Données personnelles : que reste-t-il à faire ?
La confidentialité des informations collectées en ligne est une préoccupation grandissante à laquelle les politiques, comme les acteurs du numérique, s’efforcent d’apporter des réponses. Vincent Lefrère est économiste à Institut Mines-Télécom Business School, et s’intéresse à l’implémentation de méthodes de régulation comme le RGPD. Ses recherches témoignent d’une application à deux vitesses, entre acteurs du numérique influents et très surveillés, et ceux de moindre envergure, plus laxistes.
En Europe, l’arrivée en 2018 du règlement général sur la protection des données (RGPD), visant à encadrer le traitement des données personnelles récupérées par tracking, a suscité de vives inquiétudes parmi les acteurs du web. Les sites, soumis à la règlementation, ont depuis l’obligation de demander aux internautes d’accepter ou non la présence de cookies sur leurs appareils. En cas de refus, le suivi de leurs actions et de leurs préférences en ligne devient impossible. « Le RGPD limite l’accès aux données des utilisateurs, ce qui mène a priori à une perte de revenus liés à la publicité ciblée », explique Vincent Lefrère, économistespécialisé en protection de la vie privée à Institut Mines-Télécom Business School. « La crainte émise par les acteurs numériques est que cette réduction du financement ait un impact sur la quantité de contenu proposé, et sur la qualité, étant donné que le contenu serait moins ciblé. » Mais qu’en est-il vraiment, cinq ans après la mise en place du règlement ?
En 2017, alors chercheur invité à la Carnegie Mellon University, Vincent Lefrère fait la rencontre d’Alessandro Acquisti. Ensemble, ils étudient l’impact réel de la mise en place du RGPD sur la quantité et la qualité du contenu des sites de médias et d’actualités. « De 2017 à 2019, nous avons regardé quelles données étaient collectées sur ces sites. Le RGPD a été mis en place le 25 mai 2018, ce qui nous a permis de comparer l’avant et l’après, et de constater si les sites étaient respectueux ou non de la régulation. » Les chercheurs ont évalué l’évolution de la quantité de contenu, en suivant le nombre de nouvelles pages créées par semaine sur les sites étudiés, et la qualité, en suivant le trafic, le nombre de pages consultées par site et le nombre de commentaires ou de likes sur leurs pages Facebook. Ils ont également comparé l’ensemble de ces phénomènes avec des sites américains, peu ou pas contraints par le RGPD. Les résultats de leurs recherches ont été publiés récemment dans un papier paru fin 2022.
Une application du RGPD « à la carte »
Si la collecte de données en ligne a énormément baissé au moment de la mise en place de la régulation, celle-ci est revenue à son niveau initial quelques mois après. Le premier constat des chercheurs est donc que sur la période étudiée, jusqu’à 2019, l’instauration du RGPD a eu très peu d’impact long-terme sur le tracking, et sur le respect de la vie privée. Les explications d’un tel bilan sont nombreuses.
Dans un premier temps, les plateformes ont effectivement appliqué le RGPD, avant de constater qu’il y avait peu de répression : en 2019, seulement 42 mises en demeure et 8 sanctions ont été prononcées par la Commission nationale de l’informatique et des libertés (CNIL). En outre, depuis l’entrée en application du texte, les organismes condamnés sont essentiellement des géants du numérique parmi lesquels Amazon, Apple, Google, Meta ou encore Microsoft. Beaucoup de sites ont alors repris le cours normal de leurs activités de suivi.
Par ailleurs, le RGPD autorise le traitement de données personnelles s’il est justifié par un « intérêt légitime », déterminé clairement, et respectueux des droits et intérêts des personnes dont les données sont traitées. Il n’existe pas de liste exhaustive des intérêts considérés comme légitimes et prévus par la loi, mais cela inclut aussi bien la sécurité du réseau et des informations, que la prévention de la fraude, ou la gestion administrative interne de données clients ou employés. Certains sites contournent ainsi les restrictions sous ce motif de légitimité.
Mais tous ne sont pas réticents à se soumettre à la régulation et les réponses des sites pour se plier aux exigences du RGPD sont variées. « Un site gratuit comme Allociné, qui fait beaucoup de publicité ciblée, est logiquement plus répercuté par le RGPD qu’un site comme celui du Monde ou de Mediapart qui propose de base un abonnement payant », explique Vincent Lefrère. Face à ces changements, les internautes adaptent eux-aussi leur comportement.
Des internautes globalement sur-sollicités
L’arrivée des mécanismes de consentement est le principal chamboulement résultant de l’application du RGPD. C’est une nouvelle forme de responsabilisation pour les internautes concernant le traitement de leurs données. Or, le plus souvent, refuser les cookies ou paramétrer ses préférences requiert plusieurs actions, et donc des redirections vers une ou plusieurs pages. En cas de refus, certains sites vont mettre en place des cookies walls pour masquer une partie de leur contenu et/ou proposer un abonnement payant. Face à de telles contraintes, la plupart des internautes se résignent finalement à accepter les cookies pour fluidifier leur navigation et accéder rapidement à leurs recherches.
La mise en place de ces mécanismes de consentement aurait en outre une conséquence délétère sur la profondeur de navigation. Vincent Lefrère constate effectivement que le nombre de pages consultées par site a baissé : « Notre hypothèse la plus probable est que l’accumulation des formulaires de consentement génère de la fatigue chez les internautes et réduit leur propension à consulter des pages, et cela sur l’ensemble des sites. » Cette navigation plus courte serait, en deuxième hypothèse, expliquée par la sur-sollicitation publicitaire, mise en place pour compenser la perte liée au rejet des cookies. « On consulte moins de pages s’il faut regarder une vidéo de 30 secondes avant d’accéder à chaque page », complète le chercheur.
Privacy paradox ou le partage conscient de ses données
Reste que pour beaucoup d’internautes, les conséquences d’un simple clic pour accepter les cookies sont assez floues. Le « Privacy Paradox », ou paradoxe de vie privée, est cette dissonance chez certains individus entre, d’une part, l’inquiétude concernant l’usage et le stockage de leurs données personnelles, et d’autre part la légèreté avec laquelle ces mêmes individus partagent leurs données sur internet. « Vous ne donneriez jamais vos nom, prénom et adresse à un inconnu dans la rue mais vous le donnez au premier site qui vous le demande, c’est un paradoxe de vie privée », développe Vincent Lefrère. L’attrait d’accéder à une expérience en ligne personnalisée ou à un bénéfice technologique suffit de plus en plus à lever les craintes liées au respect de la vie privée.
Ce mécanisme se retrouve particulièrement dans l’usage des applications mobiles. Supposées améliorer le quotidien et la communication, les applis récupèrent surtout énormément d’informations confiées par leurs utilisateurs et utilisatrices. Un autre axe de recherche de l’économiste est la collecte de données par les applications destinées aux enfants. Il s’est particulièrement penché sur le marché américain où, à défaut d’une règlementation comme le RGPD, les acteurs du numérique comme Google proposent leur propre politique d’encadrement. C’est le cas de Designed for Families (DFF, Conçue pour les familles), une plateforme d’auto-certification créée par Google, pour garantir aux parents des contenus adaptés aux enfants.
Les recherches de Vincent Lefrère démontrent que les applications qui adhèrent au programme DFF, et se conforment à la politique interne de la plateforme, collectent en moyenne beaucoup moins de données que les autres. Mais le chercheur met tout de même en garde : « Les plateformes de confiance comme DFF laissent à penser qu’il est possible de relâcher sa vigilance, mais certaines applis qui font partie du programme de Google collectent néanmoins beaucoup de données, y compris des données sensibles comme la géolocalisation, des photos, des enregistrements vocaux… Et elles le font avec le consentement des parents. À eux la responsabilité de lire ce qui est collecté et ce qui ne l’est pas. »
Deux poids, deux mesures pour la collecte de données
Pour ce sujet d’étude, Vincent Lefrère a suivi pendant trois ans les données collectées par des applications pour enfants, identifiées soit grâce au programme DFF, soit depuis le Google Play Store avec des mots-clés, comme « preschool » ou « toddler » (en français : « maternelle » et « tout-petit ») . Dans son radar, des applications d’objets connectés, d’éducation ou de jeux pour enfants, mais aussi des mastodontes du marché comme TikTok, « qui ne sont pas forcément destinés aux enfants mais qui sont de fait en grande partie utilisés par eux parce qu’ils sont ciblés par le marketing », détaille le chercheur.
Ces recherches mettent en évidence une tendance : les développeurs professionnels, qui produisent beaucoup d’applications, collectent moins de données sensibles que ceux de taille plus modeste. Une explication est que ces développeurs disposent déjà d’une quantité importante d’informations, à partir de laquelle ils peuvent inférer beaucoup de choses, et ont donc moins besoin de données marginales pour « fonctionner ». Une autre hypothèse, complémentaire à la première, est que ces groupes sont davantage sujets à des contrôles et à des amendes fortes, en plus de risquer le « bad buzz »: « Si l’on apprend, par exemple, que YouTube Kids collecte des données sensibles, cela peut avoir des répercussions très négatives sur l’image de marque », suggère Vincent Lefrère. Ce constat n’est pas sans rappeler qu’en Europe aussi, les groupes influents sont les plus surveillés par les autorités de contrôle dans l’application du RGDP.
Muni de ses résultats, l’économiste intervient auprès de la CNIL et fait de la sensibilisation, notamment sur comment aider les développeurs « indépendants » à se mettre en conformité avec la loi. Car « plus la loi est restrictive en matière de respect de la vie privée, plus la mise en conformité est couteuse pour les entreprises de taille modeste », souligne-t-il. Il alerte également sur le risque que les développeurs européens ou américains soient rebutés par la rigueur des règlementations sur la protection de la vie privée, et ne soient suppléés que par des développeurs venant de pays où les normes de protection sont plus laxistes. En effet, ses recherches montrent qu’en dehors du programme DFF, les applications qui collectent le plus de données sont celles dont les développeurs sont hébergés dans des pays où la régulation sur le traitement de la vie privée est assez faible, comme l’Inde ou la Chine. Or, « une fois que la donnée est partie dans ces pays, on ne sait pas trop ce qu’elle advient », avertit Vincent Lefrère.
Dans ces conditions, est-il préférable qu’une grande quantité de données en ligne soit concentrée dans les mains d’acteurs puissants du numérique, capables de les sécuriser et fortement surveillés par les organes de régulation, ou que les données soient éclatées entre une multitude d’acteurs avec une moins grande capacité de protection ? Il en reviendra à terme aux instances de régulation d’en juger.
Par Ingrid Colleau.
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !