|
|
Données en ligne - Adresses mail - Vie privée - Boutiques en ligne - Chiffres et tendances
données personnelles
commerce électronique
adresse internet
protection des données
médias sociaux
| 2/6/2022 | Envoi question (Fin du délai de réponse: 7/7/2022) |
| 7/7/2022 | Réponse |
Aussi posée à : question écrite 7-1654
Une étude à grande échelle menée par la KULeuven, l'Université de Radboud et l'Université de Lausanne a montré que des milliers de sites web surveillent quand un internaute remplit un formulaire en ligne, mais ne l'envoie pas réellement. Ils lisent en fait les données du formulaire sans le consentement de l'utilisateur (cf. https://www.hln.be/internet/~a1bfef2a).
Les sites web transfèrent les adresses mail, à l'insu des utilisateurs, à des tiers spécialisés dans le suivi des internautes. Ils essaient ainsi de savoir quels sites web l'internaute visite, afin d'en établir un profil individuel et de lui envoyer des publicités davantage ciblées.
Après que l'un des chercheurs a découvert la technique sur un site web, l'équipe a commencé à étudier 100 000 des sites web les plus utilisés sur internet. Les chercheurs ont trouvé 1 844 sites web transférant des données d'utilisateurs européens et 2 950 sites web le faisant avec des données d'utilisateurs américains (cf. https://www.hln.be/internet/~a1bfef2a).
La liste comprend par exemple la boutique en ligne Shopify, la chaîne hôtelière Marriott et plusieurs sites d'information américains tels que FoxNews et USA Today. Plus près de chez nous, les chercheurs ont également trouvé le site web du grossiste en électroménagers Vanden Borre. Dans cinquante-deux cas, des mots de passe ont également été transmis à des tiers.
Ces pourcentages peuvent paraître faibles, mais il s'agit de sites comptant des dizaines de millions d'utilisateurs.
La recherche montre que Meta (Facebook) et TikTok, en tant qu'entreprises qui font du traçage de données, collectent également des informations sur les utilisateurs via d'autres sites web. Au total, l'équipe a trouvé 8 438 sites web américains et 7 379 sites web européens qui ont potentiellement envoyé des données à Meta, ainsi que 154 sites web américains et 174 sites web européens qui transfèrent des données vers TikTok.
Quant au caractère transversal de la question écrite, la lutte contre la cybercriminalité et la cybersécurité constituent l'une des dix priorités du Plan national de sécurité (PNS) 2016 2019. Ce document, publié tous les quatre ans par les ministres de la Sécurité et de l'Intérieur et de la Justice, est le fil conducteur du travail de la police. En outre, l'un des thèmes transversaux concernant le plan de sécurité est l'amélioration de l'approche policière de la cybercriminalité, en prenant en compte l'évolution d'internet, les innovations et les nouvelles technologies. Il s'agit donc d'une matière transversale partagée avec les Régions. Ainsi, le gouvernement bruxellois a mis en place un Centre régional de cybersécurité.
Je voudrais donc poser les questions suivantes :
1) Comment réagissez-vous à ces fuites de données à la suite desquelles des formulaires complétés sur des sites web, mais non envoyés, sont transmis à des tiers à l'insu de l'internaute ? Cela concerne-t-il également des sites web belges ou des données de citoyens belges ? Pouvez-vous expliciter votre réponse et indiquer quelles mesures vous comptez prendre ?
2) Avez-vous déjà enregistré des plaintes de victimes ou d'autres personnes ou entreprises qui ont subi des dommages à cause de telles failles de sécurité ? Si oui, combien, pendant quelle période et à combien s'élevaient les dommages subis ? Des personnes ont-elles été arrêtées ou condamnées à des amendes ? Si oui, combien et quelles ont été les peines infligées ?
3) Les sites belges qui présentent de telles failles sont-ils au courant ? Si ce n'est pas le cas, pourquoi pas, et où devraient-ils se renseigner à propos de ces failles ? Si oui, combien de gestionnaires de site avez-vous déjà contactés à ce sujet ?
4) Pourriez-vous dresser la liste des sites pour lesquels ce problème spécifique de sécurité est encore plus sensible selon vous ? Pourriez-vous également préciser pourquoi et comment informer le plus rapidement possible les gestionnaires de site ?
5) Selon vous, comment les données issues de ces fuites pourraient-elles être utilisées à mauvais escient ? Y a-t-il des secteurs qui, selon vous, sont plus vulnérables que d'autres à de telles fuites ?
1) Sauf exceptions prévues dans la règlementation sur la protection des données (RGPD), aucun traitement de données à caractère personnel réalisé sans consentement d’une personne concernée n’est permis. Dans la mesure où l’Autorité de protection des données (APD) n’a jusqu’à présent pas été contactée à ce sujet, nous ne pouvons pas savoir si des sites web belges ou les données de citoyens belges sont concernés par ce phénomène.
Quant aux mesures à prendre pour contrer cette pratique, cela dépendra de la qualification à lui donner au sens du RGPD. L’APD part du principe qu’il s’agit d’une technique spécifique, distincte des formes plus courantes de suivi (telles que les cookies). En ce qui concerne ces dernières techniques, l’APD a déjà pris diverses mesures (https://www.autoriteprotectiondonnees.be/professionnel/themes/cookies). En ce qui concerne la technique qui fait l’objet de cette question, en revanche, l’APD n’a aucune indication que les entreprises ou services relevant de son autorité de surveillance l’utilisent. La question se pose de savoir s’il s’agit d’une «fuite de données» au sens de l’article 4, paragraphe 12, du RGPD. Cela dépendra en grande partie du fait que les opérateurs de ces sites soient conscients de cette pratique. S’ils n’en sont pas conscients, il est possible qu’il y ait eu une violation de données au sens de l’article 4, 12), du RGPD. S’ils en sont conscients (et éventuellement (aident à) mettre en œuvre cette pratique eux-mêmes), il s’agit probablement plus d’un cas de traitement illicite de données à caractère personnel (plutôt que d’une fuite de données), en raison d’une possible violation des articles 5 et 6 du RGPD.
2) L’APD m’informe qu’elle n’a pas encore reçu de plaintes concernant ce phénomène.
3) Du point de vue du RGPD, les administrateurs du site sont les premiers responsables de la prévention ou de la suppression de ces pratiques. Toutefois, l’APD peut fournir des informations (par exemple sur son site Internet) sur les défis liés au RGPD. À la lumière des réponses fournies aux questions 1) et 2), il s’agit d’une question sur laquelle l’APD ne peut pas encore communiquer.
4) Comme expliqué précédemment, cette pratique n’a jusqu’à présent pas été rapportée à l’APD (cf. réponse aux questions 1) & 2)). En attendant d’en savoir plus sur l’ampleur exacte de cette pratique, je conseille évidemment aux gestionnaires de sites web de rester attentifs aux collaborations qu’ils nouent pour s’occuper de leurs sites.
5) De prime abord, de nombreux abus sont envisageables, tels que des atteintes au caractère définitif, la diffusion de données personnelles plus largement que nécessaire, la perte de contrôle par les personnes concernées sur leurs données et donc éventuellement l’impossibilité d’exercer concrètement leurs droits, l’enrichissement de ces données avec d’autres informations sur la personne concernée afin de créer un profil de cette dernière (et par exemple envoyer des publicités ciblées), etc.