Faîtes le test avec votre enseigne de grande distribution préférée, vous serez surpris à deux titres. Si l’entreprise est transparente, vous obtiendrez la liste de tous vos achats, avec la date, la quantité de chaque article, son prix et le moyen de transaction, en plus de vos données personnelles. Dans le cas inverse, vous ne récupérerez que votre nom, prénom, etc., autant dire rien, alors que tout est pourtant stocké dans les systèmes informatiques et utilisé pour vous envoyer des emails de relance, des promotions, etc., tous ces objets dont le contenu a été personnalisé à partir de vos données, de vos interactions sur le site de l’enseigne, de vos achats, etc.

Pourquoi une telle différence ? L’entreprise n°2 considère remplir son devoir en se limitant à la stricte définition de la donnée personnelle. Légalement, il n’y a sans doute rien à y redire, quoi que..., mais du point de vue de l’usager, c’est une autre histoire. La mauvaise foi crée le doute chez le consommateur. Ça ne signifie pas obligatoirement qu’on n’ira plus y faire nos courses, mais l’image de l’enseigne en prendra un coup. Ça devient une histoire de perception. Pourquoi nous cacher ce qu’on sait déjà ? Par peur de ce qu’on pourrait découvrir et comprendre ? C’est un risque à prendre. Pourquoi considérer que c’est un risque si l’entreprise est conforme à la réglementation et que les usages qu’elle fait de nos données sont légitimes et transparents ?

La gestion du risque pour un organisme est le plus souvent négligée, au mieux limitée au domaine financier de l’activité (ex: banques, organismes de crédit à la conso, assurances, etc.). La satisfaction consommateur n’est pas considérée comme un élément de risque par les organismes. Au mieux, c’est un indicateur dont le poids reste négligeable dans les décisions stratégiques. 

L’époque est encore à considérer que ce sont les clients qui doivent suivre et tout accepter de leurs marques, et non les enseignes qui doivent être à l’écoute de leur communauté. C’est oublier deux facteurs importants: le premier, celui des réglementations des états qui s’organisent lentement, certes, mais qui petit à petit légifèrent les pratiques; le second, celui de la société de l’information dans laquelle nous vivons depuis 10 ans (lanceurs d’alertes, réseaux sociaux, influenceurs, médias, etc.) et qui ne permet plus de dissimuler un scandale.

Aujourd’hui, les consommateurs sont en demande de transparence et de bienveillance en échange des données qu’ils confient. C’est la nouvelle économie qui ne dit pas son nom, celle dont le client est le produit et le bénéficiaire. Il a donc tout naturellement son mot à dire dans l’histoire.

Alors plutôt que d’attendre le moment de vérité, les entreprises ont tout intérêt à anticiper les souhaits des consommateurs et usagers. Montrer patte blanche, n’est-ce pas là une profession de foi pour la confiance et la transparence ? Resserrer les liens plutôt que de les voir se déchirer, sans retour possible, semble bien être le meilleur pari à faire.

Les scandales liés à Facebook, par exemple, ou la nouvelle politique de confidentialité de WhatsApp (qui appartient également à Facebook) ont sérieusement impacté l’image de l’entreprise. Pour le géant américain, il a fallu manœuvrer intelligemment, communiquer, changer son image, et faire son mea culpa publiquement. Rien que dans l'hexagone, la majorité des français ne ferait pas confiance aux réseaux sociaux malgré un usage intensif. Le mal est fait. Personne ne remet en question l’utilité de ces services (réseaux sociaux, moteurs de recherche, plateformes de services, etc.), mais la méfiance est là. Les plus avertis les utilisent malgré leurs doutes, peut-être en attendant mieux. Les autres continuent de s’en servir sans savoir. Pourtant, savoir ce qui est fait de nos données, pour quoi, par qui, comment et où, est devenu primordial, tout comme connaître l’impact environnemental d’une entreprise ou la présence de pesticides et autres produits chimiques dans notre alimentation. Mais qui lit les politiques de confidentialité ? Personne.

A défaut de lire et comprendre le jargon technique (le plus souvent en anglais), accéder à ses données permet d’avoir un aperçu de ce qui se passe et de commencer à s’interroger en connaissance de cause.

Gratuit pour les utilisateurs, les entreprises qui diffusent des contenus ciblés (publicités ou annonces) s'acquittent d’un abonnement pour accéder aux profils des utilisateurs et gérer leurs campagnes de pub. Par curiosité, l’un de nous a expérimenté l’accès à ses données en exerçant son droit depuis la plateforme.

Une avalanche de surprises nous attendait. D’abord, il nous a fallu attendre 20 minutes pour recevoir par email un lien nous invitant à télécharger nos données. Vingt minutes, c’est long, très long… c’est largement assez pour avoir le temps d’oublier qu’on attend une réponse de la plateforme. Et il ne faut pas s’attendre à retrouver l’email le lendemain dans sa boîte email, parce qu’il aura été noyé parmi tout un tas d’autres emails… Après l’attente, le moment de vérité. Un clic sur le lien, quelques petites secondes pour établir la connexion au dossier contenant les données et le téléchargement se lance enfin. Il en a fallu du temps pour les récupérer ces données ! Rien d’étonnant s’est-on dit, puisque ça fait longtemps qu’il y a un compte, donc il doit y en avoir un tas, de données ! Et effectivement, on n’a pas été déçu ! C’est bien plus que ses données personnelles qu’il récupère, il s’agit d’une vingtaine de fichiers texte csv résumant assez bien, mais pas complètement, l’activité de notre compère testeur: mots-clé qui ont servi à le cibler avec des publicités, relations sur la plateforme, données déclarées (formations, genre, âge, etc.), invitations et messages reçus, annonces d'emploi sauvegardées, etc.

Pépite n°1 - On déniche l’adresse IP à partir de laquelle il avait créé son compte en 2010. Ça nous permet de remonter jusqu’à son Fournisseur d’Accès Internet de l’époque et même le lieu de connexion...

Pépite n°2 - Tout aussi étonnant, aucune trace du numéro de téléphone qu’il avait renseigné lors de son inscription. Comment se fait-il que le numéro a disparu ? Est-ce qu’un employé est parti avec ? 

Pépite n°3 - On découvre un exemple de ce que la plateforme fait de ses données personnelles. Elles servent à le cibler avec des contenus spécifiques d’entreprises (publicités et annonces sponsorisées). On a même la liste des entreprises qui se sont servies de ses données. Rien en revanche sur les publications qu’il a “liké”, ou celles sur lesquelles il a cliqué, ni les commentaires qu’il a laissés ou partagés avec d’autres membres du réseau et comment les entreprises ont pu se servir de ces informations comportementales.

Conclusion - En apparence, la plateforme joue le jeu de manière transparente, puisque l’utilisateur peut exercer ses droits depuis une page dédiée. Malheureusement, on regrette que le résultat soit incomplet. L’étape d’après sera de légitimement réclamer les données manquantes, mais ce coup-ci en passant par Dare car notre collègue pourra directement échanger avec une personne physique du réseau et détailler sa demande et ses attentes.

Cette enseigne fournit aux web-spéléologues les plus téméraires une adresse email à laquelle écrire pour exercer ses droits. Il faut 4 bonnes semaines pour recevoir une réponse nous demandant de fournir un justificatif de notre identité, bien que nous ayons renseigné noms, prénoms, adresse postale, numéro de client, etc. dans notre demande. Mais jusque-là, rien d’anormal à cette réponse. En effet, la majorité des entreprises réclament une preuve de l’identité du demandeur, à juste titre, puisqu’il ne s’agit pas que nos informations soient partagées avec un tiers. On s’exécute donc et...on attend encore une réponse à notre demande envoyée à l’hiver 2020.

Ici, ni page dédiée, ni email trouvé sur la plateforme (pourtant, fouiller est devenu la spécialité de certains chez Syned), mais plutôt un formulaire à remplir en ligne avec des champs prédéfinis, ce qui est très contraignant pour préciser notre demande. On n’a jamais su où se trouve le destinataire de ce formulaire, ni s’il existe une vraie personne à l’autre bout… Alors, depuis octobre 2020, on attend un signe de réponse…

Droit d'accéder à vos données personnelles détenues par une entreprise. Une copie de vos données vous est alors transmise sous un format lisible par un humain (fichiers texte, tableur, csv, etc.).

Une entreprise qui vous transmet vos données n'est pas tenue de les effacer. Si c'est ce que vous souhaitez, pensez à exercer votre droit à l'oubli, tout en sachant que vous ne pourrez sans doute plus bénéficier de ses services après. Si vous souhaitez continuer à utiliser le service en question avec le minimum de données, tournez-vous vers votre droit d’opposition.

Les entreprises qui vous répondent sur Dare sont présentes par souci de transparence, justement parce qu’elles souhaitent maîtriser leur image auprès de leur communauté. Elles sont donc là à votre écoute. A vous d’évaluer la qualité de leurs réponses et actions.

Lorsque vous récupérez vos données d’une entreprise, vous les retrouvez dans votre coffre-fort sécurisé (Mes données) pour en faire ce que vous voulez: consulter, supprimer, conserver, partager avec une autre entreprise en exerçant votre droit à la portabilité.

​

Sur Dare, exercer vos droits auprès de Syned est aussi simple que déverrouiller votre téléphone! Allez dans Mon Compte/Mes Données, vous y trouverez tous vos droits accessibles en un clic. Par précaution, et pour votre sécurité, nous vous demandons de renseigner votre mot de passe à chaque fois. A chaque fois que vous exercez un droit auprès de Syned, vous êtes notifiés par email de l’application de votre droit dans nos systèmes.

Illustration proposée par CNIL

Texte officiel de la réglementation européenne fourni par la CNIL