Royaume-Uni vs États-Unis : quelle quantité de données personnelles pouvez-vous obtenir ?

Publié par Emma le

L’Union européenne va mettre en place cette semaine l’une des lois les plus strictes au monde en matière de protection des données. Cette loi, entre autres dispositions, donne aux citoyens européens le droit d’obtenir les données personnelles que les entreprises détiennent à leur sujet.

Il s’agit d’un droit d’accès aux données dont les Américains ne bénéficient pas.

Nous avons donc décidé de mener une expérience de confidentialité : demander nos données à la fois en Grande-Bretagne et aux États-Unis, pour avoir une idée de la facilité avec laquelle les personnes en Europe pourront accéder à leurs informations personnelles par rapport aux utilisateurs américains.

Nous avons mené notre expérience en utilisant une loi britannique vieille de 20 ans qui autorise les individus à consulter les données personnelles détenues à leur sujet par les entreprises de ce pays. Cette loi prévoit des droits d’accès aux données similaires à ceux des futures règles européennes, connues sous le nom de Règlement général sur la protection des données, ou RGPD, ce qui donne une idée de la manière dont la nouvelle loi pourrait se dérouler.

Prashantun éditeur à Londres, et Natashaun journaliste spécialisé dans les technologies à New York, a demandé leurs dossiers dans leurs pays respectifs à Amazon, Facebook, Google, LinkedIn, Twitter, leurs fournisseurs de téléphonie mobile et aux sociétés d’analyse marketing qui établissent le profil des utilisateurs.

Les résultats n’étaient pas ceux que nous attendions.



Ce que nous avons obtenu lorsque nous avons demandé nos données aux spécialistes du marketing



Prashantvit au Royaume-Uni

  • 200 des lignes de données contenant des détails sur ma vie personnelle.
  • 343 des lignes de données sur les segments de marketing consommateur qui m’ont été attribués.

Natashavit aux États-Unis

  • 1 ligne de données indiquant que j’ai lu une fois un article sur Forbes.com.

Prashant: Quantcast, un service d’analyse qui catégorise et cible les utilisateurs en ligne à des fins de marketing, m’a envoyé une feuille de calcul contenant environ 200 entrées qui suivent mes activités. Elles contenaient un niveau de détail étonnant sur ma vie.

Il a montré que j’avais utilisé OpenTable pour faire une réservation pour un dîner en mars dans un restaurant indien « décontracté » à Londres, que j’avais lu un article de CNN sur les tarifs douaniers sur l’acier et l’aluminium du président Trump, que je cherchais à acheter un nouveau téléphone portable et que j’envisageais un voyage à Stellenbosch, en Afrique du Sud.

Ensuite, il y avait les 343 classifications marketing que Quantcast avait obtenues à mon sujet auprès de courtiers en données, des entreprises qui vendent les données des consommateurs à des fins de marketing.

Les catégories m’ont classé parmi les « gros dépensiers » en nourriture pour animaux (j’ai un chat), les propriétaires d’une télévision à écran plat et les membres d’un « foyer probablement non-fumeur ». Mes collègues de Londres ne seront pas surpris d’apprendre que parmi mes « centres d’intérêt » figurent les biscuits et le chocolat.

Mais le rapport suggère également qu’il y a 3 % de probabilité que je sois une femme de plus de 65 ans et que je possède une voiture. (Je suis, pour être clair, un homme d’une trentaine d’années. J’ai obtenu mon premier permis de conduire il y a quelques mois et je ne possède pas de voiture.)

Natasha:Ma feuille de calcul de Quantcast ne contenait qu’une seule ligne de données : elle indiquait que le 19 janvier à 19h01, j’ai lu un article sur Forbes.com expliquant que Google supprimait certaines fonctionnalités permettant aux parents de contrôler la navigation Web de leurs enfants. La feuille de calcul mentionnait même l’auteur de l’article : Kevin Murnane.

Comme pour toutes ces entreprises, Prashant et moi-même avons agi autant que possible comme des consommateurs ordinaires lorsque nous avons initialement demandé nos informations. Mais après nos demandes, nous avons fait un suivi auprès des entreprises en tant que journalistes. Lorsque j’ai contacté Quantcast pour demander pourquoi je n’avais reçu qu’une seule ligne de données, un porte-parole a déclaré que les paramètres de confidentialité des utilisateurs pouvaient influencer les informations collectées par Quantcast. (J’utilise divers outils logiciels pour surveiller le suivi.)

Le porte-parole de Quantcast a ajouté que l’entreprise avait répondu aux demandes d’accès aux données en vertu de la législation européenne. Par conséquent, l’envoi de données était une erreur, car les consommateurs aux États-Unis ne disposent pas d’un droit complet à obtenir des copies des données détenues par les entreprises américaines.



Quand nous avons demandé à Amazon



Prashantvit au Royaume-Uni

  • Historique des commandes.
  • Informations sur la carte de crédit.
  • Adresses de données d’abonnement Prime.
  • Articles de la liste de souhaits.
  • Appareils utilisés pour accéder aux services Amazon.

Natashavit aux États-Unis

Prashant: Une liseuse Kindle, un moule à gâteau carré, un détecteur de monoxyde de carbone.

Amazon a envoyé des listes des articles que ma femme et moi avions achetés via le site, les cartes de crédit que nous avions utilisées pour les acheter, les adresses auxquelles les articles avaient été expédiés et les appareils que nous avions utilisés pour accéder aux services Amazon.

Mais nous nous attendions à recevoir des données plus importantes de la part d’Amazon. J’ai donc réécrit à Amazon pour lui demander tous les détails que l’entreprise avait sur moi, y compris les données de visionnage de vidéos de notre foyer.

L’entreprise a déclaré qu’elle menait une « enquête » et qu’elle enverrait les données manquantes dès qu’elles seraient prêtes. Il n’y a toujours aucun signe de cela. Un porte-parole d’Amazon a ajouté que l’entreprise s’était engagée à se conformer à la nouvelle loi européenne sur la protection de la vie privée.

Natasha:J’ai utilisé l’outil en libre-service d’Amazon pour télécharger une copie de mes bons de commande, y compris les batteries pour l’appareil Blackberry obsolète dont j’avais du mal à me débarrasser en 2015. (Je possède maintenant deux iPhones.)

Mais je voulais l’historique complet de mon compte, comme mes recherches sur Amazon.

Amazon a répondu à ma demande par e-mail en me disant d’appeler l’entreprise, car il n’était « pas sûr d’obtenir les détails du compte par e-mail pour des raisons de sécurité ». J’ai ensuite appelé le service client d’Amazon et j’ai été mis en attente pendant 15 minutes pendant qu’un agent s’efforçait de trouver une réponse.

Finalement, l’agent m’a rappelé pour me dire qu’Amazon conservait des données sur moi à des fins commerciales, mais ne voulait pas les partager avec moi. « Tout est privé », m’a-t-il dit. « Je n’ai malheureusement pas accès à ces informations pour vous les fournir. »



Quand nous avons demandé à Facebook, Twitter et LinkedIn



Prashantvit au Royaume-Uni

  • Les informations publiques standard, mais pas tout ce que j’ai demandé.

Natashavit aux États-Unis

  • Les informations publiques standard, mais pas tout ce que j’ai demandé.

Prashant et Natasha: LinkedIn, Twitter et Facebook proposent des outils en libre-service permettant aux utilisateurs de télécharger certaines informations, telles que leurs publications et messages. Google propose un outil permettant aux utilisateurs de télécharger les enregistrements des recherches Google qu’ils ont effectuées, ainsi que les sites sur lesquels Google les a suivis, leur historique YouTube et les données de leur calendrier. Nous avons utilisé ces systèmes et obtenu certaines de nos informations.

Mark Zuckerberg, le directeur général de Facebook, a récemment témoigné lors d’une audience au Sénat que l’outil de téléchargement de son entreprise contient « toutes les informations » que les utilisateurs ont « mises sur Facebook ou que Facebook connaît à leur sujet ».

Mais Facebook collecte en réalité bien plus de données sur ses utilisateurs. En plus des mises à jour et des photos que vous envoyez sur le site, par exemple, Facebook collecte des données sur les activités des utilisateurs sur des millions de sites non Facebook qui utilisent des outils comme le bouton « J’aime » du service. Et ces outils permettent à l’entreprise de recueillir des informations détaillées sur les habitudes de navigation des utilisateurs sur le Web.

Nous n’avons cependant pas pu obtenir ce genre d’informations.

Nous avons chacun demandé à Facebook des copies de nos données de navigation sur le Web, ainsi que toutes les données que l’entreprise a acquises à notre sujet auprès de courtiers en données ou d’autres services. Nous avons fait des demandes similaires à Twitter et LinkedIn, qui peut également collecter des détails sur les activités des utilisateurs sur d’autres sites ainsi que des données personnelles auprès de tiers comme les employeurs ou les annonceurs.

Aucun ne nous a fourni de copie de ces informations brutes.

Au lieu de cela, nous avons tous reçu de LinkedIn des courriels nous invitant à utiliser l’outil en libre-service de l’entreprise. Entre autres choses, nos téléchargements LinkedIn comprenaient les adresses électroniques de nos relations.

Nous avons reçu des courriels de Twitter nous informant que l’entreprise exigeait des copies de nos cartes d’identité émises par le gouvernement avant de fournir des informations sur les utilisateurs autres que celles disponibles dans l’outil en libre-service de l’entreprise. Natasha, qui couvre régulièrement les questions de confidentialité, hésitait à confier à Twitter une copie de sa carte d’identité. Prashant a envoyé sa carte d’identité à Twitter et a reçu les données environ une semaine plus tard, peu après que nous ayons contacté le service de presse de Twitter. Le nouvel ensemble d’informations comprenait les journaux d’adresses IP, les messages directs et tous les GIF qu’il avait publiés (il y en avait beaucoup).

Facebook a indiqué à Natasha que son outil de téléchargement de données en libre-service « a été examiné par notre régulateur de la protection des données » et lui permettrait « d’accéder à toutes vos données Facebook ». L’entreprise a indiqué à Prashant que l’outil en libre-service lui permettrait d’accéder uniquement « aux informations Facebook mises à votre disposition » et que l’entreprise « n’est pas en mesure de fournir des informations supplémentaires ».

Matt Steinfeld, porte-parole de Facebook, a déclaré que l’outil de préférences publicitaires du réseau social reflétait les informations que le réseau social avait reçues sur les utilisateurs de la part de courtiers en données et d’annonceurs. L’entreprise a récemment déclaré qu’elle était en train de développer un outil permettant de montrer aux utilisateurs une liste des applications et des sites Web dont Facebook reçoit des données lorsque les utilisateurs les visitent.

Après avoir contacté le service de presse de LinkedIn, nous avons reçu des courriels le lendemain nous informant que l’entreprise travaillait sur nos demandes. Une porte-parole de LinkedIn a déclaré que les utilisateurs pouvaient télécharger automatiquement « les données les plus fréquemment demandées » et que l’entreprise n’envisageait pas pour le moment de modifier son processus de demande de données.



Réponses incomplètes



Prashant et Natasha: Nous ne recherchions pas nos données simplement pour le plaisir des données.

Alors que nous sommes de plus en plus conscients des fausses nouvelles et des campagnes d’influence électorale en ligne, les chercheurs, les journalistes et les consommateurs cherchent à obtenir des informations personnelles auprès des entreprises pour essayer de comprendre comment nous sommes manipulés. Les réponses incomplètes des entreprises technologiques ne sont pas de bon augure pour ces efforts de recherche.

Cela ne semble pas non plus de bon augure pour les entreprises, qui seront bientôt confrontées aux nouvelles réglementations européennes en matière de protection de la vie privée.

Après avoir écrit à nos opérateurs de téléphonie mobile pour leur demander nos enregistrements, par exemple, Natasha a au moins eu une réponse de T-Mobile, qui lui a dit qu’il ne divulguerait ses enregistrements téléphoniques que si l’entreprise recevait une assignation à comparaître l’obligeant à le faire.

Prashant n’a reçu aucune réponse de Three, son opérateur de téléphonie mobile. Lorsqu’il a contacté l’entreprise en tant que journaliste, Three a déclaré qu’elle ne pouvait pas donner de détails sur ce cas particulier pour des raisons de confidentialité, mais a ajouté qu’elle envoyait généralement une lettre demandant une preuve d’identité avant de procéder à une demande de données. Prashant et sa femme, dont le nom figure sur le contrat de téléphone, n’ont jamais reçu une telle lettre.

Une porte-parole du bureau du Commissaire à l’information en Grande-Bretagne nous a déclaré que les entreprises qui ne répondaient pas aux demandes d’accès aux données des personnes concernées pourraient enfreindre la loi sur la protection des données du pays.

En vertu de cette loi, les sanctions en cas de non-respect peuvent atteindre 500 000 livres, soit plus de 670 000 dollars. Et le non-respect de la nouvelle loi européenne pourrait entraîner des sanctions plus lourdes : jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise, ou 20 millions d’euros, selon le montant le plus élevé.

Même pour un géant de la technologie, cela pourrait coûter cher.


Catégories : Webmarketing

0 commentaire

Laisser un commentaire

Emplacement de l’avatar

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *