Données personnelles : un site Web sur cinq n'informe pas les internautes

La Cnil a présenté les conclusions de l'opération « Internet Sweep Day », menée conjointement avec 19 de ses homologues mondiaux. Sur les 2180 sites Internets contrôlés, 20% ne fournissent aucune information aux internautes concernant la protection de leurs données personnelles.

La Cnil ne pouvait sans doute pas espérer tomber mieux pour sensibiliser le plus d'internautes possible sur la protection de leurs données personnelles. En mai dernier, elle annonçait le lancement de l'opération « Internet Sweep Day », en collaboration avec 19 de ses homologues dans le monde. Elle constitue la première opération d'audit réalisée par les membres du GPEN (Global Privacy Enforcement Network). De nouvelles coopérations seront menées à l'avenir.

L'étude, de grande ampleur, portait sur 2180 sites Internet et applications mobiles. En ce sens, le compte rendu de la Cnil était donc particulièrement attendu. Et l'on peut dire que les résultats sont pour le moins saisissants, puisqu'au total, 20% des sites étudiés s'affranchissent purement et simplement de toute information aux internautes quant à l'utilisation qui est faite de leurs données personnelles. Pour les seules applications mobiles, ce taux atteint même les 50%.

« Sans ces informations, les personnes qui visitent ces sites ou applications n'ont pas les moyens de maîtriser leurs données », regrette la Cnil.

250 sites audités par la Cnil en France

Au delà de l'absence d'information, la Cnil relève dans de nombreux cas des carences en termes de communication, souvent trop généralistes ou focalisées sur un seul aspect technique, comme le cas des cookies par exemple. « Manquent alors les finalités poursuivies par la collecte des données, l'existence ou non d'un transfert de ces données vers des tiers ou encore l'existence de droits au bénéfice des personnes dont les données sont traitées ».

Au rang des autres mauvaises pratiques constatées, le « noyage » de la politique mise en oeuvre par le site en question dans les conditions générales d'utilisation, causant un réel défaut de visibilité pour les internautes. Celles-ci sont, il faut le dire, très largement ignorées.

La Cnil a de son côté mené son audit sur 250 sites Internet régulièrement fréquentés par les internautes français. Si les critiques formulées au niveau mondial sont également valables pour ce panel, la Cnil relève toutefois un « taux de non-information » des internautes réduit de moitié par rapport à la moyenne mondiale. Un bon point, a priori, largement atténué par la trop faible visibilité accordée à cette politique de traitement des données personnelles. 99% de ces sites et applications mobiles collectent par ailleurs des données personnelles.

« Lorsque cette information est fournie, près de la moitié des sites et applications mobiles concernées ne la rendent pas facilement accessible. Sur le fond, cette information n'a pas été considérée comme suffisamment claire et compréhensible pour près d'un tiers des sites audités. La CNIL a également parfois constaté des sites à destination d'internautes français dont les mentions d'information sont rédigées en anglais », explique la commission.

La Cnil a d'ores et déjà annoncé son intention de se rapprocher de sites présentant des manquements à la loi « informatique et libertés ». Si ceux-ci ne font pas l'effort d'informer comme il se doit les internautes, la Cnil se réservera alors le droit d'user de procédures contraignantes, fait-elle savoir.