(Cet article a été modifié lundi matin avec les réponses de Vinted)

La donnée est à la société de technologies ce que le shoot est au drogué. Forcément, le «stop tracking» d’Apple – pour obliger les fournisseurs d’applications à les rendre payantes, et donc toucher une commission – révèle qui est le plus accro à sa drogue.

Devancée par Facebook, qui a laissé entendre qu’il deviendrait payant s’il n’avait pas accès librement à vos données, Vinted a lancé une campagne «Aide-nous à garder l’application Vinted gratuite», à destination de ses 37 millions de clients dans 12 pays, dont le Luxembourg.

Quoi, Vinted? Vinted? Cette application qui, depuis 2008, vous propose de refiler cette robe/ce costume qui ne vous va plus à un(e) inconnu(e) pour la modique commission de 0,70 euro plus 5% du prix du vêtement par transaction, aurait un besoin vital de plus de données que ce que vous acceptez déjà de lui donner?

La société, qui a annoncé ce jeudi modifier ses conditions d’utilisation, voudrait continuer à suivre votre comportement, même en dehors de son application. Ce lundi, Vinted finit par répondre qu’elle n’a aucune intention de devenir payante, qu’elle n’a jamais voulu cela, mais que le «non» au traçage pourra rendre la personnalisation des suggestions moins efficace. Et que «le traçage publicitaire est effectivement une part de ses revenus mais pas la majorité, loin de là.»

Des milliers de petites robes noires

Imaginons que vous cherchiez la célèbre petite robe noire sur internet, et que rien ne retienne votre attention très longtemps. Trop chère. Trop cheap. Trop mal dessinée. Ces boutons jaunes dorés. Ce fournisseur incertain. Cette marque qui ne me va pas.

Vinted pourrait vendre cette idée – la petite robe noire que vous cherchez – à des annonceurs pour qu’ils en suggèrent une dans la publicité juste au-dessus de votre recherche de seconde main… Cela s’appelle le real-time bidding (RTB). Une vieille technique publicitaire remise au goût du jour en 1998… après que Oingo a suscité assez d’intérêt de la part de Google pour qu’il la rachète et la transforme en AdSense. 

En 100 millisecondes(!), des milliers d’annonceurs vont faire des offres pour vous proposer la robe noire que vous avez en tête. Ils savent. Ils ont des dizaines d’informations sur vous. Selon la CNIL, en France, chaque jour, plus de 1.000 milliards d’offres d’un espace que vous allez regarder sont publiées (616 pour six des huit plus grosses plateformes, mais les chiffres de Google, le leader du marché, avec 29% des parts, ne sont pas connus…).

1.000 milliards d’offres contre «seulement» 12 milliards de transactions par jour au New York Stock Exchange.

22 partenaires qui ont des centaines de partenaires

Comment ça fonctionne? Quand vous allez sur Vinted, vous acceptez de donner de vous-même un certain nombre d’informations personnelles qui vous concernent. L’user experience – ces techniques qui rendent l’utilisation du service plus «facile» – en prend d’autres, sur Facebook, par exemple, si vous vous connectez à partir de votre compte. Comme Facebook sait tout…

Mais cela ne suffit pas encore à pénétrer dans votre cerveau. En tout cas, pas du point de vue de Vinted, qui permet donc à 22 partenaires de déposer des cookies, ces petites lignes de code qui disent tout de votre activité, y compris la marque de votre téléphone, votre fournisseur d’accès à internet, votre localisation ou votre parcours la dernière fois que vous êtes allé faire du shopping physiquement.

Au milieu de ces «partenaires», Google et Facebook, mais aussi, par exemple, Rubicon Project, le plus grand intermédiaire du RTB, qui affirme tout savoir d’un milliard de personnes et d’aider un million de sites internet et 60.000 applications à trouver leurs clients: elle répond à 5 millions d’offres par seconde et a terminé l’année avec un chiffre d’affaires de plus de 220 millions de dollars (en hausse de 42%).

Une personne sur six convaincue du RGPD

À eux seuls, les trois premiers partenaires de Vinted par ordre alphabétique (l’allemande AddApptr, la danoise Adform et la lituanienne UAB Adnet) ont eux-mêmes encore une centaine de partenaires. Et ainsi de suite. Rien d’illégal ni d’inhabituel dans cette manière d’envisager les données; Vinted est conforme à tous les règlements. Dans un joyeux ruissellement de la donnée personnelle que personne ne stoppe.

Peut-être parce qu’après tout, l’utilisateur moyen se moque de savoir qui l’épie quand il achète sa petite robe. C’est une des immenses faillites des politiques mises en place jusqu’ici. Au Luxembourg, à peine la moitié des personnes qui ont répondu au sondage du Liser sur les données et l’intelligence artificielle savent que le RGPD existe, et, parmi elles, seulement une sur trois pense que cela permet de protéger ses données. Autrement dit, 15% des personnes interrogées pensent que cela leur sert. 45% n’ont aucune opinion. 

Qu’est-ce que je risque à être profilé en temps réel à partir de mon smartphone? Vol d’identité. Vol de données bancaires. Vol de documents professionnels et personnels. Menace d’être harcelé. Menace d’être confronté à du ransomware. Dans un des rares indicateurs fiables, le rapport sur l’état des menaces publié par le FBI, les plaintes ont augmenté de 40% l’an dernier, et les pertes s’élèvent à 4,2 milliards de dollars.

Beaucoup de victimes ne se plaignent ni publiquement ni auprès des autorités qui pourraient les aider. Et tout le monde sera touché un jour, répètent inlassablement les spécialistes de la cybersécurité…

Mais sinon, vous pouvez continuer à chercher votre petite robe noire ou votre prochaine paire de baskets, comme si de rien n’était.

Cet article est issu de la newsletter hebdomadaire Paperjam Trendin’, à laquelle vous pouvez vous abonner .