Un guide pratique de La Big Tech est-elle réellement un gros problème

Ce guide explique La Big Tech est-elle réellement un gros problème de manière pratique, avec un accent sur les décisions d'analytics respectueuses de la vie privée.

La Big Tech ne pose pas de problème simplement parce qu’une entreprise est grande. Certains produits numériques nécessitent une grande échelle : les moteurs de recherche ont besoin d’index larges, les marchés ont besoin d’acheteurs et de vendeurs, et les réseaux sociaux ne deviennent utiles que lorsqu’un nombre suffisant de personnes y participent.

Le problème de la confidentialité commence lorsque l’échelle, le pouvoir de marché et la collecte de données se renforcent mutuellement. Une entreprise avec une distribution dominante peut collecter davantage de données comportementales. Un plus grand nombre de données comportementales améliore le ciblage, la personnalisation et la mesure des publicités. Une meilleure monétisation finance davantage d'acquisitions, d'intégrations et de défauts. Au fil du temps, le marché peut commencer à ressembler moins à un ensemble de choix qu’à une infrastructure contrôlée par une poignée d’entreprises.

L'échelle change la signification du consentement

Le consentement est plus facile à défendre lorsqu’un utilisateur dispose d’une alternative réaliste. Il s'affaiblit lorsque le service est socialement ou commercialement inévitable.

Si un petit site Web demande de mesurer le nombre total de pages vues, un visiteur peut le quitter sans aucune conséquence. Si une plate-forme dominante demande à combiner des données issues de la recherche, des cartes, des vidéos, de la publicité, des magasins d'applications, de la messagerie et des pixels tiers intégrés, la décision n'est pas symétrique. Refuser peut signifier perdre l’accès à des communications essentielles, à la portée commerciale ou à la découverte.

C'est l'une des raisons pour lesquelles la loi sur les marchés numériques EU se concentre sur les « gardiens ». La Commission européenne a désigné les principales plates-formes, notamment Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft et Booking, comme contrôleurs d'accès pour des services spécifiques, répertoriées sur la page des contrôleurs DMA de la Commission. Les obligations du DMA incluent des restrictions sur la combinaison de données personnelles entre services sans consentement valide et des exigences qui rendent les marchés numériques plus contestables.

Le droit de la concurrence et le droit de la vie privée sont des outils différents, mais ils se rencontrent sur le même point de pression : les avantages des données peuvent devenir des avantages du marché, et les avantages du marché peuvent rendre les choix en matière de confidentialité moins significatifs.

Pourquoi la combinaison de données est si puissante

Un ensemble de données peut être limité. Les ensembles de données combinés sont beaucoup plus révélateurs.

Une requête de recherche montre l’intention. Un itinéraire cartographique indique l'emplacement. Un historique vidéo montre les intérêts. Un historique d'achats montre les besoins du ménage. Une identité de connexion connecte l’activité sur tous les appareils. Un pixel tiers peut montrer ce qu’une personne a fait après avoir quitté la plateforme.

Lorsque ces signaux sont combinés, l’entreprise n’a pas besoin d’un seul champ sensible intitulé « santé » ou « revenu » pour déduire des éléments sensibles. Les tendances peuvent impliquer une grossesse, une perte d’emploi, un intérêt politique, un stress financier, une pratique religieuse ou des problèmes médicaux. C’est pourquoi le risque pour la vie privée ne concerne pas seulement le fait qu’un formulaire demande un nom. Il s’agit de savoir si le système peut relier suffisamment d’observations pour établir le profil d’une personne.

La Federal Trade Commission des États-Unis a fait valoir un point similaire à propos des courtiers en données. Son rapport, Data Brokers : A Call for Transparency and Accountability, révèle que les courtiers collectent des données à partir de nombreuses sources en ligne et hors ligne, souvent à l'insu des consommateurs. Les plateformes Big Tech ne sont pas identiques aux courtiers de données, mais la leçon sous-jacente est la même : l’opacité et l’échelle créent une connaissance asymétrique.

L'analyse fait partie de l'histoire du pouvoir

Les propriétaires de sites Web installent souvent des analyses invasives non pas parce qu'ils souhaitent être surveillés, mais parce que les outils dominants sont regroupés dans les flux de travail de publicité, de recherche et d'optimisation des conversions.

Cela crée une boucle de dépendance :

• Les annonces nécessitent une mesure de conversion.
• La mesure des conversions nécessite des scripts.
• Les scripts alimentent les rapports de la plateforme.
• Les rapports de la plateforme façonnent les décisions budgétaires.
• Les décisions budgétaires rendent la plateforme plus difficile à quitter.

Google Analytics est l’exemple le plus clair. Le produit est utile et familier, mais son rôle dans l'écosystème Google plus large soulève des questions juridiques et de confiance. Plusieurs autorités européennes de protection des données ont constaté que des utilisations spécifiques de Google Analytics impliquaient des transferts illégaux de données personnelles vers les États-Unis après l'arrêt Schrems II. La décision de l'autorité italienne, résumée par le Comité européen de la protection des données, indique que les transferts Google Analytics manquaient de garanties adéquates dans ce cas (EDPB résumé).

Pour une petite entreprise, la question pratique n’est pas « Google est-il mauvais ? » La question est : « Avons-nous besoin d'autant de données, d'autant de tiers et de ce niveau de complexité juridique pour comprendre notre site Web ?

Souvent, la réponse est non.

Les arguments en faveur d’une mesure proportionnelle

Une stratégie d’analyse axée sur la confidentialité commence par la proportionnalité :

• Mesurez les visites globales, les sources, les pages et les conversions.
• Utilisez UTMs pour comprendre les campagnes sans suivi inter-sites.
• Évitez les identifiants personnels, sauf si un flux de travail spécifique l’exige.
• Gardez la rétention suffisamment courte pour répondre aux besoins de l’entreprise.
• Séparez les analyses de produits des profils publicitaires.
• Rendre les analyses compréhensibles dans l’avis de confidentialité.

Cela n’empêche pas une entreprise d’apprendre. Cela empêche l’analyse de devenir un tuyau d’échappement silencieux des données vers un système de profilage plus vaste.

Ce que la réglementation tente de corriger

Le GDPR aborde la base légale, la transparence, la limitation des finalités, la minimisation des données, les droits des utilisateurs et les transferts internationaux. Le DMA aborde le contrôle d’accès de la plateforme et les avantages injustes en matière de données. La loi sur les services numériques aborde les risques systémiques des plateformes et la transparence. Les lois californiennes sur la protection de la vie privée et la loi sur la suppression traitent des droits des consommateurs et des courtiers en données.

Ces lois diffèrent, mais elles partagent une direction : l’extraction de données à grande échelle n’est plus considérée comme un défaut inoffensif.

Pour les petites entreprises, c’est une opportunité. Vous n’avez pas besoin d’attendre l’application des mesures contre les plus grandes plates-formes pour créer une meilleure pile de mesures. Réduire la dépendance au suivi invasif peut réduire les risques de non-conformité, améliorer la vitesse des pages, simplifier le consentement et faciliter la défense de votre promesse de confidentialité.

Ce que les entreprises devraient faire maintenant

Vérifiez où vont les données des clients et des visiteurs. Incluez des scripts d'analyse, des pixels, des outils de chat, des cartes thermiques, des CDP, des CRM, des plateformes de messagerie et des réseaux publicitaires.

Pour chaque outil, demandez :

• Quelles données collecte-t-il ?
• Les données sont-elles personnelles, pseudonymes ou agrégées ?
• Est-il partagé avec un tiers pour ses propres besoins ?
• Quitte-t-il la région du visiteur ?
• Avons-nous une base légale et un avis clair ?
• Pouvons-nous répondre à la même question commerciale avec moins de données ?

Supprimez ou remplacez ensuite les outils qui échouent au test. Une configuration analytique simple qui répond à 90 % des questions opérationnelles est souvent meilleure qu'un système complexe que personne ne peut expliquer lors d'un examen de confidentialité.

Actions sur une pile plus petite

Transformez le problème de confidentialité en contrôles qu'une petite entreprise peut réellement posséder : supprimez les scripts tiers inutiles, évitez l'enrichissement des courtiers, conservez les analyses globales lorsque cela est possible, raccourcissez la conservation des données brutes, publiez l'utilisation des données en langage clair et facilitez les désinscriptions. La valeur n’est pas seulement la conformité. Une empreinte de données plus petite signifie moins de fournisseurs à examiner, moins de conséquences de violation, moins de demandes de consentement et une histoire de confiance plus claire.

L'essentiel

Le problème de confidentialité des Big Tech n’est pas seulement lié à la taille. C'est la combinaison d'un accès dominant, de données interservices, d'incitations publicitaires et d'un choix faible des utilisateurs. Les entreprises peuvent réagir en choisissant des outils de mesure adaptés à la décision à prendre : suffisamment de données pour améliorer le site Web, pas assez pour participer par défaut à une économie de surveillance.