Huit chercheurs de l'université de Bologne et de l'institut universitaire européen de Florence en Italie ont publié une recherche sur la façon dont l'intelligence artificielle peut aider à scanner et analyser les politiques de confidentialité mises en place par 14 géants du web dont Facebook, Amazon, Google ou encore Apple, Uber et Steam. Dans le cadre de cette étude, les chercheurs ont mis ainsi au point l'outil Claudette (contraction de Clause Detecter) permettant de détecter les clauses ne répondant pas aux spécifications du réglement général sur la protection des données (RGPD).

« Un peu plus d'un mois après que GDPR est devenu applicable, de nombreuses politiques de confidentialité peuvent ne pas respecter la loi. C'est très préoccupant. Il est essentiel que les autorités de contrôle examinent de près la situation », a expliqué Monique Goyens, directrice générale de l'organisation de la défense des intérêts des consommateurs européens (The European Consumer Organisation). Au total, toutes les règles totalisent 3 659 phrases (80 398 mots). Parmi elles, 401 phrases (11%) ont été retenues comme étant peu claires et 1 240 (33,9%) contenant des clauses potentiellement problématiques ou fournissant une information insuffisante, peut-on lire dans la recherche.

Un traitement des données pas très « GDPR friendly »

Les problèmes identifiés par les chercheurs envers les géants du web sont multiples, comme ne pas fournir toutes les informations requises par les obligations de transparence du GDPR. « Par exemple les entreprises n'informent pas toujours correctement les utilisateurs concernant les tiers avec lesquels ils partagent ou obtiennent des données », note les universitaires. Le traitement des données personnelles n'est pas aussi toujours très « GDPR friendly », par exemple cette clause qui stipule que l'utilisateur accepte la politique de confidentialité de l'entreprise en utilisant simplement son site web. Les formulations employées sont également parfois alambiquées, voire abscondes, rendant « très difficiles pour les consommateurs la compréhension du contenu réel de la politique et la façon dont leurs données sont utilisées dans la pratique ».

Parmi les multiples exemples mis en avant dans la recherche, Facebook, précisant au sujet de ses annonces et autres contenus sponsorisés, utiliser « les informations que nous avons sur vous y compris des informations sur vos intérêts, vos actions et vos connexions - pour sélectionner et personnalisez les annonces, les offres et les autres contenus sponsorisés que nous vous montrons ». Les clauses ci-dessus constituent une clause de traitement déloyale puisqu'elle fait référence au ciblage publicité sur la plate-forme en ligne et clarifie que le responsable des données traite les données pour la publicité ciblée mais le consentement de la personne concernée n'est pas demandé et l'opt-out n'est pas possible, épingle les chercheurs. Certaines clauses de confidentialité d'Apple sont également pointées du doigt : « Apple et ses sociétés affiliées peuvent partager ces informations personnelles entre eux et les utiliser conformément à cette politique de confidentialité. Ils peuvent aussi les combiner avec d'autres informations pour fournir et améliorer nos produits, services, contenus, et la publicité ». Selon les chercheurs, la clause échoue sur la dimension de clarté car on ne connait pas notamment la nature des informations concernées et sous quelles conditions elles sont échangées.