Alors que la protection des données privées est devenue un sujet central et que l’Union européenne réforme la réglementation y étant relative, l’UFC-Que Choisir a lancé un site factice « Cmoinscherensemble.fr » pour mener une campagne de sensibilisation sur l’importance de la protection des données personnelles à travers le prisme des comportements des consommateurs.
Le site Cmoinscherensemble.fr offrant des réductions importantes sur de nombreux bien et services proposait aux consommateurs de s’inscrire en laissant, s’ils le souhaitaient, de nombreux renseignements sur leur comportement et celui de leur entourage (famille, collègues). Aux fins de la campagne, il n’était mentionné nulle part que le groupe derrière ce site respectait la loi informatique et libertés de 1978. Par conséquent, les internautes n’avaient aucune assurance sur l’utilisation qui serait faite de leurs données, ni sur le respect de leurs droits… Le site a été lancé le 28 mars et nous avons arrêté les compteurs samedi 31 à 20 h. Durant cette période, le site a reçu 2856 visites.
Après suppression des données aberrantes (personnes ayant rempli le questionnaire sans aucun sérieux), 1133 réponses étaient exploitables. Ce qui signifie que 39,7 % des visiteurs ont rempli au moins partiellement le questionnaire (66,2 % des réponses sont le fait d’hommes et 33,8 % de femmes). Compte tenu du caractère « intrusif » du questionnaire, ce taux est très important. L’analyse statistique permet de constater l’imprudence des internautes.
En effet, seuls 7 % des consommateurs ayant rempli le questionnaire se sont arrêtés aux questions relatives à la civilité (M., Mme et Mlle), au nom, prénom et e-mail. Les autres (93 %), à quelques exceptions près, ont rempli plus de la moitié des champs.
Compte tenu du nombre et de la nature des questions, les informations fournies permettraient un profilage très précis des consommateurs. Non seulement on sait qui ils sont (âges, goûts, habitudes de consommation) mais aussi la composition de leur foyer et leur catégorie socioprofessionnelle (CSP). Par exemple, 100 % des consommateursayant fourni un numéro de téléphone mobile, soit 36 % des consommateurs ayant renseigné ce champ, ont donné l’autorisation pour recevoir des alertes sur les bons plans de Cmoinscherensemble.fr. Pourtant, à aucun moment le site ne précisait que ces données ne seraient pas transmises à des tiers.
Ces données ont toutefois une importante valeur marchande et sont susceptibles d’intéresser des commerçants ou des organismes de financement.
Il ressort aussi de cette expérience que les consommateurs cèdent très facilement des données relatives aux autres, notamment à leur famille. Cela peut aller plus loin avec l’utilisation d’outils relatifs aux réseaux sociaux ou aux e-mails, comme ceux fournis sur le site. Nous n’avons pas contrôlé l’usage de ces outils, donc nous ne sommes pas en mesure de commenter leur utilisation. Cependant, il est important de souligner que ce type d’outils fournit des informations sur des tiers comme, par exemple, leur e-mail mais aussi l’endroit où ils travaillent, lorsqu’il s’agit d’une adresse professionnelle. Le consommateur qui utilise ces outils communique donc sans leur accord des informations sur ses contacts.
Cela peut également permettre au collecteur de connaître l’environnement des consommateurs et notamment l’identité des personnes qui partagent leur loisirs ou leurs actes de consommation.
Il est essentiel d’informer le consommateur sur le risque qui pèse sur ses données. En effet, bien que, sur le papier, la législation soit relativement protectrice (grâce à la loi informatique et liberté de 1978 et à ses améliorations régulières), elle reste dans les faits souvent mal appliquée. Les textes prévoient, par exemple, que le consommateur a le droit de demander à toute entreprise ou institution réalisant des fichiers les données qu’elle détient sur lui, mais aussi de les modifier ou de les effacer. Or, beaucoup d’entreprises refusent encore de répondre à ces demandes. Et il ne s’agit pas uniquement des groupes américains (Facebook, Google, etc.) qui se cachent derrière le fait que les données sont traitées dans leur pays d’origine et que, par conséquent, la réglementation française et européenne ne s’applique pas. En 2010, l’UFC-Que Choisir a saisi la CNIL contre plusieurs entreprises, suite à une enquête effectuée par les étudiants d’un mastère spécialisé. Ayant envoyé une demande d’accès aux données personnelles à 207 organismes privés et publics, ils n’ont reçu que 20 % de réponses satisfaisantes.
Après avoir totalement supprimé l’ensemble des données recueillies sur le site factice, l’UFC-Que Choisir alerte les consommateurs sur la nécessité d’une réelle vigilance quant à leurs données personnelles et leur rappelle quelques bons réflexes :
1) vérifier qui est derrière chaque site Internet ;
2) vérifier la présence des mentions légales et l’information selon laquelle la loi « Informatique et Libertés » est respectée ;
3) vérifier la présence d’un contact pour pouvoir demander l’application de la loi quant à la liberté d’accéder, modifier et supprimer ces données personnelles.