Collecte des données et profilage des utilisateurs: zone grise de la législation suisse

Pour découvrir quelles entreprises traçaient les données des utilisateurs, le mathématicien Paul-Olivier Dehaye, du Hestia AI à Lausanne, a navigué sur les sites de Salt et Swisscom. D'après les résultats obtenus par une application d'analyse, il en ressort que "20 sociétés ont été contactées (...) en quatre à cinq secondes (...) Il y a Snap, Twitter, Reddit", note-t-il dans La Matinale. C'est "un peu étonnant quand même".

Publicité et profilage

Ces entreprises collectent des données "à des fins de publicité", explique l'expert. Elles servent aussi à des fins de "profilage", ajoute-t-il, comme c'est le cas de "Google, avec DoubleClick". Lors du test, tant pour Salt que pour Swisscom, on retrouve la même entreprise: Adobe, avec Demdex. "Il s'agit d'une sorte de régie publicitaire", précise Paul-Olivier Dehaye.

"Ça ne veut pas dire qu'ils (Salt et Swisscom, ndlr) sont de mèche pour partager des informations de profil, en tout cas pas directement, mais ça veut dire qu'ils utilisent le même service qui, lui, va construire des profils grâce à leur vue beaucoup plus transverse sur les activités des utilisateurs", détaille-t-il encore.

Aujourd'hui, des informations comme les polices d'écriture ou le modèle d'appareil permettent aux entreprises d'identifier précisément les internautes.

Contacté, l'opérateur Salt indique ne pas avoir de contrat direct avec Adobe Demdex et assure que les données partagées ne permettent pas d'identifier les personnes.

De son côté, Swisscom précise qu'il semblerait qu'Adobe Demdex ait été utilisé de manière obsolète suite à une migration vers une nouvelle plateforme l'année dernière. "Nous nous engageons à corriger cette erreur", précise l’entreprise dans une réponse écrite adressée à la RTS.

Six millions d'amende en Norvège

La pratique peut être illégale. Au niveau européen, le consentement éclairé est crucial selon le RGPD, règlement de protection des données.

En Norvège, il a été jugé que l'application de rencontres LGBTIQ Grindr partageait illégalement des données, entraînant une amende de l'équivalent de six millions de francs par l'autorité de protection des données.

Pour Finn Myrstad, du Conseil des consommateurs norvégien, cette peine prouve la capacité d'un petit pays à affronter les géants de la technologie.

"L'autorité norvégienne de protection des données a montré que les petits pays peuvent, eux aussi, faire des progrès en utilisant le RGPD. Bien sûr, cela demande des ressources et du courage, mais je pense que nous devons tous faire notre part pour nous opposer aux abus des entreprises technologiques."

"Bien sûr, comme nous faisons partie du RGPD, si une plainte est valide en Norvège, elle s'applique également au reste de l'Espace économique européen. Cela a donc un impact potentiel important sur les entreprises, si elles sont reconnues coupables", détaille-t-il.

Pas assez sanctionné en Suisse

Mais une telle amende ne pourrait pas tomber en Suisse. "L'amende est plafonnée à 250'000 francs", note Jean Busché, responsable économie et nouvelles technologies à la Fédération romande des consommateurs.

"Les contrevenants seraient punis par les autorités cantonales de poursuite pénale avec des possibilités d'amende qui frisent le ridicule en comparaison européenne. A titre de comparaison, avec le RGPD, le montant des sanctions pécuniaires (en Europe, ndlr) peut s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires annuel", illustre-t-il.

Le montant maximum suisse ne pousse pas les entreprises à se responsabiliser.

Sujet radio: Miruna Coca-Cozma

Adaptation web: juma