Il est facile d’adopter un discours prometteur sur le contrôle des données par les consommateurs et l’engagement envers une transparence dépassant la simple conformité. Mais la réalité ne correspond pas toujours aux belles paroles. Selon une analyse de Consumer Reports, une organisation américaine à but non lucratif dédiée aux consommateurs, de nombreuses entreprises se présentent comme des championnes de la vie privée, alors qu’en réalité, elles font peu pour offrir un réel contrôle aux utilisateurs sur leurs données personnelles — et peuvent même contourner les lois sur la protection des données et de la vie privée.
Consumer Reports, en coopération avec l’université de Wesleyan, a mené une étude sur la manière dont les entreprises traitent les demandes de refus envoyées via des mécanismes de refus universel. Ces dispositifs permettent aux utilisateurs de limiter les mesures de ciblage qui amplifient la collecte et la réutilisation de données pour le retargeting. L’étude a montré, du moins en surface, que les entreprises semblent ignorer ces refus. Bien que les résultats aient certaines limites, ils révèlent de grandes lacunes dans la protection de la vie privée et un décalage net entre les engagements affichés par les entreprises et leurs actions réelles.
L’étude a porté sur 40 détaillants en ligne, et a révélé qu’environ 30 % d’entre eux ne respectaient pas les demandes de refus conformément aux lois de confidentialité de certains États, et continuaient à diffuser des publicités ciblées sur d’autres sites. Cela signifie que les données personnelles des consommateurs continuent d’être partagées et/ou vendues sans leur consentement, même après qu’ils aient explicitement choisi de se retirer.
Des résultats similaires ont été observés dans une étude récente de l’Office des communications électroniques d’Islande, qui a révélé que la plupart des bannières de consentement aux cookies étaient essentiellement cosmétiques.
Et ce ne sont que deux exemples d’un problème bien plus vaste et complexe.
Au cœur de la majorité des réglementations sur la protection des données se trouve le principe de consentement éclairé, c’est-à-dire s’assurer que les utilisateurs comprennent exactement à quoi ils consentent lorsqu’ils partagent leurs données. Malheureusement, les entreprises ne font souvent pas suffisamment d’efforts pour expliquer des éléments comme les cookies ou les conséquences concrètes du consentement. Que signifie réellement consentir à partager ses données ? Bien que tout semble indiquer que les consommateurs se soucient de plus en plus de leur vie privée, il persiste une forme d’indifférence, sans doute liée à une méconnaissance des implications réelles du partage de données — ce qui crée une déconnexion. Et cette déconnexion n’apparaît que lors d’événements majeurs, comme la faillite récente de l’entreprise de tests ADN 23andMe. Les consommateurs se demandent alors, à juste titre : que devient leur donnée sensible si l’entreprise disparaît ? Et à quelles protections ont-ils droit, eux et leurs informations ?
Dans la majorité des cas, les données personnelles collectées et stockées par 23andMe seront soumises aux mêmes lois de protection des données, comme le RGPD, que toute autre donnée personnelle. Aux États-Unis cependant, la question est plus complexe : il n’existe pas de loi fédérale unique sur la vie privée des données, les protections varient d’un État à l’autre, et la loi HIPAA (portabilité et responsabilité des assurances santé) ne s’applique pas à 23andMe car l’entreprise n’est pas considérée comme un organisme de santé.
Le conseil généralement donné aux consommateurs est de supprimer leur compte 23andMe, de retirer leur consentement et de demander la suppression de leurs données personnelles, y compris des données désidentifiées.
La situation de 23andMe, combinée aux cas évoqués où des entreprises ignorent les demandes des consommateurs malgré des cadres réglementaires, dresse un tableau d’un véritable far west de la gestion et de la protection des données, où les individus risquent d’être lésés en raison de pratiques laxistes.
Premièrement, la plupart des experts juridiques — et même de nombreuses entreprises — s’accordent à dire qu’il est essentiel d’adopter aux États-Unis une approche harmonisée de la protection des données et de la vie privée. D’autres pays et régions ont déjà mis en place des cadres réglementaires qui, malgré des débuts difficiles, se sont révélés efficaces. Et au-delà de l’instauration de lois, celles-ci doivent être applicables de manière contraignante. Une loi sans mécanisme d’application est inefficace.
Deuxièmement, toutes les entreprises ont la possibilité d’adopter de bonnes pratiques en matière de collecte et d’utilisation des données, de gestion de la vie privée et de gestion du consentement. Même en l’absence de cadre légal strict dans leur juridiction, les entreprises qui opèrent dans des régions aux réglementations solides peuvent s’y aligner, assurant ainsi une conformité à l’échelle mondiale et se préparant à d’éventuelles obligations locales futures.
CookieHub scanne automatiquement votre site web pour détecter les cookies, garantissant que tous les cookies sont facilement gérés.
©2025 CookieHub ehf.
