Paris - Les utilisateurs ont-ils vraiment pris le pouvoir sur leurs précieuses données personnelles, un an après l'entrée en vigueur du Règlement européen de protection des données (RGPD), présenté comme révolutionnaire? Pas sûr, à voir les diverses tentatives menées par l'AFP.

Qui ne dit mot, consent?

Prenons par exemple ce site de transport urbain, qui explique au visiteur que s'il "poursuit sa navigation sur ce site", il accepte "le dépôt de +cookies+", autrement dit des traceurs ou mouchards qui permettent de "proposer des services, des offres et publicités adaptée" ou encore de "mesurer la fréquentation de nos services".

Au moindre clic hors de la bannière, elle disparaît, comme si tout avait été accepté. S'agit-il bien là du consentement "libre", "spécifique", "éclairé" et "univoque", tel que le réclame en France la Cnil  (Commission nationale de l'informatique et des libertés)?

Le plus souvent, l'internaute fait face à un gros bouton coloré pour "J'accepte" ou "OK". A côté, en caractères petits et pâlichons, un lien pour "En savoir plus".

Résultat: près de 80% des internautes dans le monde cliquent sur le bouton "tout accepter". Environ 10% lisent les explications si elles sont courtes et 10% disent les lire systématiquement, d'après Ogury, une entreprise spécialisée dans le marketing mobile, qui a interrogé plus de 280.000 personnes en février.

L'exemple de Google

Sur de nombreux sites et plateformes, il est possible de refuser différents types de cookies en quelques clics, et les données sont protégées ... a priori.

Google donne la possibilité de désactiver certains paramètres, comme la personnalisation des annonces. C'est un enjeu crucial: les publicités personnalisées rapportent plus d'argent que les annonces non ciblées.

Le géant - dont les algorithmes sont capables de proposer 550.000 résultats à une recherche en un tiers de seconde - vous avertit néanmoins que "la prise en compte de cette modification par nos systèmes peut prendre un certain temps".

En outre, "ces possibilités d'opposition spécifiques ne couvrent qu'une partie des traitements que Google déclare réaliser dans ses Règles de confidentialité", d'après l'ONG La Quadrature du Net, qui a porté plainte contre le moteur de recherche.

Sans fin

Sur un site d'actualité sportive, on croit s'en tirer à peu de frais en choisissant "tout refuser". Avant de cliquer, innocemment, sur "Afficher la liste complète des partenaires".

Plus de 450 noms de sociétés, principalement du secteur de la publicité en ligne, défilent alors, dont quelques uns actifs par défaut, qu'il faut décocher.

Moins fastidieux toutefois que ce grand site de recettes de cuisine: l'internaute en quête de la blanquette de veau parfaite mais dégoûté des "cookies" virtuels doit désactiver des centaines de curseurs, mais se retrouve encore face à plus de 200 sociétés estampillées "requires opt-out". En clair, il faut suivre un lien, pour chacune d'entre elles, afin de protéger ses données.

Prière de garder son calme: si l'on fait défiler trop rapidement la liste, la fenêtre disparaît, le consentement aussi.

Autre exemple: ce site d'information sur les technologies, qui, d'options en paramètres, propose un "tableau de bord de votre vie privée".

Alléchant! Sauf que s'ouvre alors une arborescence sans fin ou presque de clics ne débouchant sur aucun choix concret. Au passage, l'internaute doit régulièrement "prouver qu'il n'est pas un robot" en repérant des motos ou des devantures de magasins sur des photos.

Récupérer ses données?

Le RGPD impose aux entreprises de communiquer aux internautes les données personnelles qu'elles détiennent. L'AFP a donc identifié une quinzaine d'entreprises du secteur de la pub en ligne, avant de les contacter via un e-mail non professionnel, à l'aide d'un formulaire type.

La plupart a répondu dans des délais acceptables, certaines après une relance.

Certains interlocuteurs sont didactiques: "Nos solutions ne nous permettent pas de récupérer vos données personnelles, nom ou encore adresse email", explique Nugg.Ad, entreprise de "ciblage et gestion intelligente des données". Qui a en revanche établi un profil plutôt précis de l'utilisateur.

D'autres font valoir des subtilités difficilement compréhensibles pour l'internaute moyen. Ainsi cette société de "traitement de données" qui explique être à la fois "data contrôleur" mais aussi un "data processeur", en d'autre terme un sous-traitant pour le compte de clients. A charge à l'internaute de contacter les clients au cas par cas.

1DP46C.jpg

Pourcentage d'utilisateurs d'internet par région du monde, de 1990 à 2016, selon la Banque mondiale 

La société Mediarithmics s'engage elle "à transmettre auprès de ses clients toute demande d'exercice des droits des personnes concernées". Tout en déclinant "toute responsabilité en cas d'absence de réponse".

La société de publicité sur internet Criteo, régulièrement épinglée par l'ONG Privacy International, prévoit quant à elle une procédure presque anachronique pour l'internaute soucieux de récupérer ses données.

D'abord, retrouver son identifiant de navigateur (par exemple uid=923d1521-7d8e-4b9c-a699-6d92ae3f6bd8). Puis fournir "une photocopie d'une pièce d'identité officielle" signée à la main. Rédiger aussi "une attestation sur l'honneur". Enfin, envoyer le tout ... par la Poste.

Par Julie Jammot et Corentin Dautreppe

 {
 "excerpt": "Malgré le RGPD entré en vigueur en mai 2018, il n'est pas toujours facile pour les internautes de garder le contrôle de leurs précieuses données personnelles",
 "creationDate": "2019-05-25",
 "permalink": "https://ednh.news/fr/controler-ses-donnees-grace-aux-regles-europeennes-un-parcours-du-combattant/",
 "language": "fr",
 "categories": "Commerce|Digitalisation|En général",
 "media": "Infographie",
 "imageFeatured": "https://ednh.news/wp-content/uploads/2019/05/1C95NC-internet.jpg",
 "status": "publish",
 "authorId": "6",
 "author": "afp"
}