«Veut tomber enceinte», «activiste LGBTQ», «senior fragile», «dépression»: les entreprises utilisent ces catégories pour classer les gens et leur adresser des publicités ciblées. C'est ce qu'a montré récemment une enquête du média allemand Netzpolitik et du média américain The Markup. Un spécialiste de la protection des données a découvert sur un serveur de Xandr, une filiale de Microsoft, une liste Excel contenant plus de 650 000 groupes cibles publicitaires et l'a transmise aux médias.
Qui surfe sur Internet laisse forcément des traces: lors d'achats en ligne, en lisant un article sur un portail d'information, ou en cherchant sur Google. La visite d'un nouveau site web entraîne presque toujours l'installation de cookies qui collectent certaines données et les stockent. Ces cookies servent à enregistrer des paramètres personnels comme les données de connexion – ou justement à traquer le comportement en ligne des utilisateurs.
Les entreprises publicitaires incorporent généralement leurs cookies (appelés cookies tiers) sur de nombreux sites web différents, ce qui leur permet de suivre le comportement de navigation des internautes à travers les pages web et d'établir des profils de personnalité détaillés. La publicité est le modèle commercial dominant à l'ère numérique. Depuis des années, les chiffres d'affaires ne font qu'augmenter; en 2022, ils s'élevaient à plus de 550 milliards de dollars US dans le monde. Alphabet – la maison mère de Google –, Meta et Amazon empochent 40% des recettes.
Le scandale des données de Cambridge Analytica en 2018 a montré à quel point établir de profils de personnalité pouvait être dangereux. La société d'analyse britannique avait exploité les données de millions d'utilisateurs de Facebook et les avait utilisées pour la campagne électorale de Trump et la campagne du Brexit.
L'enquête sur le fichier Xandr montre de manière impressionnante à quel point le marché publicitaire mondial est interconnecté. Accepter les cookies sur un site web signifie que ses données seront transmises à des dizaines d'entreprises publicitaires à travers le monde. Dans la liste des offres de Xandr, 93 entreprises sont explicitement mentionnées comme fournissant des données. Des entreprises publicitaires suisses ont également proposé des données sur le marché de Microsoft.
Septante profils publicitaires dans la liste Xandr proviennent apparemment de la société AZ Direct, basée à Zoug. Les groupes cibles sont principalement segmentés en fonction de l'âge, de la situation familiale et du revenu. «Célibataires, revenus faibles à moyens, âge avancé» ou «jeunes parents célibataires» sont les noms des catégories proposées. Contactée, l'entreprise affirme que les données fournies à Xandr ne sont plus disponibles depuis juin 2021. Outre son activité publicitaire, elle est également active en tant que commerçante d'adresses.
AZ Direct dit utiliser des répertoires de données publiques comme l'annuaire téléphonique, des concours ou des achats auprès d'autres fournisseurs de données pour acquérir des données. Selon l'entreprise zougoise, les caractéristiques telles que le revenu ou la facilité à faire des dons sont collectées à l'aide de modèles statistiques et ne contiennent «aucune donnée réelle». L'entreprise de publicité affirme que les données sont toujours utilisées conformément à la protection des données et que la publicité est diffusée de manière anonyme, car la personne réelle qui reçoit la publicité n'est pas connue de l'entreprise qui la diffuse.
Le fichier Xandr contient également des segments publicitaires d'Audienzz, filiale de la NZZ, qui vend entre autres de la publicité en ligne sur les portails de CH Media (notamment propriétaire de watson). Les groupes cibles proposés sont principalement catégorisés selon les intérêts des internautes. Ainsi, l'un des segments s'appelle «intérêt élevé pour la santé».
En principe, la collecte de données personnelles et le but de leur traitement doivent être reconnaissables pour la personne concernée. C'est ce que prévoit la loi suisse sur la protection des données. Dans le cas d'informations collectées au moyen de cookies et de technologies similaires, la question de savoir s'il s'agit ou non de données personnelles est souvent controversée, écrit le préposé fédéral à la protection des données.
Erik Schönenberger est directeur de la Société numérique, une association qui s'engage pour les droits fondamentaux et les libertés sur Internet. Selon lui, les entreprises argumentent souvent que les données des cookies ne permettent pas d'identifier la personne qui se cache derrière. Il est vrai que les cookies n'enregistrent pas de noms ou d'adresses mail, mais uniquement l'adresse IP ou d'autres numéros d'identification générés de manière automatique.
L'informaticien trouve surtout problématique que les personnes concernées ne sachent pas, dans la plupart des cas, dans quels groupes cibles elles sont classées par les entreprises publicitaires. Certes, selon la loi, toute personne peut exiger de toute entreprise qu'elle lui communique les données personnelles collectées à son sujet. Mais dans la pratique, il existe de nombreux obstacles, comme l'a montré Schönenberger lors d'un test qu'il a effectué lui-même.
Il a envoyé une demande d'accès à ses données à toutes les grandes entreprises de médias ainsi qu'à des entreprises fédérales comme les CFF ou la Poste. Sa requête: qu'elles lui envoient toutes les données personnelles qu'elles ont sur lui – y compris celles collectées par des cookies tiers. Car en tant que gestionnaires de sites web, elles ont l'obligation de renseigner les utilisateurs sur les données collectées à leur sujet.
Une seule entreprise a fourni à Schönenberger les données qu'il avait demandées. Toutes les autres lui ont opposé un refus, en avançant qu'il ne s'agissait pas de données personnelles au sens de la loi sur la protection des données.
En septembre, une nouvelle loi sur la protection des données, qui s'inspire en grande partie de la réglementation de l'UE, entrera en vigueur. La notion de «profilage», définie comme le traitement automatisé de données à caractère personnel, sera nouvellement inscrite dans la loi. Dans les cas où la mise en relation de données permet «d'évaluer des aspects essentiels de la personnalité d'une personne physique», un consentement explicite devra à l'avenir être obtenu.
Toutefois, la signification réelle de ce concept reste floue. Le directeur de la Société numérique soutient qu'un tribunal doit absolument clarifier une question décisive: quelles informations sont légalement englobées par le terme de «données personnelles»? Pour cette raison, il dit qu'une procédure judiciaire sera engagée contre le refus des demandes d'accès dès que la nouvelle loi sur la protection des données entrera en vigueur en Suisse.
Traduit et adapté de l'allemand par Léa Krejci