Stratégies et techniques prédatrices des réseaux sociaux pour capter les données personnelles des mineurs

24 Oct 2023

Profil de DPO

Alessandro Fiorentino, Product Owner Adequacy, est intervenu lors du Jeudi de la Donnée de rentrée pour partager avec les membres et partenaires du Cercle de la Donnée les différentes techniques prédatrices mises en place par les plateformes numériques pour capter l’attention des plus jeunes générations.

Dans le cadre du programme AdoPrivacy, Alessandro Fiorentino a publié un article de recherche le 1er Mai 2023 : RGPD, un révélateur des logiques subreptices des plateformes envers la jeunesse aux côtés de David Bessot, directeur associé chez TNP Consultants.

4 heures par jour. C’est la durée moyenne quotidienne que nos enfants passent sur les plateformes numériques. 4 heures pendant lesquelles ils sont confrontés sans le savoir aux techniques prédatrices qu’elles élaborent pour capter leur attention. Les plateformes utilisent principalement 4 leviers pour manipuler nos comportements et collecter des données à notre insu : les astuces techniques, les astuces juridiques, les ergonomies trompeuses et les manipulations cognitives.

Parce que prendre conscience de ces techniques, c’est déjà s’en prémunir, nous résumons ci-dessous les 7 principales techniques prédatrices des plateformes.

Technique n°1 : l’extorsion du consentement
Cette première technique consiste à ne pas respecter les propriétés du consentement, qui, selon le RGPD, doit être « libre, spécifique, éclairé et univoque. »
Voici quelques illustrations que nous rencontrons quotidiennement :
• Libre : l’absence de consentement ne nous permet pas d’accéder à la plateforme
• Spécifique : une seule case à cocher pour accepter plusieurs finalités ou destinataires
• Eclairé : des mentions d’informations qui font 90 pages
• Univoque : grâce à une subtilité ergonomique, la case est pré-cochée ou au contraire, il faut cocher pour refuser ou pour avancer dans la navigation du site

Technique n°2 : l’asservissement du consentement
Cette technique consiste à intégrer des finalités qui ne sont pas nécessaires à l’exécution du contrat dans les CGU.
Pour faire simple, on glisse une finalité l’air de rien dans les CGU, même si elle n’est pas strictement nécessaire à l’exécution du contrat. On pense notamment aux cookies marketing ou aux solutions permettant de faire de l’AB testing, qui sont présentés comme fonctionnelles dans les Consent Management Platform (CMP) alors que ce n’est pas le cas.
Or chaque finalité qui n’est pas strictement nécessaire devrait reposer sur le consentement…

Technique n°3 : l’atomisation du risque juridique
La technique d’atomisation du risque juridique consiste à réaliser un montage juridique afin d’anticiper des tactiques de défense face à de futures mises en demeure. Il s’agit finalement de « pré-contentieux by design ».
Prenons l’exemple d’un marchand en ligne. Dans le cadre de son activité marketing, cet organisme procède à des opérations de profilage fondées sur des données personnelles des membres du programme de fidélité qu’il propose à des clients du site e-commerce à des fins d’analyse et de diffusion de publicités ciblées.
Dans ce cas, la technique d’atomisation du risque consistera à mettre en œuvre deux traitements distincts. Un premier traitement ayant pour finalité la connaissance client. Ce premier traitement repose alors sur l’intérêt légitime présent dans l’article 6 du RGPD, il permet à la plateforme de collecter l’ensemble des informations qu’elle estime nécessaires, lui donnant une faculté de profilage insoupçonnée. Le second traitement a pour finalité la diffusion d’une publicité ciblée et s’appuie sur la directive ePrivacy. Ce montage permet au responsable de traitement d’argumenter un réel intérêt légitime à connaître ses clients ce qui est effectivement défendable, tout en collectant un ensemble de données à caractère personnel, et de diffuser des publicités ciblées en profilant des données préalablement collectées uniquement aux personnes qui ont consenti, diminuant ainsi le risque de plaintes potentielles.
En effet, si vous n’acceptez pas l’activation des publicités ciblées, la plateforme ne vous en enverra pas, mais elle collecte malgré tout, conserve et peut revendre toutes les informations recueillies dans le premier traitement.

Technique n°4 : la synchro-acquisition
Cette technique consiste à capitaliser et consolider les données personnelles recueillies grâce à des mises à jour des politiques de confidentialité de l’entreprise et ses filiales.
C’est le cas par exemple lorsque Facebook propose (et il le fait régulièrement !) la synchronisation avec Instagram et Whatsapp. Il s’agit là de trois entités juridiques distinctes contrôlées par la même entreprise, dont chacune peut capitaliser sur les données collectées par les autres à partir du moment où la personne concernée consent sans forcément prendre conscience de tout ce que cela peut engendrer.
Cette technique permet d’augmenter la collecte de données en s’appuyant uniquement sur le consentement de chaque utilisateur sans étudier la pertinence du recueil de consentement de leurs contacts, qui eux, n’ont pas été informés et n’ont pas consenti à ce type d’enrôlement implicite.

Technique n°5 : la mise à jour du système d’exploitation
Cette technique consiste à ajouter une multitude de services, officiellement pour optimiser l’expérience utilisateur, et en même temps pour collecter des données qui devraient nécessiter un consentement.
Ainsi, par exemple, lors de la mise à jour du système d’exploitation, le fournisseur embarque de nouvelles fonctionnalités qui sont, par défaut, activées. Or, ces nouvelles fonctionnalités impliquent un usage différent, qui peut entraîner une modification ou une évolution du traitement des données à caractère personnel manipulées. Si l’utilisateur a déjà donné son consentement lors de l’installation de l’application, il n’est pas sollicité pour exprimer à nouveau son accord.

Technique n°6 : La propriété partagée
Au moment de votre inscription sur un réseau social, vous adhérez obligatoirement aux CGU du site.
Et en acceptant les CGU des réseaux sociaux, vous acceptez la notion de « propriété partagée ». Autrement dit, vous acceptez d’un seul clic et sans pouvoir le négocier un contrat déterminé par Twitter, Facebook ou encore Linkedin. Contrat dont les règles vont s’imposer à vous durant toute votre utilisation de la plateforme.
Pourtant, les conséquences juridiques qu’elles impliquent pour les utilisateurs du réseau social peuvent être considérables, notamment en ce qui concerne la propriété du contenu (photos, texte) qu’ils mettent en ligne.
Ainsi, lorsque vous postez une photo que vous avez prise vous-même, ces réseaux peuvent décider de la réutiliser sans vous avertir.
Imaginez si c’est le cas avec une photo de vos enfants !

Techniques n°7 : les profils fantômes
Cette technique consiste à collecter des données sur vous en fonction de vos navigations par le biais de cookies tiers puis de de synchroniser ou consolider l’ensemble des informations vous concernant.
Ainsi, même si vous n’avez pas encore de compte Facebook par exemple, Facebook vous connaît grâce aux cookies tiers qu’il a déposés sur un grand nombre de sites web. Ainsi, il sait que vous aimez le rugby, que vous lisez Le Monde et que vous êtes fan de chocolat. Le jour où vous vous inscrivez sur sa plateforme, vous recevrez immédiatement un certain nombre de publicités ciblées. A peine inscrit, donc, Facebook vous connaît déjà merveilleusement bien.
Et même si vous ne créez jamais de compte Facebook, votre profil fantôme, qui a récupéré et croisé tous ces cookies tiers, fait partie d’une cohorte et peut donc être vendu et valorisé auprès des clients de Facebook.

En conclusion : nous avons une posture de douaniers
Il est impossible de connaître toutes les stratégies et techniques déployées pour récolter de la donnée.
En effet, nous découvrons les nouvelles techniques une fois qu’elles sont mises en place et identifiées.
Néanmoins, plus nous en identifierons, plus nous pourrons les expliquer et ainsi, espérons-le, nous en prémunir.