« Bases mutualisées ». Voilà de curieux mots pour une pratique qui explose sur le web et qui prend racine sur les formulaires d’inscription en ligne. L’exemple type est connu : vous vous enregistrez sur un site (de rencontre, de vente en ligne, etc.) et vous autorisez celui-ci à vous transmettre les offres de ses partenaires commerciaux (opt in). Peu de temps après, voilà votre boite email inondée de pubs qui vous cernent au plus près dans vos habitudes de consommation. Le secret ? La société partenaire a su se doter des moyens pour croiser (« mutualiser ») ces informations à partir des informations recueillies par plusieurs sites. 


Imparable en matière de profilage : les 1000mercis et sa base « Email Attitude », et autres Come & Stay peuvent alors faire de la frappe chirurgicale et viser le jeune étudiant de 20 ans habitant Paris, fan de John Coltrane et Cocorosie, chaussant du 43 et nourrissant son chat avec des croquettes MiaouMiaou au thon. C’est le business des bases mutualisées qui se répand comme une épidémie. 

De l'opt in à l'opt out : le silence est d'or

Le problème est qu’en matière de base de données tout et n’importe quoi ne peut être entrepris. Ainsi, avant d’asperger l’internaute de publicités et d’offres diverses, la société de mutualisation se contente parfois de lui envoyer la proposition d’intégrer un programme de fidélisation via un mail... dont le silence vaut acceptation (opt-out). Si ce mail est noyé parmi le spam que tout le monde reçoit, voilà notre bonne vieille Madame Michu prête à se faire torpiller (commercialement).

L'accord explicite de l'internaute est obligatoire selon la CNIL

Seul hic, la CNIL s’est penchée sur cette question et a d’ores et déjà conclu dans un courrier que seul le consentement exprès pouvait garantir la loyauté de la démarche. Qui ne dit mot ne consent donc pas et il ne peut y avoir d’acceptation tacite : pour la Commission informatique et liberté (voir la lettre réponse d’Alex Türk que nous publions) l’internaute doit même se voir communiquer la liste des partenaires qui recevront les données ! Une démarche que nous n’avons personnellement jamais constatée dans les faits.

Doublement fourbe

« Juridiquement, ces opérations s’appellent un transfert de données, nous explique un juriste spécialisé, mais là où ça devient fourbe, c’est que la donnée transférée devient la propriété de ladite base de données ». En clair, matériellement, si on se désabonne des opt-ins du site A, on reste toujours dans la base mutualisée du site B et le site A est même rémunéré sur les opérations commerciales. « Encore plus fourbe, ladite base de données va utiliser cette donnée pour shooter non pas ses offres, mais celle de tiers ! Juridiquement, il faudrait pour que tout soit d’équerre que la base mutualisée sollicite systématiquement un accord préalable des internautes avant leur entrée dans la base mutualisée. »

Si les bases mutualisées doivent recueillir l’accord préalable de l’internaute avant qu’il rentre dedans, et que ceci n’est que très peu respecté, il ne tient maintenant qu’à la CNIL de se saisir de ce dossier et d’inverser cette tendance. Encore faut-il qu'on lui en offre les moyens...