Données personnelles : SFR, ou l’art de maquiller le recueil du consentement

RGPD pas ready 88
Accès libre
image dediée
Téléphonie
David Legrand

Lorsque vous vous abonnez chez SFR, la société vous pose toute une série de questions. Certaines n'ont l'air de rien et semblent même avoir un caractère obligatoire. Pourtant, il s'agit de collecter votre consentement pour une exploitation parfois publicitaire ou commerciale.

Ces derniers jours, la question de la collecte des données personnelles et leur utilisation est sous le feu des projecteurs suite au scandale Cambridge Analytica qui secoue Facebook. Mais les plateformes américaines ne sont pas les seules à collecter de nombreuses informations, et à jouer parfois avec la ligne jaune (voir notre analyse).

Lors de notre dernière étude des offres de SFR, nous avons constaté que l'opérateur avait une approche toute personnelle du consentement. Ainsi, lors de la souscription d'une offre mobile, l'utilisateur fait face à une série de choix dans la section Conditions, certains concernant l'utilisation des données en des termes pour le moins... inhabituels.

La reconnaissance d'information cache une demande de consentement

Une première case lui demande s'il a bien « pris connaissance et accepte les Conditions Générales de Vente, les Conditions Générales d'Abonnement ainsi que les Conditions tarifaires » relatives à son offre. Une formulation plutôt classique et même obligatoire d'un point de vue légal. Cocher cette case implique également d'avoir vérifié que les informations données sont exactes et de donner mandat à SFR pour mettre en place la ligne et sa facturation.

Suivent trois cases (voir ci-dessous) dans lequelles SFR demande à son client de reconnaître qu'il a été informé de l'utilisation de ses données personnelles, d'audience et de géolocalisation fixes pour que lui soient proposées des publicités ciblées, des offres de SFR ou de ses partenaires, ainsi que des informations sur l'état du réseau.

La zone est dépliée par défaut, mais les cases ne sont pas précochées. Et contrairement à ce que laisse entendre leur formulation, les cocher n'est pas nécessaire pour continuer la procédure. Et pour cause, il s'agit en réalité d'un formulaire de recueil du consentement.

SFR Données personnelles Consentement

Si l'opt-in et la demande par finalité sont deux critères légaux respectés, SFR utilise ici des termes bien trompeurs. Alors que la CNIL exige un consentement libre, spécifique et informé, ici le futur abonné aura l'impression de devoir cocher ces cases pour confirmer avoir été averti.

Dit autrement, sous couvert d’information, l’abonné va autoriser SFR à exploiter ses données personnelles à des fins notamment publicitaires. Il se dit informé qu'elles peuvent être exploitées, et donc qu'il autorise cette exploitation. Ou comment noyer deux questions en une, avec des conséquences non neutres pour le respect de la vie privée.

Un procédé qui pourrait sans doute tomber sous le coup d'une sanction de la CNIL si elle venait à devoir se saisir de l'affaire, en l'état actuel du droit. Cela ne devrait d'ailleurs pas s'arranger avec l'entrée en vigueur du RGPD le 25 mai prochain (voir notre analyse ligne par ligne), les obligations autour du consentement étant renforcées par ce texte.

Cette façon de faire est néanmoins la preuve qu'en termes de manque de responsabilité, les acteurs américains ne sont pas les seuls en cause, et qu'une auto-régulation du secteur ne sera sans doute jamais suffisante. Interrogée sur le sujet, SFR nous indique accorder « la plus grande attention au règlement général européen sur la protection des données et a engagé une refonte des libellés du parcours clients sur le recueil du consentement ».

Après vérification, nous n'avons pas trouvé de procédé similaire chez Bouygues Télécom, Free Mobile ou Orange.  Tous trois évoquent seulement la liste Bloctel pour s'opposer au démarchage téléphonique de leurs services, le premier précisant qu'il est également possible de contacter le 603 (gratuit) pour faire connaître son opposition.

Bouygues Telecom profite également de la phase d'inscription pour indiquer que le nouveau client ne sera pas ajouté aux annuaires universels, quand Orange laisse le choix avec une case à cocher. Free et SFR proposent ce paramètre dans leurs espaces client, mais pas lors de l'inscription. 

Les opérateurs sont parfois des publicitaires

Rappellons au passage que SFR dispose d'une activité de régie publicitaire, le groupe Altice ayant fait l'acquisition de Teads qui est très impliquée sur la question de la collecte de la donnée. L'opérateur a également rejoint à son lancement l'alliance Gravity, qui vise à mettre en commun les données de nombreux acteurs face aux géants du Net.

Un groupement où l'on retrouve Orange, dont le PDG Stéphane Richard disait pourtant au micro d'Europe 1 il y a quelques jours « ne rien faire » des données récoltées sur ses clients. Un enjeu majeur pour la société qui veut miser sur le respect de la vie privée pour certaines de ses solutions (voir notre analyse) comme son assistant personnel Djingo par exemple.

Dans le cas de l'offre anonymisée Flux Vision évoquée chez nos confrères, qui ne serait proposée que dans l'intérêt général et aux collectivités, elle l'est en réalité un peu plus. Sa présentation évoque ainsi « des secteurs du commerce, banque, tourisme, transports », en confirmant que les données ne permettent pas l'identification d'une personne. 

Orange reste néanmoins très engagée sur le terrain de la publicité ciblée, même si elle ne propose pas d'API ouverte comme le fait un acteur tel que Facebook. Cette activité fait par exemple partie de l'accord signé récemment avec TF1. Lorsque l'opérateur a rejoint Gravity, on apprenait ainsi que son taux de couverture des internautes passait de 46 % à 53 %, avec plus de « 30 millions de profils déterministes issus d’environnement logués » selon l'Offre Media.

De plus, Orange travaille sur des solutions de publicité adressée, sans parler du profilage effectué en interne pour la proposition d'offres et autres solutions marketing, comme lorsqu'il s'agit de cibler des clients potentiels pour le lancement d'Orange Bank par exemple.

Il ne semble par contre pas possible de visualiser, d'exporter ou de supprimer simplement l'ensemble des données collectées par Orange, SFR ou d'autres acteurs cités ici, comme le propose une société telle que Google par exemple.


chargement
Chargement des commentaires...