Le mardi 8 novembre, Privacy International (PI), une ONG qui milite pour la défense des droits de l'homme, en particulier contre la violation de la vie privée, a déposé une plainte auprès de certaines autorités européennes de protection des données (France, Ireland et Royaume-Uni) contre les entreprises suivantes : Acxiom, Oracle (courtiers de données), Criteo, Quantcast, Tapad (entreprises technologiques), Equifax et Experian (agences de référencement de crédits). Cette plainte est assez différente des plaintes qui sont habituellement déposé contre les géants technologiques. En effet, ce ciblage d'entreprises pas très connu semble avoir été fait à dessein par Privacy International, qui dit vouloir attirer l'attention sur ces entreprises qui exploitent les données de millions d'utilisateurs sans être réellement inquiétées, car elles ne subissent pas un réel contrôle du fait de leur discrétion. Quels sont les faits reprochés à ces entreprises ?
Privacy International reprochent à ces entreprises 3 faits :
- la violation des principes de protection des données de l'article 5 du RGPD (les principes de transparence, de légalité, d'équité, de licéité, de limitation de la finalité, de minimisation des données et de précision). Pour Privacy International, ces entreprises font du profilage à partir des données qu'ils recueillent sur les individus par le biais de leurs sites. Les données recueillies grâce à ces profilages sont communiqués à des tiers qui les utilisent à des fins inconnues. Les cas de violation de données sont légions ;
- l'inexistence d'une base légale autorisant le traitement des données des utilisateurs par ces sites. L'article 6 du RGPD exige une base légale pour que le traitement des données des utilisateurs par un site soit considéré comme licite. Cette base légale repose sur un consentement libre, spécifique, éclairée et sans ambiguïté de l'utilisateur. Privacy International estime, que ces entreprises ne disposent d'aucune base légale pour traiter les données des utilisateurs, car elles ont du mal pas à démontrer que le consentement recueillie chez leurs utilisateurs respectent les conditions de validité du consentement. De plus, elles ne peuvent utiliser l'argument de l'intérêt légitime, car cet intérêt a été façonné pour servir leurs intérêts personnels ;
- les difficultés pour les utilisateurs à exercer leurs droits sur les données protégées contre ces sociétés. Selon Privacy International, des obstacles empêchent les utilisateurs d'user de leur droit à l'information (art 13 et 14 du RGPD), à l'accès (art 15), à la suppression de leurs données (art 17), au profilage (art 22) ;
Privacy International fondent ses accusations sur les informations contenues dans les politiques de confidentialité et les supports marketing de ces entreprises et sur plus de 50 demandes d'accès aux données de ces entreprises. Elle se base aussi sur les avis d'évaluation envoyés par l'autorité de protection des données du Royaume-Uni, l'Information Commissioner's Office (ICO), aux entreprises Axciom, Equifax et Experian. A cet égard, Privacy International a formulé une demande spéciale auprès de l'ICO, pour qu'il tienne compte de sa plainte pour élargir son enquête aux entres entreprises à savoir Criteo, Oracle, Quantcast et Tapad. L'ONG attends de la part des autorités de protection des données auprès de qui elle a déposé sa plainte, une enquête plus approfondie qui permettra de constituer un dossier plus solide que le dossier actuel, car pour Privacy International, ces « preuves ne sont que la partie émergée de l'iceberg ».
A travers cette plainte, Privacy International espère envoyer un message fort aux entreprises et aux gouvernements et sensibiliser les internautes. Pour Lead Frederike Kaltheuner, un membre du programme d'exploitation des données de Privacy International, « le monde est en reconstruction par les entreprises et les gouvernements de façon à ce qu'ils puissent exploiter les données. Sans des actions urgentes continues, les données seront exploitées d'une manière inimaginable pour définir et manipuler nos vies, avant que nous ne soyons en mesure de comprendre pourquoi et de répliquer. Nous encourageons les journalistes, les enseignants, les associations de consommateurs et la société civile à demander des comptes à ces entreprises ». Ailidh Callander, un juriste de Privacy International, a même ajouté que le RGPD « donnent des dents aux régulateurs et qu'il est désormais temps qu'ils les utilisent pour demander des comptes aux entreprises ». Privacy International a entre autre pour objectif, de renforcer les connaissances des individus sur leurs droits en matière de données et de faciliter l'accès à leur données auprès des entreprises.
Source : Privacy International
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Google et Facebook sous le coup de 4 accusations dans 4 pays pour avoir enfreint le RGPD quelques heures seulement après son entrée en vigueur
Protection des données : les régulateurs européens annoncent leurs actions en cours contre Facebook pour les violations reprochées à l'entreprise
L'ICANN dépose une plainte en Allemagne pour préserver les données WHOIS qui sont, selon elle, menacées par une interprétation du RGPD