Le service « gratuit » Unroll.Me est au cœur d'une tourmente, après avoir vendu des informations issues des boites emails de ses utilisateurs. Ce cas souligne la difficulté de connaître l'utilisation concrète de nos données personnelles, anonymisées ou non, alors que la législation se renforce bientôt sur le sujet en Europe.
Il y a quelques jours, le New York Times a révélé qu'Uber a exploité des reçus anonymisés de son concurrent Lyft pour analyser sa santé financière. Les reçus en question ont été piochés dans les boites email d'utilisateurs du service Unroll.Me, détenu par la société d'analyse Slice Intelligence.
La nouvelle a courroucé les utilisateurs en question, qui comptent sur Unroll.Me pour se désinscrire simplement de newsletters et obtenir un résumé des restantes. Des alternatives existent, comme un script open source développé suite à cet épisode, cataloguant automatiquement les liens « Se désinscrire » dans une feuille de calcul dédiée.
Dans un billet de blog du 23 avril, le cofondateur du service juge cette colère des internautes « déchirante », mais rappelle qu'ils ont accepté la commercialisation de leurs données à l'inscription. Pour faire bonne figure, il affirme vouloir désormais être plus clair à ce sujet, comprenant que la plupart des internautes ne lisent pas sa politique de vie privée. Autrement dit, le tort leur revient bien.
Cet épisode est le dernier d'une longue série, qui rappelle que la transparence reste souvent le parent pauvre dans l'exploitation des données par des services « gratuits ».
Le business de la revente de données
Concrètement, Slice Intelligence a aidé Uber dans sa veille concurrentielle, sans avertir les internautes que leurs données étaient fournies à la plateforme de VTC. Le propriétaire d'Unroll.Me a agi comme un « data-broker », exploitant discrètement les données des internautes utilisant un service associé.
Ces outils sont utilisés dans bien des domaines, notamment la politique, où constituer des profils d'internautes peut s'avérer très utiles. En janvier, Vox Pop avait par exemple enquêté sur Cambridge Analytica, la société dont le service d'analyse avait été utilisé lors de la campagne présidentielle de Donald Trump, sur la base de données à propos de 230 millions d'Américains. Ces derniers ont une visibilité très limitée sur les « milliers d'informations » que la société se vante de détenir sur chacun d'eux.
Fin 2015, c'était Cash Investigation qui se penchait sur des sociétés françaises revendant les données de leurs clients, sans qu'ils le sachent. Certaines, à l'image de Profils Seniors, n'étaient d'ailleurs pas déclarées auprès du gardien des données personnelles, la CNIL. D'autres, comme l'Unicef, commercialisaient ces données tout en prétendant s'en abstenir, révélait l'émission.
Sur le sujet, rappelons aussi le cas de Change.org, épinglé en juillet 2016 sur la commercialisation de certaines données liées à des pétitions. Le journal italien L'Espresso révélait que le service revend des adresses email collectées dans le cadre de certaines pétitions, de 85 centimes à 1,5 euro pièce selon le volume obtenu.
En réponse, Change.org a précisé que les campagnes « sponsorisées » en question sont marquées comme telles, nécessitant de consentir à « rester en contact » si l'internaute le veut.
Des télécoms plus « libres » outre-Atlantique
Comme le rappelle le New York Times, les autorités américaines enquêtent sur ces entreprises depuis plusieurs années, la Commission du commerce demandant une meilleure protection des données personnelles. Pourtant, la situation est loin de s'améliorer en ligne. Il y a trois semaines, le Congrès et le président américains revenaient sur des règles mises en place l'an dernier par le régulateur des télécoms, la FCC.
Celles-ci imposaient des mesures de protection des données personnelles aux opérateurs, qui devaient obtenir un consentement explicite à la commercialisation de ces informations, et les prévenir lors de leur partage avec d'autres entités. Parmi ces données figurent potentiellement l'historique de navigation, que ces sociétés se sont empressées d'affirmer ne pas revendre.
Pourtant, les groupes télécoms étaient vent debout contre les règles de la FCC, qualifiées d'entrave à l'innovation commerciale, alors que les fournisseurs de services en ligne (dont les GAFA) sont jugés bien plus libres. Opérateurs et publicitaires marchaient main dans la main pour réclamer une réglementation flexible, obtenue à la faveur de l'élection de Donald Trump.
Les internautes américains ont perdu une opportunité de transparence dans la revente de leurs données par les opérateurs.
Des lois qui se renforcent en Europe
Dans l'Union européenne, la règlementation doit se renforcer dans les mois à venir, avec l'entrée en vigueur du Règlement général sur la protection des données (RGPD) et ePrivacy (voir notre analyse). Les deux textes imposent, entre autres, un consentement via le navigateur pour le dépôt de cookies, une meilleure protection des métadonnées ainsi que plus de transparence de la part des sociétés, notamment en cas de fuite.
Y préparer les entreprises françaises est la grande mission de la CNIL pour 2017, en parallèle de grands enjeux comme la collecte discrète de données par les TV connectées. Le sujet n'est pas nouveau, les CNIL européennes s'étant battues avec Google sur le croisement (sans consentement) des données des internautes européens, avant d'ouvrir un autre front sur le droit à l'oubli.
La commission française s'est déjà montrée active sur le contrôle des données en 2016, avec près de 8 000 vérifications et 13 sanctions financières. Elle a par exemple mis en demeure Facebook de mieux demander le consentement des internautes, alors que le groupement des autorités européennes (G29) a épinglé le groupe pour le partage des données entre son réseau et WhatsApp.
La commission s'est aussi exprimée sur l'exploitation des emails à des fins publicitaires. Désormais, il faut un consentement annuel explicite pour exploiter les courriels pour en tirer de la publicité. Pour rappel, en France, chaque citoyen a un droit de regard et de rectification sur les données personnelles détenues par les entreprises. La CNIL propose d'ailleurs des modèles de lettres pour obtenir l'accès ou la révision des données.
Commentaires (30)
#1
Voilà pourquoi je n’autorise aucun service tiers à accéder à ma boite mail.
Et le gentil service de désincription devient un service à la morale bien sale…
#2
Pour un service permettant de se désinscrire de boitAspam , c’est quand même un sacré coup de poignard dans le dos.
Lisez les CGU.
#3
#4
Pourquoi ils ne peuvent s’en prendre qu’à eux même? Ce n’est pas parce qu’ils n’ont pas eu la patience de lire toutes les CGU qu’ils doivent être considérés comme fautifs. C’est pour cela que les “clauses abusives” sont interdites en France, de façon à ne pas cacher des petites clauses comme celles-ci dans des contrats/CGV/CGU…
#5
Achetez vous un petit NUC, fouttez un BSD/Linux dessus, configurez votre domaine et recevez vos mails. Et la foire se termine.
#6
#7
#8
c’est sûr que c’est à la portée de tout le monde
" />
Sinon pour ceux qui crachent sur l’UE : entre ce renforcement de la protection des données personnelles et la fin du roaming (pour ne citer que 2 parmi tant d’autres), l’UE fait quand même de bonnes chosent.
#9
GPG c’est de base sur votre Linuc/BSD. Le reste vous serez mieux servit par vous même. Faut être fada pour confier sa sécurité et ses données persos à des tiers même propre sur eux.
#10
Même s’ils ont mis la pilule, c’est un peu facile de se plaindre du contenu d’un contrat que l’on a signé…
#11
Tout a fait. Même gmail vous signez pour leur donner vos mails qui ne sont même plus à vous.
#12
#13
Mme Michu sait lire les magnifiques documentations que lui ont préparé des générations de libristes. Serieux fouttez la paix à cette pauvre Mme Michu pour justifier nawak à l’utilisation de services tiers.
#14
#15
+1 
" />
Le jour ou ma mère me dira qu’elle a décidé d’héberger ses données elle mêmes, c’est pas demain la veille !
Par contre je pense qu’elle n’a JAMAIS lu une seule CGU.
#16
#17
le cofondateur du service juge cette colère des internautes « déchirante », mais rappelle qu’ils ont accepté la commercialisation de leurs données à l’inscription.
Oui, on vous a arnaqué… mais c’était écrit qu’on avait le droit !
#18
Bah justement Mme Michu elle a justement un fils/fille comme toi pour le faire. ET voilà. CQFD
#19
Heu oui sauf que je le fais pas. 
" />
Déjà que je dois me taper presque tous les mois un ordinateur à réparer pour un proche, ca me fait déjà bien chier comme ça. Alors si ils veulent un serveur perso avec assistance incluse, bin il la paye a quelqu’un dont c’est le métier.
Mais comme l’a dis Fate1, aucune chance qu’on me demande ça…
#20
euh non, les clauses abusives ne sont pas interdites. Elles sont considérées comme nulles. Ce qui veut dire que tu ne peux pas poursuivre quelqu’un parce qu’il a mis une clause abusive, mais tu as le droit de ne pas l’appliquer ou attaquer si quelqu’un l’applique …si tu arrives à être sure qu’elle est bien abusive..
#21
#22
Merci pour ce moment message… Ca devient lassant ces posts de nerdogeek qui pense que parce qu’eux savent le faire, tout le monde sait le faire. Perso ça m’intéresse mais je n’ai jamais réussi à faire de l’auto-hébergement. Et comme tu le signales, arriver à le faire n’est pas une garantie que cela tienne, si c’est pour qu’un simple script kiddie arrive à lire mes mails parce que je les aurai mal sécurisé, c’est pas la peine. Et je n’ai pas envie d’intégrer ne école d’ingé pendant 5 ans pour héberger mes mails (je viens juste de passer aux mails payants, et déjà c’est la galère pour la migration, donc le faire moi-même c’est utopique).
#23
#24
Ah… le “tout tout de suite sans effort”.
Ca n’a rien à voir avec le “nerdo geek”. Ce n’est pas si compliqué, et pas besoin d’être ingé.
Par contre oui , ça demande du temps.
Comme tout, il faut s’intéresser au sujet et prendre le temps nécessaire pour comprendre ce que l’on fait. J’ai le même “problème” si je veux faire du tir à l’arc ou je ne sais quelle domaine que je ne maitrise pas.
Je comprends tout à fait que l’on préfère utiliser des services assurés par d’autres hein, (mais pour les mails, regarder caliopen et les services de framasoft me semble pas mal aussi).
#25
#26
Pas de soucis, c’est les agences de renseignement qui liront tes mails à la place, et les boites de pubs.
#27
#28
Pas la peine d’être condescendant… Je connais les avantages de l’auto-hébergement, merci.
#29
Tu as sauté les 3 lignes d’au dessus ou je dis que ça me ferais chier de me taper des installes et maintenances ? 
" />
" />
" />
Sans déconner, j’accepte de réparer de temps en temps des PC gratuitement, mais faut pas non plus me prendre pour un admin système bénévole… Donc non, aucune chance que je leur propose ça de moi-même.
Franchement des fois les gens abuse quand tu leurs dis que tu bosses dans l’informatique… J’veux dire on m’a quand même demandé de réparer un réveils HS, sérieusement… J’ai que ça à foutre de sortir un voltmètre pour tester tous les composants sur un truc qui coûte 15€ neuf… Ça ou quand les gens me demande de revendre leurs ordinateurs qui ont 10 ans et qui valent pas 30€… Ca vaut même pas le temps que je vais passer à réinstaller windows quoi…
#30