Imaginez: vous surfez sur ce site et une publicité pour des légumes frais de l’enseigne Denner s’affiche sur votre écran. Vous n’y prêtez aucune attention. Les publicités sur internet, c’est la norme. Mais quelques jours plus tard, vous découvrez dans votre boîte aux lettres un courrier personnalisé de Denner contenant un bon de réduction pour ces mêmes légumes frais. Que s’est-il passé? C’est le magazine alémanique des consommateurs K-Tipp qui raconte cette histoire abracadabrantesque.
L’enseigne Denner – qui appartient au groupe Migros – a sollicité les services de l’agence de publicité zurichoise Converto. Cette entreprise a mis sur pied une stratégie agressive de publicité ciblée. La campagne publicitaire de Denner a été déployée sur de nombreux sites suisses, parmi lesquels celui du média alémanique Blick.ch, ou encore Zattoo.ch et Bluewin.ch. Les internautes qui visitaient ces sites et voyaient la publicité s’afficher sur leur écran ont pu être identifiés sans même qu’ils en aient conscience: il n’était en effet pas nécessaire qu’ils renseignent leurs données personnelles pour être tracés par Converto. Les individus ignoraient donc qu’ils étaient identifiables par leur seul comportement de navigation – ils n’ont pas cliqué sur le spot publicitaire et ne se sont pas inscrits sur un site.
Comment l’agence publicitaire a-t-elle pu faire le lien entre les internautes et leur adresse postale si ceux-ci ne fournissent pas leurs données personnelles? Le magazine K-Tipp répond à cette question. Converto a collaboré avec La Poste. L’entreprise de publicité a enregistré les adresses IP de quiconque accédait aux pages web sur lesquelles le spot publicitaire de Denner était placé. Que cela soit au moyen d’un téléphone portable, d’une tablette ou d’un ordinateur. Cette manipulation est renforcée par l’usage des cookies – des petits fichiers implantés par le site web visité – et la mise en place d’un profil d’utilisateur dont l’internaute n’a pas connaissance. Ce profil est créé à partir des habitudes de navigation, les achats en ligne, les informations Facebook, les recherches Google et de nombreux autres comportements numériques. Ces précieuses données personnelles représentent une mine d’informations particulièrement recherchées des entreprises pour améliorer le ciblage publicitaire et prédire les comportements.
C’est donc grâce à ce partenariat avec La Poste que l’agence zurichoise Converto a pu faire le lien entre les internautes qui ont consulté la publicité de Denner et leur adresse postale. Une telle pratique pose évidemment des questions fondamentales en termes de protection des données, mais aussi sur la notion de consentement. D’abord, les internautes qui ont l’impression de naviguer anonymement, sans s’être préalablement identifié par quelque moyen que ce soit, sont en réalité aisément traçable. Ensuite, leur consentement à de telles pratiques fait l’objet d’une définition très large – dans le cas de La Poste, l’entreprise se targue d’avoir obtenu ce consentement en amont, notamment après avoir obtenu l’autorisation de la personne lors d’un déménagement.
La campagne de Denner a permis d’identifier les noms et prénoms ainsi que l’adresse postale de 225’000 internautes, selon les déclarations de Converto et de La Poste. Ce ciblage précis permet à La Poste d’observer que 168’700 d’entre eux habitent à moins de cinq kilomètres d’une succursale Denner. Au final, ce sont 23’000 personnes qui ont trouvé un courrier personnalisé contenant un bon de réduction de Denner dans leur boîte aux lettres.
La Poste se vante bien entendu de l’efficacité d’une telle campagne. Pour 200’000 adresses identifiées, l’entreprise facture 90’000 francs, selon une offre publicitaire consultée par le magazine alémanique K-Tipp. Selon le porte-parole de La Poste Erich Götschi, interrogé par le magazine des consommateurs, l’entreprise publique est autorisée à comparer et à vérifier les adresses des clients grâce à sa base de données centralisée. Il admet que l’entreprise publique utilise ces informations pour servir d’interface entre le monde physique et numérique. Quels sont les revenus générés par cette commercialisation des données personnelles? La Poste ne communique aucun montant. C’est un «secret commercial».
L’utilisation de ces procédés ne se limite malheureusement pas à des entreprises commerciales. La Poste fait la promotion sur son site internet d’une campagne publicitaire pour le compte de l’organisation non gouvernementale Mission Lèpre Suisse. Cette ONG a sollicité les services de l’entreprise publique pour déployer une campagne publicitaire sur internet. Toutes les personnes qui étaient en contact avec la publicité ont reçu un e-mail. En cas d’ouverture du courriel, les internautes ont reçu une lettre accompagnée d’un prospectus sur Mission Lèpre Suisse et un bulletin de versement.
«Grâce à divers partenariats, La Poste dispose d’un grand nombre de données en lien avec les personnes, les centres d’intérêt, les événements de la vie et les lieux géographiques, ce qui lui permet d’affiner encore plus son approche», précise l’entreprise publique sur son site internet.
Ces exemples montrent une fois de plus comment la protection de l’intégrité numérique des individus est déficiente. Les internautes sont tracés et les méthodes de ciblage ne cessent de se perfectionner. Il y a une véritable asymétrie entre le sentiment d’anonymat des internautes lorsqu’ils surfent sur le net sans s’être identifiés, et la réalité. C’est d’autant plus préoccupant qu’une entreprise publique comme La Poste puisse ainsi se servir allègrement d’informations personnelles précieuses pour générer des revenus issus d’une pratique qui devrait faire l’objet de discussions politiques et éthiques fondamentales. Sur ce sujet, il serait utile que des parlementaires fédéraux se préoccupent un peu de la manière dont La Poste prend des libertés avec sa mission de service public pour engranger des profits sans grand égard pour la personnalité des citoyennes et citoyens de ce pays.
Quelle est la prochaine étape? Une campagne publicitaire financée par un parti politique pour inciter les individus à voter en faveur de ses candidates et candidats? L’analyse comportementale des données personnelles permet déjà d’identifier les préférences politiques des individus, ainsi que la façon la plus efficace de les influencer au moyen de messages précis. Ces méthodes de ciblage doivent urgemment faire l’objet d’un débat démocratique, parce qu’elles auront aussi à l’avenir un véritable impact sur l’intégrité des votations, si ce n’est pas déjà le cas. Les entreprises qui pratiquent le remarketing ont bien entendu moins facilement tendance à se vanter des résultats lorsqu’une campagne concerne un sujet aussi délicat qu’un vote démocratique.
A noter que La Poste défendait l’adoption de la Loi sur les services d’identification électronique (e-ID) sèchement balayée par les Suissesses et les Suisses le 7 mars. Un hasard?
Mise à jour (25 mars, 15h34): La Poste a réagi sur son compte Twitter. Elle affirme qu’elle n’a pas transmis d’adresse postale dans l’affaire Denner/Converto. C’est exact. L’entreprise publique ne vend pas de données personnelles. Cela ne serait pas intéressant. Elle conserve précieusement ces informations pour les valoriser au moyen de services spécifiques.
1/2 Bonjour. La Poste n’a pas transmis de données d’adresse dans l’affaire Denner/Converto. Nous ne sommes pas autorisés à faire du commerce d’adresses – et nous ne le faisons pas.
— La Poste (@postesuisse) March 25, 2021