Face à la montée des cyberattaques, le FBI et la CISA recommandent d’arrêter d’envoyer des SMS entre utilisateurs d'iPhone et d'Android. Un conseil qui ne vise pas seulement les Américains mais tous les...
Elles constituent désormais un sujet sensible. Les données personnelles, qui font régulièrement l’objet d’articles notamment à l’issue de dangereuses fuites, constituent aujourd’hui une précieuse commodité. Récemment encore, indique 20 Minutes sur son site, les Françaises et les Français ont eu matière à s’inquiéter : les informations de plusieurs dizaines de milliers d'adhérents de la mutuelle Emoa, installée dans le Var, ont été divulguées en ligne. Pire encore ! En avril dernier, une fuite non moins importante a été découverte. Les données perdues se sont d’ailleurs retrouvées sur des plateformes cybercriminelles, à en croire nos confrères.
Dans ce genre de cas de figure, ce sont généralement les noms, prénoms, codes postaux, dates de naissances et adresses mails qui sont dérobées. Parfois, les escrocs vont plus loin et récupèrent même les numéros de Sécurité sociale, la photocopie du passeport ou les coordonnées bancaires de leurs victimes… qu’ils mettent alors en vente en ligne ou qu’ils utilisent dans le cadre de campagne de hameçonnage ; quand ils ne donnent pas tout simplement dans l’usurpation d’identité. Mais les malfrats ne sont pas les seuls à récupérer vos données… Les entreprises aussi en profitent. A ne pas oublier.
Données personnelles : depuis quand profitent-elles aux entreprises ?
C’est dans le courant des années 2000, observe le magazine Alternatives Economiques sur son site, que les géants du web découvrent comment exploiter les données personnelles de leurs utilisateurs. A ce moment-là, peut-on lire sur le site, Google identifie une façon de monétiser les traces laissées sur internet par les cybernautes. Certains experts, comme c’est le cas de la sociologue américaine Shoshana Zuboff qu’interrogent d’ailleurs nos confrères, évoquent depuis un “capitalisme de surveillance”.
Que font vraiment vos entreprises préférées des données que vous leur accordez parfois bien involontairement ?
Données personnelles : qu’en font les entreprises, au juste ?
“Quand, en ligne, un service apparaît gratuit, il ne l’est pas véritablement”, explique d’entrée de jeu l’avocat Etienne Drouard, spécialisé en protection des données, en cybersécurité, en droit commercial ainsi qu’en droit de l’informatique et de l’Internet. Il est associé au sein du cabinet parisien Hogan Lovells. “Simplement, ce n’est pas l’utilisateur qui paye le service : ce sont des entreprises qui, soucieuses de lui vendre un produit, achètent les espaces pubs affichés pendant qu’il navigue. C’est un modèle économique qui repose sur la capacité des sites à identifier les centres d’intérêts des visiteurs pour pouvoir ensuite afficher une publicité pertinente”, observe-t-il encore.
Bien évidemment, une telle situation fait l’objet d’une régulation très stricte. Il s’agit, rappelle Maître Drouard, de protéger sa traçabilité à long terme et donc par extension sa vie privée. “Les outils qui permettent l’affichage de telles publicités ne peuvent pas être utilisés qu’avec le consentement explicite de l’utilisateur. Un écran d’information s’affiche et il lui est possible de refuser le dépôt de fichier, sans pour autant renoncer à la gratuité du service”, précise l’avocat, non sans souligner que ce système permet aux uns et aux autres de prendre la main sur leur propre protection.
Les entreprises revendent-elles vos données personnelles ?
Certaines entreprises, à l’instar de ce que font les escrocs pourraient être tentées de revendre les données acquises. Ceci étant dit, elles peuvent le faire tout à fait légalement… dès lors qu’elles ont pensé à recueillir le consentement des clients concernés. “C’est un micro-marché qui s’avère nettement moins intéressant que ceux précédemment évoqués”, commente cependant Etienne Drouard. Et pour cause ! Ce qui se vend le mieux, ce n’est pas une adresse mail susceptible d’être utilisée pour du démarchage… C’est une prédiction comportementale.
“Lorsque, sous réserve d’avoir donné son consentement, un internaute laisse des traceurs être déposés sur son ordinateur, il permet aussi la mémorisation de ses centres d'intérêts antérieurs. A partir de là, les entreprises sont en mesure de prévoir, avec plus ou moins de précision, le comportement à venir du cybernaute. Plus le profil est précis, plus il est possible de dire quels sont ces centres d’intérêts et donc de maximiser, théoriquement parlant, sa propension à l’achat. Dans ce cas-là, le profil se vend plus cher”, détaille l’avocat.
Mais que risquerait, au juste, une entreprise ne se pliant pas aux règles ? “Sur le terrain pénal, jusqu’à 1,5 millions d’amende et 5 ans de prison potentielle pour le ou les représentants légaux”, tranche immédiatement le conseil. Néanmoins, tempère-t-il, il existe une autre voie de sanction : “La Cnil peut émettre des amendes administratives, et c’est généralement ainsi qu’est rendue la loi sur de telles affaires. Elle peut condamner l’entreprise à des sommes oscillant entre 10 et 20 millions d’euros, quand il ne s’agit pas de très grosses sociétés. Dans ce cas de figure, l’amende correspond à 2 ou 4% du chiffre d’affaires mondialisé”, poursuit-il.