27.09.2022 - Oracle: les technologies de traçage impactent les droits de la personnalité des internautes

27.09.2022 - Dans une plainte déposée aux États-Unis le 19 août 2022 contre l’entreprise « Oracle America Inc. », celle-ci est accusée d’avoir commis des actes graves en relation avec le traçage non autorisé d’utilisateurs d’Internet.

Concrètement, il est reproché à Oracle d’avoir collecté les données de cinq milliards d’internautes à l’aide de technologies de traçage et de les avoir rassemblés dans une base de données. L’entreprise aurait ainsi analysé et exploité les informations collectées afin de créer un fichier de données sur chacune de ces personnes. Outre le nom et l’adresse, tout mouvement de navigation sur Internet aurait été enregistré, comme le comportement d’achat, les données GPS ou les informations de santé, et ce sur tous les appareils utilisés. Oracle aurait mis en œuvre pour ce faire différentes technologies, notamment des « cookies » ou des « pixels » ainsi que les scripts Java intégrés aux sites web et aux applications.

Conséquences pour la population suisse

Le PFPDT analyse actuellement sous l’angle d’éventuelles atteintes à la personnalité en Suisse les reproches formulés dans la plainte. On peut d’ores et déjà constater qu’Oracle met à la disposition des exploitants de sites web et aux fournisseurs d’applications des « cookies », des « pixels » et des scripts Java. L’intégration de ces éléments dans les pages web permet de collecter des informations sur les internautes à travers les différents sites web et les applications mobiles et de les transmettre à Oracle. Les premières investigations du PFPDT ont montré que les technologies de traçage mentionnées dans la plainte sont également utilisées largement en Suisse et que les personnes résidant dans ce pays sont elles aussi concernées par ce traçage effectué par Oracle.

Il s’agit maintenant de déterminer dans quelle mesure les exploitants de sites web et les fournisseurs d’applications suisses contreviennent aux principes de la protection des données applicables en Suisse en intégrant dans leurs produits des technologies de traçage. Sont ici concernés en premier lieu les principes de transparence et de proportionnalité et l’obligation de disposer d’un consentement exprès pour établir des profils de la personnalité et traiter des données sensibles.

Mesures de protection contre le traçage indésirable dans l’espace numérique

Les exploitants de sites web et les fournisseurs d’applications sont tout d’abord tenus de vérifier quelles technologies ils utilisent et si celles-ci peuvent éventuellement suivre les visiteurs de leur site web ou les utilisateurs de leurs applications mobiles. Si tel est le cas, ils doivent soit supprimer la technologie de traçage, soit informer les utilisateurs de manière claire et compréhensible de ce que leurs données sont traitées, de la finalité de ce traitement et des possibilités dont ils disposent pour s’y opposer, et de ce que leurs données peuvent éventuellement être transmises à l’étranger. Ils doivent en outre proposer aux utilisateurs une possibilité de s’opposer simplement à l’utilisation de leurs données (opt-out ou fonctionnalité prédéfinie telle que Do not track). Comme le traçage constitue une atteinte à la personnalité des utilisateurs, ceux-ci doivent donner leur consentement exprès au traçage (opt-in) en cas d’établissement de profils de la personnalité ou de traitement de données sensibles.

Les utilisateurs d’Internet peuvent se protéger contre un traçage numérique non souhaité en choisissant un navigateur Internet respectueux de la protection des données et en réglant en conséquence ses paramètres. Ils peuvent également utiliser des bloqueurs de publicité (ad blocker) ou empêcher la collecte de leurs données au moyen de modules complémentaires (add-ins).Les exploitants de bases de données contenant des données personnelles doivent non seulement respecter les principes de la protection des données, mais également toujours garantir les droits des personnes concernées. Chacun doit ainsi pouvoir demander au maître du fichier (ici l’exploitant du site web ou de l’application) quelles données personnelles le concernant sont traitées, dans quel but et qui peut y avoir accès. Et s’il s’oppose au traitement de ses données, il doit pouvoir demander qu’elles soient effacées.

Le PFPDT a pour l’heure pris acte des graves reproches formulés dans la plainte et les examine, ainsi que les conséquences que l’affaire pourrait avoir pour la Suisse. Par courrier du 2 septembre 2022, il a interpellé «Oracle Software (Suisse)» et se réserve le droit de prendre, cas échéant, des mesures supplémentaires.