Sécurité informatique

Données personnelles : les GAFAM restent sous haute surveillance

Les GAFAM essaient de rassurer sur le respect de la réglementation touchant aux données personnelles. Faut-il les croire ? Les amendes s’additionnent mais les conditions générales d’utilisation sont toujours aussi illisibles et souvent trompeuses.

Données personnelles : les GAFAM restent sous haute surveillance

Les géants d’Internet souvent désignés GAFAM regroupent Google, avec YouTube, Amazon, Facebook avec WhatsApp et TikTok, Apple et Microsoft, avec LinkedIn, auxquels beaucoup d’analystes ajoutent Twitter et le chinois Alibaba… Ils drainent des milliards à travers la planète - 200 Mds de dollars par an rien que pour Alphabet Inc., maison mère de Google. Leur puissance s’accroît de façon vertigineuse jusqu’à défier la souveraineté des États.

Cette puissance provient en grande partie de l’exploitation des données que ces colosses collectent en permanence. Ainsi Google qui détient 63% de parts de marché mondial dans la recherche d’informations, visite 20 milliards de sites par jour. Il a aussi la possibilité d’accéder (partiellement) à deux milliards de terminaux mobiles sous Android. En France, le moteur de recherche concentre 90% des requêtes – un quasi monopole.

Leurs modèles économiques diffèrent : ventes d’acheteurs ciblés à des annonceurs (Google, YouTube, Facebook) ou pourcentage sur les ventes en ligne (Amazon, Alibaba) ou vente de contenus – ‘mobile apps’, jeux, musique (Apple), vente de services (Microsoft LinkedIn, Amazon AWS)…

Le « profilage », même à votre insu

Tous ont en commun de recueillir des données permettant d’orienter les publicités des marques vers des acheteurs potentiels, en fonction de leur profil socio-économique. Ce « profilage » peut se faire à votre insu via vos contacts (shadow profiling), même si vous n’êtes plus connectés, en croisant vos traces laissées sur le Web et vos accès mobiles.

Autre point commun : leur mode opératoire. Il consiste à imposer des conditions générales de vente extrêmement sophistiquées et… illisibles. Le consommateur ou le client n’a d’autre choix que d’y souscrire, faute de quoi il perd le service, ses documents, courriels, photos… Les entreprises évoquent, elles, des formes de verrouillage dues à des conditions de sortie techniquement dissuasives et très onéreuses. D’une manière générale, on déplore un manque de transparence sur leurs pratiques. Ou, plus grave, une duplicité.

Le cas de TikTok

À titre d’exemple, la fondation Mozilla, réputée pour son indépendance auprès de la communauté des développeurs Open Source, vient d’épingler le réseau social Tik Tok passé sous le contrôle de Facebook. Cette plateforme qui diffuse des vidéos courtes connaît une croissance fulgurante. Elle ne donne aucune information sur l’identité des annonceurs qu’elle accueille, ni sur les objectifs qu’ils poursuivent. Mozilla parle de « désinformation » et de lobbying politique. Les dirigeants de TikTok affirment que les publicités politiques y sont interdites. Or la réalité est toute différente : « Les failles existantes, le laxisme de la part du réseau social et les nouvelles formes de publicités montrent clairement que TikTok n’est pas exempt de publicités politiques. Bien au contraire. Il est impossible de savoir qui en est à l’origine et impossible de les identifier formellement ». Plus inquiétant encore : tout cela est caché aux utilisateurs. Et très peu de garde-fous empêchent ces dérives : « Il n’existe pas de bases de données permettant de vérifier quelles publicités sont diffusées », a averti début juin l’organisation indépendante.

Contournement de la réglementation

Beaucoup d’autres associations militantes, comme La Quadrature du Net, Internet Society France ou l’AFUTT (Association française des utilisateurs de télécommunications) constatent que la plupart des géants du Net contournent la réglementation RGPD. Invoquant leur « intérêt légitime » pour refuser l’accès à leurs services sans la contrepartie de certaines données personnelles, les GAFAM sont « dans la totale illégalité ». À l’initiative de telles associations, l’UE et la Cnil (France) sont parvenues à condamner Google et Facebook en 2018, puis en 2020, à des amendes allant de 50 à 150 millions d’euros. Mais certaines pratiques perdurent comme la personnalisation automatique des fils d’actualité et, plus généralement, le non-respect du principe de confidentialité par défaut (obligation de l’«opt-in » ou consentement explicite). Car « si le consentement n’est pas négociable dans les conditions générales, il est illégal », dit le G29 qui regroupe les Cnil européennes. Or ces autorités de régulation s’avèrent souvent impuissantes, rarement soutenues par leur administration centrale, et embarquées dans des procédures judiciaires qui s’enlisent, d’autant que les sièges européens sont (relativement) protégés en Irlande, au Luxembourg...