UFC-Que Choisir, une association de défense des consommateurs, a publié ce 25 janvier une étude menée par ses soins sur la collecte et le partage des données personnelles. Baptisée "Les consommateurs pris au piège du big brother commercial", elle y dénonce les pratiques agressives des entités épinglées : outre les grandes plateformes, elle cite "le commerce traditionnel, les médias, les fabricants d'objets connectés, les opérateurs de communications électroniques, les banques, les assureurs et les services publics".
Elle pointe également du doigt "les très nombreuses entreprises largement inconnues des consommateurs", tels que les courtiers en données et les intermédiaires de la publicité ciblée en ligne. L'ensemble de ces acteurs a l'unique objectif de "leur afficher des publicités ciblées", dénonce l'étude.
Une collecte massive et occulte
L'association a procédé à une série de tests et en est arrivée à la conclusion suivante : "les données personnelles des consommateurs sont collectées par l'ensemble de ces acteurs en quasi-permanence" sans que ces derniers n'en soient ni conscients, ni réellement informés. Elle a notamment démontré qu'en consultant "à peine" une dizaine de sites "parmi les plus fréquentés en France", les données personnelles sont partagées "plus de 4000 fois avec plus de 1000 tiers".
En préambule, UFC-Que choisir rappelle les règles applicables. Le Règlement général sur la protection des données personnelles (RGPD) rend obligatoire pour les sites opérant au sein de l'Espace économique européen de fonder la collecter des données personnelles sur l'une des six bases légales prévues par son article 6.
La majorité choisit le consentement ou l'intérêt légitime. Or, note l'association, le consentement est souvent "forcé" en ce sens que le consommateur est "submergé" d'information "à un point tel qu'il lui est impossible de s'éclairer sur les conséquences de son consentement". Elle a ainsi montré dans une étude qu'il fallait en moyenne 34 minutes pour lire les conditions d'utilisation d'un site web.
Le recours aux dark patterns dans les bannières cookies
L'association cite également l'utilisation de dark patterns, ces design d'interfaces conçus pour tromper l'internaute. Ils sont particulièrement présents sur les bannières cookies. Certaines pratiques ont été identifiées comme non-conformes au RGPD par le Comité européen de la protection des données (CEPD), explique-t-elle. Il s'agit "des cases pré-cochées, de l'absence d'un bouton de refus dès l'apparition de la bannière ainsi que l'usage de boutons incitatifs".
L'étude en conclut donc que "le cadre légal actuel (...) est trop inefficace pour garantir un environnement numérique respectueux de la vie privée des consommateurs". De plus, "l'idée que les consommateurs peuvent consentir librement et en connaissance de cause au traitement de leurs données personnelles est une fiction juridique".
Le droit à l'effacement, un droit peu respecté
Second pan de l'étude : l'exercice effectif des droits par les internautes. Le RGPD reconnaît un ensemble de droits et l'association a voulu vérifier si en pratique les sites les respectaient. Elle a ainsi listé 1040 tiers collectant les données personnelles sur un échantillon de 10 sites web pour "simuler le parcours d'un consommateur" qui souhaiterait demander l'effacement de ses données (article 17 RGPD). Les tests ont été effectués en juin 2023 sur 20minutes.fr, allocine.fr, cdiscount.fr, leboncoin.fr, lemonde.fr, marmiton.org, meteofrance.com, orange.fr, programme-tv.net, yahoo.com.
Voici les résultats : 54% de ces sites ne proposent "aucun moyen de contact ou ignorent tout simplement les demandes qui leur sont adressées". Dans les détails, sur les 1040 entreprises, 923 adresses mails ont pu être identifiées et une demande d'accès et d'effacement leur ont été adressées. 8% de ces adresses ne fonctionnaient pas et 35% des emails sont restés sans réponse au bout du délai de 30 jours fixé par le RGPD.
Au total, seules 46% des demandes ont "déclenché une réaction" de la part des responsables du traitement des données. 189 sollicitaient des informations supplémentaires, telles que l'identifiant publicitaire du navigateur ou de l'appareil mobile utilisé. La difficulté de ces démarches variait en fonction des entreprises. A l'issue de ces procédures, seulement 7% des 647 entreprises détenant "potentiellement" des données personnelles proposaient "une démarche simple et convaincante".
Source : UFC-Que Choisir
Face à ces constats, l'association exige des sites internet et applications "une véritable transparence sur l'utilisation" qui est faite des données collectées. Elle plaide également pour la garantie "d'un accès et un contrôle sur les données personnelles" transmises à des tiers.
La Cnil à l'origine d'une procédure d'ampleur sur les cookies
La Commission nationale de l'informatique et des libertés (Cnil) s'est emparé en partie de cette question à travers ses procédures de contrôle sur les cookies tiers. Par vagues successives, elle a épinglé des organismes qui ne respectaient pas la législation en la matière. Elle a également condamné des grandes entreprises technologiques à modifier leurs pratiques : Google et Amazon en décembre 2020 et plus récemment Yahoo.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
