Ce jeudi, France 2 diffusera un nouvel épisode de Cash Investigation consacré à la manière dont sont traitées et partagées nos données personnelles, notamment en matière de santé, près de cinq ans après l'entrée en vigueur du RGPD. Comme on pouvait s'y attendre, le constat est loin d'être idyllique.
En octobre 2015, Cash Investigation diffusait un reportage sur les « stratégies secrètes » du marketing, s'intéressant notamment au cas du traitement de nos données par une filiale de La Poste, qui avait fait grand bruit.
Ce jeudi, l'émission présentée par Elise Lucet et diffusée sur France 2 revient sur cette thématique, en se posant cette fois la question de manière plus large, s'intéressant à la façon dont les sites et applications collectent et diffusent nos informations, parfois intimes, avec une notion particulière du consentement.
Mais aussi à l'activité des data brokers, notamment dans le domaine de la santé. Et ce que la récolte de ces données permet, lorsqu'il s'agit de tout savoir d'une personne en particulier (malgré les promesses d'anonymisation) et d'établir un profil psychologique. Une capacité d'analyse qui peut être utile à bien des égards.
Le reportage est accessible via France.tv en avant-première. Une pratique critiquée parce que la création d'un compte est exigée pour y accéder. Ironique étant donné la situation. D'autant que la date de naissance est demandée, pour vérifier que vous avez bien plus de 16 ans, tout comme le code postal. Ce qui peut être utilisé... à des fins publicitaires. Vous pouvez refuser la collecte de données, enfin... « continuer sans accepter ».
Notez que l'exigence d'un compte n'est pas présente sur toutes les plateformes. Nous avons ainsi pu regarder l'émission sans créer de compte France.tv via l'application Android TV du groupe par exemple.
Obtenir le téléphone de ministre ou du directeur de la BRI
Le reportage s'ouvre avec l'interview de Romain Cochard, qui a contacté Élise Lucet via son numéro de portable, qu'il avait récupéré pour 60 centimes au sein de la plateforme américaine Lusha. Celle-ci se propose de fournir les coordonnées de pas moins de 100 millions de personnes, en quelques clics (et dit respecter le RGPD).
Problème, la présentatrice n'avait pas donné son accord pour que son numéro soit récupéré et revendu de la sorte. Elle n'avait d'ailleurs pas conscience que c'était le cas. Il s'agit là du principe des data brokers, qui agrègent en masse des données depuis différentes sources, pour créer (et vendre) des profils précis.
D'autres sont présents sur ce marché et cités dans le reportage, comme Kaspr, AeroLeads ou ColdCRM qui se vante d'avoir la plus grande base de données au monde avec 320 millions de contacts. 129 euros par mois suffisent pour obtenir les numéros de toute personne contenue dans cet immense entrepôt à données.
Les journalistes y ont ainsi trouvé le numéro de portable de ministres ou de hauts gradés de la Police comme Christophe Molmy, actuel directeur de la BRI ou Jean-Marie Salanova Directeur central de la sécurité publique. Ce dernier précisera même que ce numéro professionnel est censé être en « boucle fermée », non diffusé à l'extérieur.
Si un interlocuteur indien a pris en charge l'équipe lorsqu'il s'agissait de savoir si elle était satisfaite du service en tant que client, il cache bien un entrepreneur français : Raphael Azot, prix « coup de cœur » du concours de pitch de l'EMLYON Business School en 2013, qui s'était exprimé à l'occasion d'une conférence nommée « Nos données en ligne sont elles réellement à l'abri ? » lors d'un TEDx à ParisDauphine en 2016. La vidéo a été retirée depuis.
S'il a refusé d'être interviewé, il a indiqué aux journalistes que ses données provenaient d'applications mobiles.
Applications mobiles et consentement
Car ces dernières ont longtemps obtenu, et obtiennent encore souvent des autorisations assez larges de la part des utilisateurs. Notamment lorsqu'il s'agit de récupérer les données de leur carnet d'adresse qui viennent alimenter ce genre de services qui font office d'annuaire mondial. L'équipe est ainsi allée interroger Esther d'Exodus Privacy.
Elle a montré avec l'aide de son projet Pithus comment les applications récoltaient et envoyaient de nombreuses données, avec des implications parfois sensibles. Notamment l'une des plus utilisées dans le monde, proposant le contenu de la Bible, mais permettant de savoir, par exemple, que vous être très certainement catholique.
Cette dernière partageait lors de l'analyse des données à travers 107 communications avec des tiers. Le reportage évoque aussi le cas de l'application Muslim Pro qui a informé l'armée américaine de la position géographique de musulmans, dont des Français qui ont depuis décidé de porter plainte.
« Doctissimo c'est Brutissimo »
Un cas a particulièrement intéressé l'équipe de Cash Investigation : l'application Ma grossesse proposée par Doctissimo, qui fait partie du groupe TF1 via sa filiale Unify regroupant ses sites visant principalement le public féminin et les nouvelles technologies. Elle dispose de sa propre offre publicitaire via Unify Digital Factory.
Ici, Esther a pu constater que l'application envoyait des informations à des tiers (localytics, Xiti et Google analytics), alors qu'elles peuvent être considérées comme des données de santé : le poids, la taille, la date d'accouchement. Même constat sur des quizz, 300 étant proposés sur le site, qui permettent à des tiers de savoir lesquels ont été visités, alors que certains évoquent une possible dépression par exemple.
Démonstration est faite que la politique en matière de données personnelles du site est loin d'être simple, transparente et aisée à comprendre : 5 800 mots, 35 minutes de lecture pour Elise Lucet à l'époque du tournage. On notera au passage que la politique en matière de consentement a évolué depuis, puisque suite à la mise en place des nouvelles recommandations de la CNIL, on peut désormais refuser de donner son consentement.
Cela mène le site à... vous proposer de vous abonner. Une pratique sur laquelle nous sommes déjà revenus.
Les équipes de Doctissimo ont de leur côté assuré par écrit dans les deux cas qu'aucun transfert de données à des tiers n'était opéré, malgré les constats fait dans le cadre de l'émission. Élise Lucet et ses journalistes ont donc tenté de contacter le patron, Nicolas Salado, qui n'a pas donné suite malgré de multiples relances, pendant 11 mois.
Comme à son habitude, elle s'est donc rendue sur place afin de le rencontrer. Les personnes présentes chez Unify ont alors laissé l'équipe rentrer, une employée de Doctissimo s'étant proposé de contacter Salado qui était en télétravail. Mais le tournage a alors été interrompu par Olivier Abecassis, Président d'Unify au sein du groupe TF1.
Il a ainsi indiqué à l'équipe de Cash Investigation qu'il contactait les forces de l'ordre, leur expliquant que « des journalistes se sont introduits dans son entreprise », les forçant à quitter les lieux. Ce qui inspira à l'équipe cette remarque : « Doctissimo c'est Brutissimo ». Aucune autre explication ne sera donnée sur le transfert à des tiers.
Pour rappel, une plainte avait été déposée auprès de la CNIL par Privacy International en juillet dernier. Un autre service du groupe faisait l'objet d'une plainte en avril : MyTF1.
Pour Cédric O, tout va bien
Une scène similaire, quoi que moins « directe », aura été filmée avec le secrétaire d'État en charge du numérique, Cédric O, qui a laissé les journalistes sans réponse pendant 5 mois. Interpellé lors d'un colloque pour « se rencontrer autour d'une table », il leur aura également demandé de partir : « on se posera autour d'une table, allez hop ».
Il aura finalement livré une interview dans laquelle il montre son soutien au RGPD, « un bon texte qui est globalement respecté », ce malgré les multiples manquements constatés depuis son vote, son entrée en application en 2018 et encore aujourd'hui. Il ne déplore ainsi que quelques « trous dans la raquette ».
Revenant sur la question du droit à obtenir les données qu'une entreprise détient sur nous, les journalistes ont constaté que sur 40 demandes écrites, 1 seule a reçu une réponse dans le délai légal (1 mois). Au bout de 4 mois, 13 ont envoyé des données, 11 ont dit ne rien avoir, 16 n'ont pas donné suite. Facebook et Google en font partie.
Si ces sociétés proposent des interfaces en ligne permettant à ceux qui ont un compte de récupérer des données, cela ne couvre qu'une faible partie selon Max Schrems de Noyb, interrogé dans le cadre de l'émission. Pour preuve, les 1 200 pages de données récupérées par ses soins auprès de Facebook sur son propre compte. Et en cas de manquement, les amendes sont encore faibles au regard des bénéfices de ces sociétés.
Pour Cédric O, cela s'explique par la proportionnalité des sanctions face aux faits reprochés. Le secrétaire d'État préfère se féliciter du fait que l'on ait vu « beaucoup de changements » ces derniers mois, notamment grâce au RGPD, précisant que si des sociétés outrepassent leurs droits en matière de traitement des données, les utilisateurs peuvent se plaindre à la CNIL avec des sanctions à la clé. Certains, qui ont déposé des plaintes auprès de la Commission il y a plusieurs années sans retour sur leur aboutissement, seront sans doute en désaccord.
On regrette également au passage un raccourci de l'émission qui semble indiquer que les droits en matière de protection des données datent de l'entrée en application du RGPD, critiqué au passage pour les fameux « bandeaux cookies ». Or, en France la réglementation en la matière est bien antérieure, le règlement européen ayant surtout durci les règles de consentement, qui n'ont pas vraiment été respectées jusqu'à encore très récemment.
Si c'est « la croix et les bannières », cela vient plutôt de ces années de laisser-faire généralisé, malgré la loi.
IQVIA, pharmaciens et Health Data Hub
L'un des sujets qui a été mis en avant pour la promotion de l'émission est celle des données de santé récupérées par IQVIA à travers les pharmacies. La société, critiquée outre-Atlantique pour sa gestion du consentement par le passé ou sa position dominante, a obtenu des autorisations de la CNIL pour sa filiale française.
Notamment LRX en 2018, qui permet à la société de récupérer, via son réseau Pharmastat, les informations de vente de « plus de 14 000 pharmacies sur l'ensemble du territoire, soit plus de 60% des pharmacies françaises (métropole et DOM) », soit des données sur 40 millions de français selon les chiffres évoqués pendant le reportage. Problème : les pharmaciens n'informent par leurs clients comme la loi les y oblige.
Ainsi, ces derniers ne peuvent pas refuser le traitement de leurs données puisqu'ils ne savent pas qu'elles vont être exploitées. Les journalistes de l'émission ont visité 200 officines, sans trouver de mention de l'affichette devant évoquer le sujet, aucune information orale n'étant non plus donnée.
Qu'y gagnent les pharmaciens ? Selon un utilisateur du logiciel concerné : 6 euros par mois et des études de marché sur les ventes de sa ou ses officines qui l'aident à piloter sa stratégie commerciale. Mais en bout de chaîne, ce sont des études à plusieurs dizaines ou centaines de milliers d'euros qui sont proposées grâce à ce dispositif.
IQVIA est ainsi l'un des seuls à proposer de telles analyses, l'un de ses commerciaux ayant ainsi justifié les tarifs par le fait que sa base de données est « la seule qui permette cela en France ».
Du côté de la fédération des pharmaciens, le Président a répondu que ce défaut d'information « n'est pas bien », devant d'ailleurs vérifier si ses propres officines sont concernées ou non. Pour lui, il y a un besoin de sensibilisation en la matière. Il explique les manquements par le fait que les pharmaciens sont « noyés sous la règlementation ».
De son côté, IQVIA indique que les données à titre personnel ne l'intéressent pas et qu'elle se focalise sur des populations touchées par certaines pathologies, reconnaissant que certaines concernent peu de personnes en France, ce qui peut poser des problèmes en matière de réidentification.
Pour elle, la responsabilité est celle des pharmaciens, qui s'engagent à informer les patients, le site d'IQVIA évoquant la manière dont sont traitées les données via LRX, renvoyant aux pharmaciens pour l'expression du refus de consentement. Le délégué à la protection des données d'IQVIA peut être contacté ici : eu.dpo@iqvia.com.
Mais pour IQVIA, l'enjeu est désormais d'accéder aux données hospitalières, le patron de sa branche française, Jean Marc Aubert, ayant notamment déclaré dans une vidéo que ce sont celles concernant les cancers qui ont le plus d'intérêt : « l'oncologie, c'est là qu'il y a le plus de valeur a extraire ».
Un projet a été lancé en novembre 2018 avec des hôpitaux de Strasbourg, Besançon, Tours, aucun n'ayant répondu aux journalistes de Cash Investigation sur le sujet. L'équipe est également revenue sur le fait que la société avait tout à gagner à la mise en place du Health Data Hub, centralisant les données de santé.
Jean Marc Aubert est d'ailleurs l'un de ses architectes, ayant quitté IQVIA pour participer à sa conception pendant deux ans, avant de prendre la direction de la branche française juste après cette mission, en décembre 2019. Sur ce point, Il répondra que tout a été fait dans les règles et validé notamment par la Commission de déontologie.
Réidentification des données anonymisées et profilage
Enfin, deux sujets ont été évoqués tout au long de l'émission. Le premier est la promesse de l'anonymisation des données, qui n'est qu'un leurre dès que l'on dispose d'assez d'informations selon plusieurs chercheurs.
Ainsi, Yves-Alexandre de Montjoye fait la démonstration de la manière dont il est possible de trouver une personne sur la base de sa date de naissance, son lieu de vie, son statut marital, son emploi, son sexe, et le fait qu'il ait été ou non à l'université, parmi une base de données « anonymes » de plusieurs dizaines de millions de français.
Or, le marché des data brokers est estimé à 400 milliards d'euros en Europe, certaines sociétés se vantant d'avoir des bases avec 2,5 milliards de personnes (Axiom), dont 95 % des Français (Experian), avec parfois 30 000 points de données pour un simple individu. Dès lors, ce profilage apparaît comme personnel et massif.
Et celui-ci peut dire beaucoup des habitudes ou même de la psychologie de chacun. Les journalistes sont ainsi allés à la rencontre de l'équipe de Kevin Huguenin de HEC Lausanne s'intéressant aux traits de caractères qui peuvent être identifiés à travers les données d'un bracelet Fitbit. Sur 230 personnes, les 2/3 ont donné un résultat d'analyse similaire à celle produite par les réponses à un test psychologique précis.
Même résultat avec Apply My Magic Sauce de Michal Osinski (Stanford), qui propose cette fois de fournir une analyse sur la simple base de vos profils sur les réseaux sociaux. Des outils qui seraient déjà utilisés par certains recruteurs et dont on imagine l'impact s'ils venaient à servir de base chez nous pour des questions d'emploi, d'accès au crédit ou de montant des assurances, comme c'est parfois le cas aux États-Unis.
