RGPD : 16 entreprises ont importé mes données sur Facebook, une seule m’a permis de les consulter
Mi-juillet, Facebook a annoncé que tous ses utilisateurs et utilisatrices pourraient désormais voir quelles entreprises ont importé leurs données sur le réseau social.
Le problème, c'est que comme de nombreux internautes, je me suis retrouvée face à une liste de sociétés dont je n'avais jamais entendu parler. Qui étaient-elles, comment avaient-elles collecté mes informations personnelles et comment les avaient-elles utilisées ? Depuis quand ? J'ai tenté de les contacter une à une (et oui c'était long) pour en savoir plus. Spoiler : j'en suis venue à me demander si la mise en oeuvre du Règlement européen sur les données personnelles (RGPD) avait été annulée sans me prévenir. Sur 16 entreprises contactées, seule une m'a apporté une réponse satisfaisante.
Quelles entreprises ont importé vos données ?
Les entreprises peuvent importer sur Facebook ce que l'on nomme des listes de contacts. Il s'agit de fichiers qui contiennent des données personnelles. Ils sont anonymisés mais le réseau social peut les croiser avec ses propres informations, que les utilisateurs lui ont fourni. Par exemple, si une liste importée contient un profil qui a la même adresse email que celle utilisée pour créer votre compte Facebook, le site va en déduire qu'il s'agit d'une seule et même personne. Il utilisera les informations contenues dans le profil pour mieux cibler les publicités que vous voyez sur ses pages.
Jusqu'au mois de juillet, Facebook était très peu transparent sur ces pratiques. Nous avions d'ailleurs publié deux premières enquêtes à ce sujet : il nous avait fallu des mois pour comprendre quelle société, LiveRamp, avait collecté puis vendu nos données -- pour en savoir plus, vous pouvez lire ici l'épisode 1, puis le second.
N'importe quel utilisateur peut désormais accéder à ces informations, en seulement quelques clics. Vous pouvez si vous le souhaitez vous référer à notre tutoriel sur le sujet.
Qui sont ces entreprises ?
Ma liste contenait en juillet 16 entreprises, que voici :
Certaines m'évoquaient quelque chose : Office, car j'ai des comptes mails sur cette plateforme, Casino car il m'arrive de fréquenter la chaîne de supermarché et LiveRamp, dont le nom était ressorti lors de mes premiers mois d'enquête.
Les autres sont inconnues au bataillon. Sur votre propre compte, peut-être avez-vous des entreprises en commun avec moi. Peut-être que vous aussi, vous ne savez pas du tout qui elles sont, et à quel moment vous les avez autorisées à collecter vos données personnelles.
On pourrait regrouper ces entreprises en trois grandes catégories :
Les marques « classiques » dont vous êtes ou avez été clients (dans mon cas, Office et Casino) ;
Les data-brokers qui sont des entreprises spécialisées dans l'achat et la revente de bases de données clients ;
Les agences intermédiaires de gestion de campagne comme AdQuality ou Arcane : ces agences sont chargées de la stratégie marketing d'entreprises. Elles agissent notamment pour améliorer leur référencement ou les aider à faire du ciblage publicitaire. Ce sont des intermédiaires qui ne sont souvent pas à l'origine de la collecte de données.
Toutes ces entreprises ont pu obtenir vos données de manière légale... à condition de respecter certaines règles, définies par le Règlement européen sur les données personnelles, qu'on appelle plus communément RGPD.
Faire les demandes n'est pas toujours simple
Le RGPD vous donne des droits sur vos données. Vous avez la possibilité d'en obtenir une copie complète, de demander leur suppression, ou de savoir comment elles ont été utilisées. Il suffit en théorie de contacter les services de protection des données, par courrier ou par email. Ils ont un mois pour vous répondre. En pratique, c'est une autre paire de manches.
J'ai envoyé des mails en précisant bien que je ne souhaitais pas que mes données soient supprimées : c'est une méthode assez courante utilisée pour éviter d'avoir à vous donner la liste des informations personnelles que l'on a sur vous. Peugeot l'avait adoptée lors de ma première enquête, et n'a depuis jamais plus répondu à mes messages.
Premier constat : il n'est pas toujours simple de trouver à qui faire suivre sa demande. Certaines sociétés comme Arcane n'affichent aucune condition d'utilisation ou section dédiée aux données personnelles sur leur site, ce à quoi la loi oblige pourtant. Contactée, elle nous a expliqué qu'elle était en train de refaire son site et qu'il s'agissait d'un simple problème d'indexation. Le lendemain de notre appel, les mentions légales apparaissaient sous le logo d'Arcane, en bas de page.
Sans mentions légales, il est plus difficile de savoir à qui on peut envoyer sa demande. D'autres sites ne mentionnaient aucune adresse mail ou postale spécifiquement dédiée au traitement des données : il a fallu passer par des formulaires de contact ou des adresses génériques, en espérant que cela arrive au bon endroit. Cela a été le cas pour Albert, Pichesky, Aiden, BrandBastion, AdQuality, Sam Work ou PHD France (dont le site est même hors ligne). Cette liste correspond à peu près à ceux qui ne m'ont pas répondu.
AdsViser n'avait pas de CGU ou mentions légales accessibles depuis sa page d'accueil. Le mail spécial requêtes RGPD renseigné par Syzygy ne marchait pas.
Tactique de l'autruche et données portées disparues
Les réponses ont ensuite été... aussi rapides qu'insatisfaisantes. Sur les 16 entreprises interrogées, seule une m'a fourni la copie de mes données. Au terme du délai réglementaire d'un mois, ce chiffre n'avait toujours pas changé : une seule entreprise a donc fait ce qu'elle est pourtant légalement tenue de faire.
Certaines entreprises ont choisi la solution de l'autruche en ne répondant pas à mon email. C'est le cas de Pichesky, Aiden, Sam Work, Syzygy Europe, Whispr, PHD France et L'agence media. Adsvisers a d'abord confondu importation de données et ciblage publicitaire, puis m'a posé une question à laquelle j'ai répondu, puis plus rien.
D'autres, qui avaient importé mes données, semblaient apparemment ne jamais les avoir eu en leur possession, bien que Facebook m'ait expliqué il y a quelques mois que ceci était impossible. Albert fait partie de cette catégorie. « Nous avons mené des recherches dans nos bases de données après votre requête et avons déterminé que nous ne possédons pas et n'utilisons pas de données vous concernant », m'a rétorqué une responsable, m'invitant à la recontacter pour toute question supplémentaire.
Je n'ai jamais obtenu de réponse.
Mediarithmics m'a apporté les réponses les plus complètes mais elles n'étaient finalement pas plus intéressantes sur le fond. La firme m'a d'abord demandé, tutoriel à l'appui, de lui transmettre « l'identifiant cookie figurant sur [mon] navigateur ». J'ai ensuite reçu un second email, plus personnalisé que le premier. La responsable m'a expliqué que Mediarithmics n'agit qu'« en tant que sous-traitant » pour des clients qui exportent eux mêmes leurs listes d'audience vers Facebook. Pour savoir lequel était concerné, le fameux identifiant cookie m'a de nouveau été demandé. Je ne l'avais pas car il m'arrive de supprimer les cookies sur mon navigateur. L'entreprise n'a plus répondu lorsque j'ai demandé s'il n'y avait pas un autre moyen de remonter à la source de mes données.
BrandBastion a regardé dans ses bases de données et n'a trouvé aucune trace de mon email ou numéro de téléphone. Il m'a expliqué que je devais avoir fait partie d'une simple audience personnalisée sur Facebook et qu'ils me supprimeraient de ces listes. J'ai rétorqué que leur nom figurerait alors dans une autre liste dans mes paramètres Facebook et n'ai plus eu de réponse.
Casino m'a d'abord réexpliqué ce qu'était le fameux onglet avec les annonceurs, rappelant qu'il concernait bien « les données qu'une société aurait communiqué au réseau social Facebook ». C'était avant de me dire que Casino n'avait aucune donnée sur moi et n'a donc « pas pu les importer » sur la plateforme. Selon eux, il s'agirait d'une obscure « erreur de paramétrage »... et la faute de Facebook.
Une quête au format Cluedo
Enfin, des sociétés m'ont expliqué qu'en tant que simple intermédiaire, elles n'avaient pas accès à mes données. Dans le cas présent, elles sont tenues de donner « toute information disponible quant à leur source ». Personne n'avait évidemment d'informations disponibles sur ces sources. Le responsable du traitement des données chez Arcane, une entreprise de gestion de campagne, m'a ainsi expliqué « Nos clients font le choix de nous transmettre des listes cryptées de mails ou de numéros de téléphone pour construire des ciblages publicitaires (...). À aucun moment nous n'avons accès aux données personnelles clients, ces dernières étant chiffrées. »
Le DPO explique que seul Facebook aurait la clé de chiffrement d'accès à ces données et qu'une fois qu'elles sont importées sur Facebook, elles sont détruites, sans aucun historique disponible. « Aussi il ne m'est pas possible de savoir la façon dont j'ai eu accès à vos données », a-t-il précisé.
Les données doivent effectivement être hachées avant d'être envoyées à Facebook mais l'un des partenaires d'Arcane doit les avoir en clair quelque part. J'ai demandé au DPO la liste de l'entreprise qui lui avait fourni mes données mais il me renvoyait sans cesse vers l'onglet annonceurs de Facebook, où sont listées celles qui ont utilisé vos données pour du ciblage publicitaire. En révélant que j'étais journaliste, nous avons pu échanger au téléphone. Il m'a alors indiqué que la liste des entreprises avec lesquelles Arcane travaille sont sur leur site et que je devais toutes les contacter pour savoir laquelle était responsable. L'entreprise a plus d'une quinzaine de clients.
Lagencemedia, qui n'a pu répondre que bien plus tard car j'avais envoyé mon mail à L'agence media (avec une apostrophe de différence), m'a indiqué qu'elle n'avait aucune donnée car elles étaient chiffrées et donc non-rattachables à mon nom, mail ou numéro de téléphone.
Une autre société a opté pour la même stratégie de communication : AdQuality m'a indiqué qu'ils allaient « se rapprocher de [leurs] clients » pour savoir d'où venaient mes données. Et devinez quoi ? Je n'ai depuis aucune réponse.
LiveRamp, dont nous avions fait la connaissance lors de nos précédentes enquêtes, explique quant à lui qu'ils ont bien mes données, mais qu'ils sont incapables de m'en fournir une copie car ce serait une autre personne qui aurait renseigné mon email... par erreur... dans un formulaire...
Seule une société a été en mesure de me fournir une copie de mes données : Office. Pour y parvenir, il faut remplir des formulaires et bien maîtriser l'anglais (même s'ils proposent une traduction automatique par Bing). C'est globalement assez rapide : en quelques minutes, on peut télécharger ses archives, contenues dans un fichier Zip. Elles contenaient notamment des informations sur mes connexions et les données sur les envois de certains emails (date, statut de l'envoi, etc).
Des géants de la donnée (mais pas du RGPD)
Plus d'un an après la mise en œuvre du RGPD, aucune entreprise (à part Office) qui a importé ou servi d'intermédiaire à l'importation de mes données personnelles sur Facebook n'est donc en mesure de m'en donner une copie ou de m'indiquer lequel de leur partenaire est responsable.
Cela peut sembler anodin, mais cela pose vraiment problème. Des dizaines de société ont recours à ces pratiques. Depuis le début de cette enquête au mois de juillet, d'autres sociétés sont apparues dans ma liste sur Facebook, et cela ne risque pas de s'arrêter.
Facebook a fait des efforts en matière de protection des données, mais comment l'entreprise s'assure-t-elle vraiment de la conformité des entreprises tierces à la loi ? Il y a quelques mois, un porte-parole du réseau social nous expliquait que toute cette responsabilité (recueil du consentement, utilisation des données) « reposait sur les entreprises tierces ». Ces dernières ne semblent pas davantage avoir la main sur des listes. Elles sont pourtant considérables. D'après des sources internes, certaines de ces sociétés seraient parvenues à collecter des fichiers couvrant la quasi intégralité de la population majeure en France... et c'est ainsi un véritable business qui se joue avec vos données.
Après nos premières publications sur le sujet, plusieurs internautes nous ont contactés. Ils se trouvent tous dans la même situation. Aucune de leurs requêtes RGPD n'aboutit : aucun n'a reçu de copie des données ou ne sait qui les détient. Le responsable du site Pixel Libre raconte même que suite à ses requêtes, certaines entreprises ont gardé son adresse email pour lui envoyer, un comble, des communications commerciales. « Je vous laisse apprécier l’ironie de la situation », écrit-il.
Nous avions interrogé la Cnil à ce sujet en juillet, qui refuse de s'exprimer sur des cas particuliers, sauf en réponse à une plainte. Nous en avons déposé une auprès de la Cnil début juillet. L'organisme en a accusé réception mais il faut attendre au moins deux mois pour avoir des réponses. L'entreprise que nous avons ciblée figure toujours dans la liste des firmes ayant importé mes données sur Facebook ce 12 août.
Vous avez des informations à propos des sujets traités dans cet article ? N'hésitez pas à adresser un petit mail à [email protected] .