Le service « gratuit » Unroll.Me est au cœur d'une tourmente, après avoir vendu des informations issues des boites emails de ses utilisateurs. Ce cas souligne la difficulté de connaître l'utilisation concrète de nos données personnelles, anonymisées ou non, alors que la législation se renforce bientôt sur le sujet en Europe.
Il y a quelques jours, le New York Times a révélé qu'Uber a exploité des reçus anonymisés de son concurrent Lyft pour analyser sa santé financière. Les reçus en question ont été piochés dans les boites email d'utilisateurs du service Unroll.Me, détenu par la société d'analyse Slice Intelligence.
La nouvelle a courroucé les utilisateurs en question, qui comptent sur Unroll.Me pour se désinscrire simplement de newsletters et obtenir un résumé des restantes. Des alternatives existent, comme un script open source développé suite à cet épisode, cataloguant automatiquement les liens « Se désinscrire » dans une feuille de calcul dédiée.
Dans un billet de blog du 23 avril, le cofondateur du service juge cette colère des internautes « déchirante », mais rappelle qu'ils ont accepté la commercialisation de leurs données à l'inscription. Pour faire bonne figure, il affirme vouloir désormais être plus clair à ce sujet, comprenant que la plupart des internautes ne lisent pas sa politique de vie privée. Autrement dit, le tort leur revient bien.
Cet épisode est le dernier d'une longue série, qui rappelle que la transparence reste souvent le parent pauvre dans l'exploitation des données par des services « gratuits ».
Le business de la revente de données
Concrètement, Slice Intelligence a aidé Uber dans sa veille concurrentielle, sans avertir les internautes que leurs données étaient fournies à la plateforme de VTC. Le propriétaire d'Unroll.Me a agi comme un « data-broker », exploitant discrètement les données des internautes utilisant un service associé.
Ces outils sont utilisés dans bien des domaines, notamment la politique, où constituer des profils d'internautes peut s'avérer très utiles. En janvier, Vox Pop avait par exemple enquêté sur Cambridge Analytica, la société dont le service d'analyse avait été utilisé lors de la campagne présidentielle de Donald Trump, sur la base de données à propos de 230 millions d'Américains. Ces derniers ont une visibilité très limitée sur les « milliers d'informations » que la société se vante de détenir sur chacun d'eux.
Fin 2015, c'était Cash Investigation qui se penchait sur des sociétés françaises revendant les données de leurs clients, sans qu'ils le sachent. Certaines, à l'image de Profils Seniors, n'étaient d'ailleurs pas déclarées auprès du gardien des données personnelles, la CNIL. D'autres, comme l'Unicef, commercialisaient ces données tout en prétendant s'en abstenir, révélait l'émission.
Sur le sujet, rappelons aussi le cas de Change.org, épinglé en juillet 2016 sur la commercialisation de certaines données liées à des pétitions. Le journal italien L'Espresso révélait que le service revend des adresses email collectées dans le cadre de certaines pétitions, de 85 centimes à 1,5 euro pièce selon le volume obtenu.
En réponse, Change.org a précisé que les campagnes « sponsorisées » en question sont marquées comme telles, nécessitant de consentir à « rester en contact » si l'internaute le veut.
Des télécoms plus « libres » outre-Atlantique
Comme le rappelle le New York Times, les autorités américaines enquêtent sur ces entreprises depuis plusieurs années, la Commission du commerce demandant une meilleure protection des données personnelles. Pourtant, la situation est loin de s'améliorer en ligne. Il y a trois semaines, le Congrès et le président américains revenaient sur des règles mises en place l'an dernier par le régulateur des télécoms, la FCC.
Celles-ci imposaient des mesures de protection des données personnelles aux opérateurs, qui devaient obtenir un consentement explicite à la commercialisation de ces informations, et les prévenir lors de leur partage avec d'autres entités. Parmi ces données figurent potentiellement l'historique de navigation, que ces sociétés se sont empressées d'affirmer ne pas revendre.
Pourtant, les groupes télécoms étaient vent debout contre les règles de la FCC, qualifiées d'entrave à l'innovation commerciale, alors que les fournisseurs de services en ligne (dont les GAFA) sont jugés bien plus libres. Opérateurs et publicitaires marchaient main dans la main pour réclamer une réglementation flexible, obtenue à la faveur de l'élection de Donald Trump.
Les internautes américains ont perdu une opportunité de transparence dans la revente de leurs données par les opérateurs.
Des lois qui se renforcent en Europe
Dans l'Union européenne, la règlementation doit se renforcer dans les mois à venir, avec l'entrée en vigueur du Règlement général sur la protection des données (RGPD) et ePrivacy (voir notre analyse). Les deux textes imposent, entre autres, un consentement via le navigateur pour le dépôt de cookies, une meilleure protection des métadonnées ainsi que plus de transparence de la part des sociétés, notamment en cas de fuite.
Y préparer les entreprises françaises est la grande mission de la CNIL pour 2017, en parallèle de grands enjeux comme la collecte discrète de données par les TV connectées. Le sujet n'est pas nouveau, les CNIL européennes s'étant battues avec Google sur le croisement (sans consentement) des données des internautes européens, avant d'ouvrir un autre front sur le droit à l'oubli.
La commission française s'est déjà montrée active sur le contrôle des données en 2016, avec près de 8 000 vérifications et 13 sanctions financières. Elle a par exemple mis en demeure Facebook de mieux demander le consentement des internautes, alors que le groupement des autorités européennes (G29) a épinglé le groupe pour le partage des données entre son réseau et WhatsApp.
La commission s'est aussi exprimée sur l'exploitation des emails à des fins publicitaires. Désormais, il faut un consentement annuel explicite pour exploiter les courriels pour en tirer de la publicité. Pour rappel, en France, chaque citoyen a un droit de regard et de rectification sur les données personnelles détenues par les entreprises. La CNIL propose d'ailleurs des modèles de lettres pour obtenir l'accès ou la révision des données.