Comment La Poste s’enrichit grâce à vos données personnelles

Imaginez: vous surfez sur ce site et une publicité pour des légumes frais de l’enseigne Denner s’affiche sur votre écran. Vous n’y prêtez aucune attention. Les publicités sur internet, c’est la norme. Mais quelques jours plus tard, vous découvrez dans votre boîte aux lettres un courrier personnalisé de Denner contenant un bon de réduction pour ces mêmes légumes frais. Que s’est-il passé? C’est le magazine alémanique des consommateurs K-Tipp qui raconte cette histoire abracadabrantesque.

L’enseigne Denner – qui appartient au groupe Migros – a sollicité les services de l’agence de publicité zurichoise Converto. Cette entreprise a mis sur pied une stratégie agressive de publicité ciblée. La campagne publicitaire de Denner a été déployée sur de nombreux sites suisses, parmi lesquels celui du média alémanique Blick.ch, ou encore Zattoo.ch et Bluewin.ch. Les internautes qui visitaient ces sites et voyaient la publicité s’afficher sur leur écran ont pu être identifiés sans même qu’ils en aient conscience: il n’était en effet pas nécessaire qu’ils renseignent leurs données personnelles pour être tracés par Converto. Les individus ignoraient donc qu’ils étaient identifiables par leur seul comportement de navigation – ils n’ont pas cliqué sur le spot publicitaire et ne se sont pas inscrits sur un site.

Comment l’agence publicitaire a-t-elle pu faire le lien entre les internautes et leur adresse postale si ceux-ci ne fournissent pas leurs données personnelles? Le magazine K-Tipp répond à cette question. Converto a collaboré avec La Poste. L’entreprise de publicité a enregistré les adresses IP de quiconque accédait aux pages web sur lesquelles le spot publicitaire de Denner était placé. Que cela soit au moyen d’un téléphone portable, d’une tablette ou d’un ordinateur. Cette manipulation est renforcée par l’usage des cookies – des petits fichiers implantés par le site web visité – et la mise en place d’un profil d’utilisateur dont l’internaute n’a pas connaissance. Ce profil est créé à partir des habitudes de navigation, les achats en ligne, les informations Facebook, les recherches Google et de nombreux autres comportements numériques. Ces précieuses données personnelles représentent une mine d’informations particulièrement recherchées des entreprises pour améliorer le ciblage publicitaire et prédire les comportements.

C’est donc grâce à ce partenariat avec La Poste que l’agence zurichoise Converto a pu faire le lien entre les internautes qui ont consulté la publicité de Denner et leur adresse postale. Une telle pratique pose évidemment des questions fondamentales en termes de protection des données, mais aussi sur la notion de consentement. D’abord, les internautes qui ont l’impression de naviguer anonymement, sans s’être préalablement identifié par quelque moyen que ce soit, sont en réalité aisément traçable. Ensuite, leur consentement à de telles pratiques fait l’objet d’une définition très large – dans le cas de La Poste, l’entreprise se targue d’avoir obtenu ce consentement en amont, notamment après avoir obtenu l’autorisation de la personne lors d’un déménagement.

La campagne de Denner a permis d’identifier les noms et prénoms ainsi que l’adresse postale de 225’000 internautes, selon les déclarations de Converto et de La Poste. Ce ciblage précis permet à La Poste d’observer que 168’700 d’entre eux habitent à moins de cinq kilomètres d’une succursale Denner. Au final, ce sont 23’000 personnes qui ont trouvé un courrier personnalisé contenant un bon de réduction de Denner dans leur boîte aux lettres.

La Poste se vante bien entendu de l’efficacité d’une telle campagne. Pour 200’000 adresses identifiées, l’entreprise facture 90’000 francs, selon une offre publicitaire consultée par le magazine alémanique K-Tipp. Selon le porte-parole de La Poste Erich Götschi, interrogé par le magazine des consommateurs, l’entreprise publique est autorisée à comparer et à vérifier les adresses des clients grâce à sa base de données centralisée. Il admet que l’entreprise publique utilise ces informations pour servir d’interface entre le monde physique et numérique. Quels sont les revenus générés par cette commercialisation des données personnelles? La Poste ne communique aucun montant. C’est un «secret commercial».

L’utilisation de ces procédés ne se limite malheureusement pas à des entreprises commerciales. La Poste fait la promotion sur son site internet d’une campagne publicitaire pour le compte de l’organisation non gouvernementale Mission Lèpre Suisse. Cette ONG a sollicité les services de l’entreprise publique pour déployer une campagne publicitaire sur internet. Toutes les personnes qui étaient en contact avec la publicité ont reçu un e-mail. En cas d’ouverture du courriel, les internautes ont reçu une lettre accompagnée d’un prospectus sur Mission Lèpre Suisse et un bulletin de versement.

«Grâce à divers partenariats, La Poste dispose d’un grand nombre de données en lien avec les personnes, les centres d’intérêt, les événements de la vie et les lieux géographiques, ce qui lui permet d’affiner encore plus son approche», précise l’entreprise publique sur son site internet.

Ces exemples montrent une fois de plus comment la protection de l’intégrité numérique des individus est déficiente. Les internautes sont tracés et les méthodes de ciblage ne cessent de se perfectionner. Il y a une véritable asymétrie entre le sentiment d’anonymat des internautes lorsqu’ils surfent sur le net sans s’être identifiés, et la réalité. C’est d’autant plus préoccupant qu’une entreprise publique comme La Poste puisse ainsi se servir allègrement d’informations personnelles précieuses pour générer des revenus issus d’une pratique qui devrait faire l’objet de discussions politiques et éthiques fondamentales. Sur ce sujet, il serait utile que des parlementaires fédéraux se préoccupent un peu de la manière dont La Poste prend des libertés avec sa mission de service public pour engranger des profits sans grand égard pour la personnalité des citoyennes et citoyens de ce pays.

Quelle est la prochaine étape? Une campagne publicitaire financée par un parti politique pour inciter les individus à voter en faveur de ses candidates et candidats? L’analyse comportementale des données personnelles permet déjà d’identifier les préférences politiques des individus, ainsi que la façon la plus efficace de les influencer au moyen de messages précis. Ces méthodes de ciblage doivent urgemment faire l’objet d’un débat démocratique, parce qu’elles auront aussi à l’avenir un véritable impact sur l’intégrité des votations, si ce n’est pas déjà le cas. Les entreprises qui pratiquent le remarketing ont bien entendu moins facilement tendance à se vanter des résultats lorsqu’une campagne concerne un sujet aussi délicat qu’un vote démocratique.

A noter que La Poste défendait l’adoption de la Loi sur les services d’identification électronique (e-ID) sèchement balayée par les Suissesses et les Suisses le 7 mars. Un hasard?

Communiqué de presse: l’intégrité numérique évoquée à Dakar

Mesdames et Messieurs les représentant-e-s des médias,

L’Association pour la reconnaissance et la protection de la vie numérique a le plaisir de vous informer de l’intervention de deux de ses représentants lors de la conférence annuelle des Autorités francophone de protection des données personnelles (AFAPDP) qui a eu lieu le mardi 17 septembre à Dakar, Sénégal.

Lors de cet événement qui a réuni les autorités de protection des données personnelles d’une vingtaine de pays francophones, des représentants de l’Organisation internationale de la francophonie et des ministres sénégalais, Alexis Roussel et Grégoire Barbey ont pu présenter leurs réflexions en faveur de la reconnaissance et la protection de l’intégrité numérique des individus. Le discours tel qu’il a été prononcé vous est transmis ci-joint en version PDF. Les deux panélistes finalisent actuellement un ouvrage qui traitera notamment de cette notion d’intégrité numérique.

Vous pouvez également retrouver l’intervention sur la page Facebook des autorités sénégalaises de protection des données (CDP).

Cette intervention a suscité l’intérêt des délégations représentées lors de cette conférence et a permis d’ouvrir un débat sur l’extension des droits fondamentaux dans la dimension numérique de l’existence humaine.

L’actualité récente nous démontre constamment la vulnérabilité des existences numériques des êtres humains. La fuite des informations personnelles de plus de 16 millions d’Equatoriens nous rappelle combien la vie privée des individus est aujourd’hui compromise. Chaque jour, des milliards de données personnelles sont collectées et exploitées dans le but d’influencer, de manipuler et d’asservir les êtres humains. Par le passé, des pays ont vu leurs données fiscales étalées au grand jour. Plus personne n’est à l’abri de se voir ainsi mis à nu.

Il est urgent de débattre de propositions sérieuses pour faire évoluer le droit traditionnel et l’adapter à la réalité de notre époque afin de protéger les droits fondamentaux. La technologie est un formidable moyen d’émancipation de l’individu, mais son utilisation doit faire l’objet d’une approche éthique et d’un encadrement légal.

Nous profitons de cette communication pour faire part de notre regret de n’avoir pas vu lors de cet événement important à Dakar le préposé fédéral à la protection des données Adrian Lobsiger ni son suppléant Marc Buntschu. Cette absence remarquée par les autres délégations est selon nous la démonstration du manque d’intérêt de nos autorités pour ces questions d’importance. Alors même que les Chambres fédérales s’apprêtent à débattre en automne de la révision totale de la Loi sur la protection des données de 1993. Il est quand même surprenant de ne pas voir nos autorités faire le déplacement en personne quand la présidente de la respectée Commission nationale française de l’informatique et des libertés (CNIL) était elle-même présente en personne. Notons également que la Suisse a présidé l’AFAPDP durant plusieurs années sous l’égide de l’ancien préposé fédéral suppléant à la protection des données et à la transparence Jean-Philippe Walter qui demeure très respecté par les délégations francophones.

La Suisse a encore un immense travail de réflexion et d’action à mener pour être à jour dans le domaine de la protection des données personnelles. La conformité des entreprises suisses avec le cadre légal européen (RGPD) en dépend.

Nous nous tenons bien évidemment à disposition pour de plus amples informations et nous vous remercions d’avance de votre intérêt.

Au nom de l’Association pour la reconnaissance et la protection de la vie numérique:

Alexis Roussel, +4178 639 95 01
Grégoire Barbey, +4179 124 00 28