La Cnil a décidément fort à faire et doit se pencher sur le cas de Pinterest. En effet, l'association Noyb reproche au réseau social d’activer par défaut la fonction publicité personnalisée, totalement incompatible avec le règlement européen de protection des données (RGPD) !
Image Noyb
Une collecte illégale de données !
Dans son communiqué, l'association qui oeuvre pour la défense de la vie privée précise notamment : comme la plupart des plateformes de médias sociaux, Pinterest est en partie financé par la publicité personnalisée. Pour ce faire, l'entreprise suit les utilisateurs, sans jamais leur demander leur consentement, comme l'exige la loi.
L'association dit avoir été alertée par une utilisatrice française de la plateforme, après de nombreux échanges. Cette dernière a en effet remarqué que l'option publicité personnalisée était activée par défaut dans les paramètres de son compte. Or cette dernière nécessite la collecte de données, une opération réalisée automatiquement sans qu'elle ait fourni le moindre consentement.
Une saisine officielle
Dans sa plainte, Noyb reproche à Pinterest d'avoir enfreint deux articles du RGPD, demandant à la Cnil d'ordonner l'effacement des données collectées, d'imposer une amende à l'entreprise et d'exiger sa mise en conformité avec le règlement européen. Ce que l'organisme est en parfaite capacité de faire.
Noyb espère ainsi que la Cnil ordonne à Pinterest de mettre en place un traitement des données pour les publicités personnalisées et de se mettre en conformité pour les quelque 130 millions d'utilisateurs que compte Pinterest dans l'Union européenne.
La plaignante a déposé une demande d'accès par l'intermédiaire de l'option "request your data" de Pinterest sur sa page "privacy and data" le 1 févrierst 2024. Elle a reçu une copie de ses données le même jour (Annexe 4). Après avoir examiné les données, elle s'est rendue compte que sa copie ne comportait aucune information sur les destinataires de ses données à caractère personnel. La plaignante a contacté Pinterest en leur demandant s'ils pouvaient fournir des informations supplémentaires concernant les destinataires de ses données à caractère personnel (Annexe 5).
8. Pinterest lui a répondu le 30 avril 2024 en indiquant qu'ils "peuvent partager des données à caractère personnel avec différents destinataires" et lui a fourni une liste de plusieurs entreprises. Cette liste comprenait les entreprises suivantes : Google, Facebook/Meta, Snapchat, TikTok, LinkedIn, LiveRamp, TradeDesk, Flashtalking, Lucid, Kantar, Nielsen, Adjust, AppsFlyer, Branch/Tune, Kochava, Singular/Apsalar, Oracle Moat, DoubleVerify et Integral Ad Science (Annexes 6 et 7).
9. Étant donné le caractère vague de la réponse de Pinterest, la plaignante a donné suite à sa demande en envoyant un troisième courriel, le 9 juin 2024, demandant à Pinterest d'indiquer précisément les données à caractère personnel que chacun des destinataires a reçues (Annexe 8).
10. Pinterest a répondu deux mois plus tard (!), le 28 août 2024, en fournissant à la plaignante des informations sur les destinataires de ses données personnelles, mais pas sur les catégories de données personnelles reçues par chacun de ces destinataires (Annexe 9). En ce qui concerne ces dernières, Pinterest s'est contentée d'indiquer qu'elle partage "les catégories de données personnelles telles qu'elles sont décrites dans la politique de confidentialité" sans donner les informations demandées à la plaignante.
