libertés numériques.
Plus ces données sont détaillées, plus elles permettent une diffusion ciblée des publicités. Jusqu’à atteindre la manipulation. L’affaire Cambridge Analytica, qui a éclaté en 2018, a dévoilé des pratiques abusives d’une ampleur inconcevable: cette société britannique, spécialisée dans l’analyse de données à grande échelle, a pu siphonner les informations de millions de profils Facebook. Elle se prétendait capable de reconstituer des profils psychologiques pour cibler chaque utilisateur avec des publicités politiques qui répondent au mieux à ses attentes. L’efficacité de son outil de manipulation reste controversée, mais il aurait contribué à la victoire de Donald Trump en 2016 et au Brexit.
Cambridge Analytica a été mise en faillite en 2018, mais de nombreuses sociétés proposent à la vente des profils par millions. A plus petite échelle, les entreprises s’appuient sur nos données pour nous étiqueter et mieux cibler leurs campagnes. En théorie, la collecte et le traitement des données devraient être «reconnaissables pour la personne concernée», selon la loi suisse sur la protection des données.
Il s’est lancé avec détermination dans les démarches. «C’est parti tous azimuts, j’ai envoyé une quinzaine de demandes», confie Amédée Zryd. Installé à Denges, ce cadre d’entreprise souhaitait mesurer l’ampleur de la dissémination de ses données personnelles au gré des contrats signés et des services utilisés. L’occasion de se frotter aux limites du cadre légal. En théorie, les entreprises ont trente jours pour répondre à une demande d’accès. Dans les faits, les retards ne sont pas rares. Il faut alors patienter parfois plusieurs mois et multiplier les relances afin d’obtenir une réponse en bonne et due forme. Ce suivi demande de la persévérance et de l’énergie. Pour gagner un temps précieux, Amédée Zryd a utilisé l’interface du «Temps» pour lancer des requêtes.
A tester: Notre générateur de demandes de données personnelles
«Certaines entreprises sont dépassées et font le minimum en espérant ne pas être relancées sur des points précis. Leur intérêt est complètement à l’opposé de toute transparence, sauf si cela peut affecter leur image de marque», estime le spécialiste Paul-Olivier Dehaye. La plupart finissent toutefois par apporter une réponse. «Les CFF ont fait preuve de transparence, observe Amédée Zryd. Ils m’ont envoyé un document avec l’ensemble de mes déplacements.» Un dossier transmis par voie postale: 29 pages recto verso pour remonter le temps, se souvenir de voyages anciens. Mais rien d’étonnant à ses yeux.
Ces fichiers à la présentation rudimentaire demandent une attention particulière. Il s’agit de comprendre les tableaux, les diverses annotations, le jargon de l’entreprise. «Un point m’a interpellé dans cette démarche, c’est la réception en vrac d’une pile de papiers imbuvables. Il faut une motivation importante pour creuser et comprendre ces documents bruts», regrette ce physicien de formation.
Perdue dans ses feuilles, Sophie Sluysmans s’attarde sur un tableau détaillant ses déplacements ferroviaires. Une indication étrange a retenu son attention: «Die Profis». Pourquoi a-t-elle hérité de l’étiquette de «professionnelle»? Est-ce en raison de ses trajets réguliers pour se rendre au travail? Les CFF ne fournissent aucune note explicative, de quoi interroger la Belge, doctorante à l’Université de Genève. «Au-delà de la signification du mot, il est important de comprendre les conséquences pour l’utilisateur de cette catégorisation, souligne Paul-Olivier Dehaye. Il faut une transparence sur les critères qui permettent à l’algorithme de classer quelqu’un dans cette catégorie et à quelles fins elle a été créée.»
Une hypothèse se dessine: la personnalisation de campagnes promotionnelles. Elle semble se consolider après lecture de la déclaration de protection des données disponible sur le site de la compagnie: «Si nous connaissons vos achats, tels que les billets ou les abonnements, seules des offres pertinentes arrivent dans votre boîte e-mail». Ou encore: «Si vous vous inscrivez sur CFF Mobile, vous recevez des offres qui correspondent à vos habitudes de voyage». Contactée, la porte-parole des CFF Sabine Baumgartner précise que ces classifications sont seulement réalisées «pour nos propres mesures de marketing». La répartition entre les différents segments se fait selon plusieurs critères: être titulaire d’un abonnement au cours des cinq dernières années, la classe de l’abonnement, l’âge du client et son genre.
Cet écosystème n'est pas totalement hermétique. Dans le cadre d’un contrat publicitaire, les CFF communiquent à Google des données telles que le lieu de départ, le lieu d’arrivée, la date, la classe et l’âge. D’après un test effectué par l’émission A bon entendeur de la RTS, il est possible d’identifier une personne en croisant ces données avec celles de son compte Google. Interpellée à ce sujet, l'ancienne régie fédérale ne change pas sa ligne. «Il s’agit de données personnelles non identifiables, selon une porte-parole. Un nombre limité de données est transféré par l’application CFF de manière anonymisée, ce transfert de données ne permet pas de remonter à une personne précise.»
Il faut une motivation importante pour creuser et comprendre ces documents bruts.
Joséphine Mosch admet avoir un faible pour l’offre pléthorique de Zalando. Son engouement pour le géant allemand de la mode en ligne n’a pas échappé à la machine informatique de l’entreprise. «J’ai remarqué que Zalando m’avait attribué le statut VIP et je me questionne sur cette catégorie. Qu’est-ce que cela veut dire? Est-ce dû au volume de commandes, au montant des transactions, à leur régularité, à la rapidité de traitement de la facture ou tout ça en même temps?» Les questions fusent.
Chargée de communication pour le groupe, Nadine Vazhayil ne dévoile pas les critères de la collecte. Elle insiste sur ses bénéfices: «Nous voulons offrir un confort optimal et approfondir les relations avec notre clientèle grâce à des services sur mesure. Les clients réguliers accèdent à une plateforme plus personnalisée, notamment lorsqu’il s’agit de suggérer des tendances et de recommander des tailles.»
Cette volonté de personnalisation ne se limite pas aux services numériques, elle peut s’inviter dans le monde réel. De simples émetteurs Bluetooth, appelés beacons, permettent d’amasser des données sur ce qui les entoure. Un commerçant peut équiper sa boutique pour mieux connaître ses clients, leur parcours dans les rayons ainsi que les objets devant lesquels ils s’attardent.
«Grâce à ces petites boîtes, vous pourrez en savoir plus sur les clients qui passent la porte de vos boutiques», se réjouissait en 2014 Swisscom Magazine, publication destinée aux clients de l’entreprise. L’opérateur téléphonique ne cachait pas son intérêt pour cette technologie dans son rapport annuel de 2015, outil alors présenté comme un «projet d’innovation en cours». Quand Joséphine Mosch a reçu un tableau contenant son identité, la localisation d’une boutique, une date de visite, des produits accompagnés de leur numéro de référence, elle a tout de suite fait le rapprochement.
«Un potentiel intérêt de ma part a été enregistré pour toute une quantité de services disponibles dans un Swisscom Shop. Je vous en partage le détail en pièce jointe, avec des parties grisées qui concernaient les données privées», écrit-elle dans un courriel accompagné du fameux fichier.
Un Nokia Lumia 820 Black 4G, un iPhone 4S 8GB Black ou encore un Swissvoice ePure noir: la liste contient des dizaines de références. S’agit-il de produits qu’elle aurait pu approcher pendant sa visite?
Nicolas Passadélis, responsable des données chez Swisscom, assure que l’entreprise «n’utilise pas d’émetteurs Bluetooth dans ses points de vente». Après plusieurs échanges de courriels, la porte-parole de Swisscom Alicia Richon confirme qu’aucun traçage des mouvements n’est réalisé. «Non, la technologie Bluetooth n’a jamais été utilisée dans nos shops, du moins personne n’a pu m’en dire plus sur cela et il n’est pas planifié de le faire.» La représentante invite les clients concernés à s’adresser directement à leur service juridique pour déterminer «quelles données ont pu être collectées, à quel moment et avec quelles technologies».
Cette démarche individuelle se révèle troublante. Par ce biais, Joséphine Mosch apprend que les informations proviennent du système de caisse enregistreuse et correspondent donc à des achats effectués dans la boutique. Impossible, selon elle: «Cela me semble complètement farfelu, je ne connaissais même pas l’existence de certains produits!» Dans son courriel, Swisscom écarte l’hypothèse d’enregistrements basés sur la technologie Bluetooth avant d’admettre ne pas disposer de «plus de détails sur le déroulement» de sa visite dans un magasin à Sierre, en novembre 2013.
Des données anciennes et à l’origine mystérieuse. De quoi interloquer cette salariée d’une entreprise qui applique des règles strictes en matière de confidentialité: «Quand une personne est embauchée, ou si son dossier n’est pas retenu, nous avons un processus de destruction des données. Quel est l’intérêt pour Swisscom de conserver aussi longtemps des données sur tel appareil ou telle coque que j’ai observés dans un magasin il y a sept ans?» Malgré nos recherches et l’aide de spécialistes, impossible de comprendre comment Swisscom a collecté ces informations sans utiliser de beacons.
En l’absence de réponses claires de certaines entreprises, il faut bien souvent se contenter d’un faisceau d’indices. «Selon moi, ce n’est pas un problème d’en rester à des suppositions sur leurs pratiques tant qu’elles permettent de placer le sujet dans le débat public, note Paul-Olivier Dehaye. Cela contribue à mettre une pression sur les sociétés pour qu’elles fassent preuve de plus de transparence.» Ces zones d’ombre qui se forment entre les lignes d’un fichier aride alimentent toutefois une certaine défiance.
«L’entreprise de sécurité Prodis a répondu à ma demande d’accès par le simple envoi d’une copie de sa politique de confidentialité… Je dois admettre que je ne m’attendais pas à cela», lâche Stéphane Droxler, fondateur d’une société de conseil en matière de données numériques. Depuis 2005, elle lui fournit un système d’alarme composé d’une console de gestion et de détecteurs de mouvements. Le tout est relié à une centrale: «Ils peuvent savoir qui rentre dans la maison car chaque membre de la famille possède son propre badge.»
Pourquoi la société n’a-t-elle pas transmis ces données intimes? «Nous donnons une suite systématique aux demandes d’accès par l’envoi des données techniques, affirme au Temps le responsable de la communication, Stephan Jean, qui s’étonne de la fin de non-recevoir vécue par notre lecteur. Notre clientèle peut évidemment, conformément au cadre légal, accéder en tout temps aux données qu’elle nous livre.» Stéphane Droxler a finalement obtenu une réponse, qu’il juge incomplète, cinq mois après sa demande initiale. Il attend des garanties suffisantes pour renouveler son contrat.
Si une entreprise ne donne pas suite à une requête, une action civile peut être ouverte, mais cela implique des frais de justice. Dans certains cas, la démarche peut être gratuite si la demande est faite sur la base d’un contrat de consommateur. Enfin, le préposé fédéral à la protection des données peut être contacté, mais ses recommandations (publiées le plus souvent en allemand) ne sont pas contraignantes et il ne peut ouvrir une enquête que si une méthode de traitement est susceptible de porter atteinte à la personnalité d’un grand nombre de personnes.
L’entrepreneuse Nathalie Veysset a participé à l’opération à la fois pour découvrir l’étendue de sa propre trace numérique et pour tester l’attitude des services tiers utilisés par la société de commerce en ligne qu’elle a cofondée. «A l’interne, nous avons établi des garde-fous et une éthique en matière de vie privée. Mais nous ne pouvons compter que sur les déclarations de nos fournisseurs de services, sans pouvoir réellement vérifier ce qu’ils font des données de nos utilisateurs, ni si eux-mêmes s’appuient sur d’autres fournisseurs.»
Le résultat de ses démarches est mitigé. Plusieurs mois après ses requêtes et relances, la banque en ligne Revolut et l’entreprise de marketing ActiveCampaign n’ont pas réagi. En revanche, les Transports publics genevois et Swisscom lui ont transmis ses données. «Ils captent beaucoup d’informations dont on se demande si elles leur sont vraiment nécessaires, relève-t-elle. Les géolocalisations sont nombreuses, mais rien n’est précisé sur les services qui les exploitent.»
Plusieurs participants ont fait part de leur résignation, à l’image de Cristina Machado. «Si on n’est pas vraiment outillé ou accompagné d’un juriste pour déchiffrer les informations, on peut facilement être découragé, regrette la sexagénaire. Ce fonctionnement peut être interprété comme une volonté de ne pas dévoiler les pratiques de traçage. Il est impossible de savoir si les données transmises sont exhaustives ou si les entreprises détiennent d’autres informations sensibles.»
Une particularité suisse peut nourrir ce climat de suspicion: la plupart des fichiers ne sont pas traduits pour la clientèle romande. «J’ai reçu des documents rédigés en allemand accompagnés d’une lettre en français, pratique!» ironise Cristina Machado au sujet d’une requête envoyée à PostFinance. Même constat pour Sophie Sluysmans, une habituée de l’offre d’Yves Rocher: «Tout est en allemand, sauf le courrier joint.»
J’ai reçu des documents en allemand, pratique!
Comment expliquer cette carence? «Actuellement, les exportations des systèmes respectifs sont principalement en allemand. Les traduire prendrait trop de temps. Mais nous vérifions constamment nos processus», indique Johannes Möri, porte-parole de PostFinance. «Nos clients francophones reçoivent une partie de l’information en français. Cependant, comme nos bases de données sont gérées en allemand, les données elles-mêmes ne sont disponibles qu’en allemand», reconnaît Ottavia Masserini, son homologue des CFF.
Un motif informatique qui a l’allure d’un obstacle au droit d’accès. Paul-Olivier Dehaye relativise: «Cette difficulté de compréhension existe aussi à l’échelle européenne si, par exemple, un résident français demande ses données à une entreprise polonaise.» Il ajoute: «Cette complexité invite au développement de standards dans une optique de réduction des coûts et d’harmonisation des pratiques à l’échelle du marché européen.» Une harmonisation qui pourrait chasser quelques doutes.
«Il faudrait effectuer un grand travail de vulgarisation, tant sur le plan technique que juridique, bénéficier d’un accompagnement au moment de la réception des données personnelles. Une fois obtenues, qu’est-ce que j’en fais? Tout ce suivi, je ne touche pas le puck!» s’exclame la participante Joséphine Mosch. Quel article de loi peut-on brandir? Doit-on invoquer le règlement européen dans sa requête? Au fur et à mesure de l’expérience, les dix lecteurs se sont trouvés pris dans un enchevêtrement de situations hétérogènes et de législations touffues.
La loi suisse sur la protection des données (LPD) a été instaurée en 1992, quatre ans avant la première directive européenne en la matière. «Elle a été discutée dès les années 1980. Le scandale des fiches dans les années 1989-1990 a accéléré son adoption», contextualise Livio di Tria, doctorant en droit à l’Université de Lausanne et candidat à notre enquête participative. Dans un monde toujours plus connecté, ce texte a toutefois pris la poussière. Le Conseil fédéral a présenté en 2017 un projet de révision totale de la LPD. Après d’ultimes discussions au parlement en septembre 2020, la révision pourrait entrer en vigueur en janvier 2022 si elle ne fait pas l’objet d’un référendum. En attendant, les acteurs économiques évoluent dans ce flou de circonstance.
Ce qui me frappe le plus, ce sont les disparités entre les entreprises.
Depuis quatre ans, Livio di Tria demande ses informations personnelles à des entreprises: «Le droit d’accès a un rôle préventif et de contrôle, mais il permet surtout de garantir la transparence des traitements. Je suis bien conscient qu’il est plus facile d’exercer une demande de droit d’accès que d’y répondre, tant cette réponse nécessite d’avoir les bons réflexes, une bonne gouvernance d’entreprise et d’avoir été préalablement sensibilisé.» Cette matière alimente sa thèse sur le droit suisse et européen en matière de protection des données dans le cadre de la publicité en ligne. «Ce qui me frappe le plus, ce sont les disparités entre les entreprises. J’ai dû réitérer mes demandes pour que la boutique en ligne Digitec m’envoie les données me concernant en lien avec l’analyse du comportement de la clientèle. Migros, qui analyse également le panier d’achat de ses clients via son programme de fidélité Cumulus, envoie ces mêmes données mais sans expliquer les différentes catégories.»
Ces disparités instillent le doute. Une entreprise peut-elle, par exemple, exiger l’envoi d’une copie de la pièce d’identité du demandeur? «Au moment de l’envoi de ma requête, Salt m’a demandé de remplir un formulaire en joignant une copie de ma carte d’identité. J’ai laissé tomber… Je me suis rendu compte que, malgré la loi, rien n’est fait pour faciliter les demandes d’accès», regrette le militant Jean-Marc Vandel. Une telle exigence répond pourtant à un point de la LPD. Le maître du fichier doit prendre «des mesures adéquates afin d’assurer l’identification de la personne concernée et de protéger ses données de tout accès de tiers non autorisés lors de la communication des renseignements», peut-on lire sur le site du préposé fédéral.
A l’échelle européenne, cette vérification ne doit pas imposer une charge disproportionnée. C’est en tout cas la lecture de l’organisation Privacy International, qui prend un exemple délicat pour défendre sa position: «Si vous n’avez utilisé votre adresse électronique et votre pseudonyme que pour vous inscrire à un service en ligne, pourquoi ce service vous demanderait-il une copie de votre passeport pour vérifier votre identité, s’il ne disposait pas de ces données au départ?»
De quoi refroidir bien des citoyens avertis. «Ce ne sont pas des obstacles à minimiser, soutient Paul-Olivier Dehaye. Il existe une telle asymétrie entre la personne qui demande ses données et l’entreprise concernée que la moindre friction va amplifier ce déséquilibre. C’est loin d’être anodin. Je place la responsabilité de ces obstacles en partie sur les entreprises, quoique certaines aient des raisons légitimes de faire preuve de prudence. Une série d’abus est possible.»
Laurent Fasnacht craint justement de perdre la maîtrise de son existence numérique: «Cela peut être très facile d’obtenir ce type de fichier sur le web avec les attaques informatiques. Une personne malintentionnée pourrait voler mon identité en formulant plusieurs requêtes à ma place.» Le préposé fédéral propose une idée créative pour éviter ce scénario catastrophe lors d’une demande d’accès: gommer des éléments sensibles, comme la taille, la photo ainsi que le numéro du document d’identité. Selon les travaux académiques de Livio di Tria, l’entreprise devrait détruire le fichier aussitôt l’authentification du demandeur effectuée. Une alternative pourrait éviter cet envoi délicat: la mise à disposition d’un questionnaire pour vérifier la connaissance de plusieurs éléments personnels, comme la référence d’une facture ou le numéro client.
Additionnées, les identités numériques forment une matière explosive. L’affaire retentissante de Cambridge Analytica a montré le danger que représente cette économie pour la vie privée et la bonne marche démocratique d’un pays. «Nous n’avions pas besoin de ce scandale pour comprendre les pratiques d’un réseau social comme Facebook. Je déteste quand la politique court derrière les événements», lance au téléphone Viviane Reding, ancienne vice-présidente de la Commission européenne, chargée de la justice et des droits fondamentaux.
Je déteste quand la politique court derrière les événements.
L’architecte du RGPD défend l’idée d’un cadre juridique fort, seul à même de faire bouger les lignes. La législation européenne permet d’infliger une amende allant jusqu’à 4% du chiffre d’affaires annuel de l’entreprise incriminée. Mais les interprétations locales tendraient à affaiblir cet instrument: «A mon avis, il y a beaucoup trop de latitude donnée aux régulateurs nationaux. J’ai l’impression que ces derniers ne font pas toujours de zèle et il faudra donc une réforme pour revenir à mon idée originelle: un continent, une loi. Le régulateur européen doit porter des coups importants», appuie la membre du Parti populaire chrétien-social, au Luxembourg.
Selon le cabinet DLA Piper, qui se base sur les informations des autorités de contrôle, plus de 160 000 incidents ont été signalés entre mai 2018 – date de l’introduction du RGPD – et janvier 2020. Montant engendré par les amendes: 114 millions d’euros, selon les estimations des auteurs du rapport. Un montant qu’ils jugent faible. «Un tel dispositif légal n’existait nulle part ailleurs, il est donc normal que des difficultés apparaissent, on investissait un terrain vierge, rappelle Viviane Reding. Or, aujourd’hui, le numérique est un enjeu parfaitement identifié. La législation pourrait se renforcer, c’est normal, c’est le cours des choses.»
La question des sanctions crispe justement le débat en Suisse. Parmi les modifications proposées dans la révision de la loi apparaît le plafonnement de l’amende en cas de violation à 250 000 francs, contre les 500 000 francs proposés dans l’avant-projet. «Autant dire que l’effet dissuasif voulu n’est pas atteint», maugrée la Fédération romande des consommateurs. Une sanction qui, de surcroît, frapperait les personnes physiques, et non directement les entreprises. Robin Eymann, chargé de la politique économique à la FRC, regrette également que les pouvoirs du préposé fédéral à la protection des données n'aient pas été plus étendus. «Le régulateur ne peut prononcer d’amendes, ce qui limite encore plus l'effet dissuasif. Il détient moins de compétences que ses homologues étrangers, même avec la révision de la loi.»
«L’Union européenne utilise sa force économique pour exporter les instruments du RGPD, souligne Viviane Reding. Aucun pays lié économiquement avec l’Europe ne peut ignorer ce cadre juridique. Les entreprises suisses n’ont d’autre choix que de s’y conformer à partir du moment où elles entretiennent une relation commerciale avec un pays membre.» S’il salue l’existence de cet instrument, l’avocat genevois Nicolas Capt y voit une lourde charge pour les petites structures: «Elle soumet peu ou prou au même régime la PME qui vend en ligne du crottin de Chavignol et Facebook qui mine nuit et jour des données en masse et en fait son beurre.» Il s’inquiète toutefois d’un possible retard dans la mise en conformité de certains acteurs locaux, pourtant cruciale pour préserver la confiance des consommateurs: «Il est plus coûteux d’agir dans l’urgence. Mais, pour l’instant, le cadre suisse allégé ne fait peur à personne. C’est un tigre de papier.»
Le numérique a ouvert un séduisant champ des possibles. Notre personnalité se déploie sur des interfaces ludiques, nos connaissances amicales ne sombrent plus dans l’oubli, des produits sont à portée de clic. Bref, nos vies gagnent en fluidité. Un mouvement irrésistible qui masque les limites et les dangers d’un tel écosystème. «On explique aux enfants de ne pas adresser la parole à un inconnu. Pour le numérique, c’est un peu la même chose. On doit apprendre aux gens à ne pas livrer trop d’informations personnelles, déclare Laurent Fasnacht. Dans mon entourage, peu de personnes font preuve de prudence. Je ne suis pas très optimiste.»
Cette forme d’insouciance tranche avec un courant critique qui s’exprime depuis des décennies. En 1993, le mathématicien américain Eric Hughes, considéré comme l’un des fondateurs du mouvement Cypherpunk, publie un manifeste en faveur d’une préservation de la vie privée face à l’appétit technologique de gouvernements et d’entreprises. Un discours longtemps marginalisé tant les promesses du numérique accaparaient le débat. Aujourd’hui, ce discours revient au premier plan, porté par des activistes du monde entier. Les récents scandales renforcent leur visibilité. Certains revêtent les habits du lanceur d’alerte, comme Christopher Wylie, ancien employé de Cambridge Analytica à la chevelure colorée et au témoignage volcanique.
Paul-Olivier Dehaye fait partie de cette galaxie de citoyens engagés dont l’expertise intéresse la classe politique. Comme Christopher Wylie, il a témoigné devant une commission du parlement britannique sur la face sombre de Facebook.
Son travail ne se résume pas à des affaires spectaculaires. Le mathématicien belge mise également sur une stratégie des petits pas. Selon lui, chaque prise de conscience individuelle peut changer la donne: «Il ne faut pas tant de gens impliqués pour changer les processus d’entreprises et faciliter la démarche pour les suivants. C’est un cercle vertueux ou vicieux. Si on n’utilise pas ces droits, ils risquent de mourir.»
Cette approche prend forme avec son projet PersonalData.IO, qui fournit une «boîte à outils» pour formuler des requêtes auprès des entreprises, et MyData, une organisation qui incite les citoyens d’une quarantaine de pays à se rassembler pour reprendre le contrôle de leurs données. «Selon moi, c’est maintenant qu’il faut exercer son droit d’accès et ne pas lâcher, insiste-t-il. C’est un outil essentiel pour comprendre l’environnement numérique dans lequel on évolue.» Au cours de notre enquête participative, les participants ont tous mesuré l’importance du sujet. Autre signe d’un début de prise de conscience: certaines des entreprises contactées disent recevoir toujours plus de demandes d’accès.
Mais la démarche reste peu connue du grand public. «La plupart des gens à qui j’en parlais étaient étonnés d’avoir ce droit, souligne Cristina Machado. Ensuite, ils sont perdus, parce qu’ils ne savent pas comment faire.» Et la démarche a ses limites. «On ne sait pas exactement quelles entreprises tierces ont accès aux données et comment elles les traitent, relève Nathalie Veysset, participante à l’opération et cofondatrice d’une plateforme de commerce en ligne. C’est une toile d’araignée, on ne sait pas où le partage des données s’arrête.» Enfin, obtenir ses données participe à une prise de conscience mais ne permet pas d’en reprendre le contrôle.
Deux des participants de notre opération sont parvenus à limiter largement la fuite de leurs données, chacun à sa manière. Charles Simond, désormais à la retraite, achetait des adresses postales pour démarcher des clients dans le cadre de son travail: «Le principe était le même, plus on recherchait des profils précis, plus c’était cher.» Modérée, son activité en ligne passe par un géant incontournable: Google. Sa requête auprès de ce dernier lui a permis d’obtenir des données banales: «Un dossier Google Maps contient la localisation de mon domicile et une localisation datant de 2014. Je retrouve des vidéos que j’ai visionnées sur YouTube depuis 2011, mes e-mails, mon carnet d’adresses, probablement parce que j’ai accepté de partager mes contacts.» Dans l’ensemble, «rien de significatif».
Un dossier Google Maps contient la localisation de mon domicile.
Même résultat, mi-décevant, mi-rassurant, pour le virtuose de l’informatique Laurent Fasnacht. «Ma solution, c’est de contrôler en amont les données que je fournis. D’une part, j’en donne le moins possible. D’autre part, je les compartimente: il est difficile de recouper mes différents comptes et comportements en ligne.» L’informaticien utilise notamment des machines virtuelles, des environnements de travail temporaires qu’il peut supprimer après utilisation. Une précaution radicale qui n’est pas à la portée de tout le monde.
Pour les géants de la tech que sont Apple et Google, le respect de la vie privée est devenu un argument commercial. De version en version, leurs systèmes d’exploitation pour smartphone deviennent plus stricts en matière de confidentialité. Depuis iOS 14, Apple bloque même l’identification publicitaire si l’utilisateur ne l’accepte pas explicitement. Un coup dur pour les entreprises de marketing.
Mais Apple et Google ne corrigent pas rétroactivement les failles de confidentialité de leurs systèmes d’exploitation. De nombreux smartphones équipés de vieilles versions d’Android ne permettent pas d’empêcher la géolocalisation. «L’intimité est un luxe: pour en bénéficier, il faut un téléphone neuf», souligne Joel Reardon, spécialiste des failles en matière de vie privée.
Facebook fait aussi des efforts: paramètres de confidentialité détaillés, affichage d’explications sur le ciblage de chaque publicité. Spotify permet également de limiter le traçage. Joséphine Mosch a testé ces options: «J’ai fini par désactiver plusieurs paramètres de suivi. Le problème, c’est que le service ne retient plus aussi bien mes habitudes d’écoute, on se coupe d’une certaine fluidité.»
Pour échapper au traçage, pourquoi ne pas débrancher complètement? Ou renoncer aux réseaux sociaux? Mais aussi aux boutiques en ligne et aux messageries gérées par Google, Facebook, Apple? Et à la géolocalisation? «Les applications des CFF et des Transports publics genevois sont conçues pour se référer à notre position, rappelle Nathalie Veysset. Si je veux calculer rapidement mon itinéraire, je suis tracée.»
La décision de disparaître totalement du web a traversé l’esprit de certains participants de l’opération, mais aucun n’a franchi le pas. Pour une raison évidente: le numérique irrigue tous les aspects de leur vie. Ils ne veulent pas «devenir un homme des cavernes», comme le résume l’informaticien Jean-Marc Vandel en un sourire. Et Cristina Machado de résumer ce dilemme illusoire: «Si on veut échapper à la collecte de nos données, on est marginalisé.»
Le rythme auquel les entreprises amassent, traitent et revendent les données personnelles s’est accéléré de manière spectaculaire. Des services anodins – écoute de musique, météo, jeux pour enfants sur smartphone – sont assortis de traceurs invisibles qui transmettent nos informations à des data brokers, des sociétés de revente de données.
En parallèle, de nombreuses entreprises se retrouvent à gérer des données numériques qui les dépassent, sans directives internes sur les questions de vie privée et sans réelle maîtrise de la manière dont leurs prestataires externes traitent ces données.
Quant aux utilisateurs, la plupart ne se doute pas de l’étendue de leurs traces numériques et ignorent leur droit de regard sur les données les concernant. Seule une poignée de personnes milite pour actionner le droit d’accéder, modifier ou supprimer les données collectées à leur sujet par des entreprises.
Comment avons-nous procédé?
Après une conférence qui a fait salle comble en janvier, nous avons proposé à dix lectrices et lecteurs de faire valoir leurs droits dans ce domaine. Paul-Olivier Dehaye, expert en protection de la vie privée et fondateur de PersonalData.IO, nous a accompagné bénévolement tout au long du projet.
Comme le montre notre enquête, la procédure est fastidieuse. Trois rencontres ont été organisées à la rédaction pour faire le point avec les participants sur leurs démarches. Les discussions se prolongeaient par messagerie et sur le forum de PersonalData.IO. De nombreuses citations de cet article proviennent de ces échanges. Elles ont été reproduites avec l’accord de la participante ou du participant concerné.
Les points saillants identifiés par les participants ont fait l’objet d’un long travail de vérification. Nous avons contacté les entreprises concernées pour obtenir des précisions concernant leur politique de protection des données personnelles. Il est important de préciser qu’aucune n’a été préalablement choisie par notre rédaction. Ce sont les participants qui, selon leur présence numérique et leur sensibilité, ont pris la décision de contacter tel ou tel acteur économique.
Que faut-il en retenir?
Malgré ses faiblesses, le droit d’accès permet d’observer la manière dont les entreprises traitent nos données personnelles. En pratique, rares sont celles qui répondent pleinement aux demandes d’accès. Souvent, les entreprises paraissent simplement dépassées par le volume des données qu’elles collectent.
Avec le renforcement des lois en matière de données personnelles, l’approche privacy by design (intégrer la protection de la vie privée dès la conception d’un service) gagne du terrain: enregistrer le strict nécessaire, déterminer des durées de conservation, limiter l’accès aux données personnelles. Mais cela représente un changement profond pour certaines sociétés.
Quelles données avons-nous offertes aux géants en ligne?
Nous avons produit plus de cinquante échanges d’e-mails, hébergés en partie par Microsoft, fournisseur de Ringier Axel Springer, notre éditeur, et en partie sur Protonmail, qui propose un service de messagerie chiffrée. Ce texte a été coécrit par deux personnes sur Google Docs qui en a gardé plus de trente versions et sait précisément qui a ajouté, supprimé ou modifié une portion de texte et à quel moment. De nombreux échanges ont eu lieu sur la plateforme Slack, la messagerie instantanée utilisée au Temps.
Quelles données avez-vous transmises?
Le texte que vous êtes en train de lire est hébergé sur notre serveur qui fait appel à plusieurs outils d’analyse, comme Parsely et Google Analytics, qui mesurent que vous êtes arrivé en bas de cette page. Ces statistiques nous permettent de juger du succès ou non de nos contenus éditoriaux et de la manière dont ils sont consultés. D’autres services se trouvent également sur cette page. En voici la liste:
- Maxcdn BootstrapCDN, qui appartient à Highwinds Network Group, une société d’hébergement américaine
- CloudFlare, utilisé comme un réseau de diffusion de contenu (CDN, en anglais)
- DigitalOcean, l’hébergeur de nos formats interactifs (labs.letemps.ch)
- Fonts.googleapis, un service de Google qui permet d’utiliser des polices pour le texte
- Wemfbox.ch, un outil de statistique pour la Suisse
- Ajax.googleapis.com, une page sur laquelle on trouve des scripts qui sont inclus depuis les serveurs de Google
- Cdnjs.cloudflare.com, des scripts qui sont inclus depuis les serveurs de CloudFlare
- Unpkg.com, un script est inclus depuis ce domaine, qui est également servi par CloudFlare
- Datawrapper.dwcdn.net, ce long format possède un graphique hébergé par le service Datawrapper
- Un «Tag Manager», celui de Google. C’est un service qui permet d’inclure d’autres tags de traçage facilement
- Get.contentpass.net, un script qui permet de détecter si l’utilisateur possède un adblocker
- Ecure.adnxs.com / Aka-cdn-ns.adtech.de, un script pour faire du reciblage publicitaire
- Un script de tracking de LinkedIn pour du reciblage publicitaire
- Le Facebook Pixel pour du reciblage publicitaire