Une enquête met en évidence des défaillances fréquentes dans les formulaires « opt-out » destinés à refuser la vente ou le partage de données personnelles. Selon les résultats, plusieurs entreprises de l’Internet et des acteurs de l’IA rendent ces démarches difficiles d’accès, notamment en exigeant une connexion préalable, en limitant les droits à certains territoires ou en n’offrant pas d’option claire pour refuser le partage des données.
Des démarches souvent inaccessibles ou incomplètes
Les chercheurs indiquent qu’il n’est pas toujours possible de trouver un mécanisme d’opt-out sans se connecter sur des services populaires comme Meta, X, OpenAI ou Tinder. L’étude souligne également le rôle de fournisseurs de surveillance et d’intermédiaires : certaines instructions d’opt-out seraient présentées comme valables uniquement pour les résidents de Californie, alors que de nombreux autres États américains ont adopté des lois accordant des droits similaires.
Le rapport pointe aussi des cas où la démarche proposée ne couvre pas les usages visés. Palantir, contractant lié à la défense et aux services d’intelligence, met à disposition un formulaire de confidentialité, mais sans option explicite permettant de refuser la vente ou le partage des données personnelles. Le constat rejoint, selon l’enquête, des situations déjà observées chez TikTok, Amazon ou un acteur spécialisé de la détection sonore des tirs, SoundThinking.
Réponses des entreprises : opt-out par défaut et contrôles disponibles autrement
Amazon conteste les conclusions. L’entreprise affirme ne pas vendre les informations personnelles des clients et considère donc que les utilisateurs sont « opt-out » par défaut. Pour les partages liés à la publicité, la société renvoie vers des pages de préférences, dont Your Ads Privacy Choices, ainsi que des réglages dédiés à la publicité via Advertising Preferences. Amazon indique aussi que les options décrivent les mêmes usages que ceux définis par la réglementation applicable, tout en évitant le terme « share » dans sa communication.
OpenAI réplique pour sa part que l’entreprise ne vend pas les données utilisateurs, tout en reconnaissant partager des données limitées avec des partenaires marketing dans un cadre de publicité ciblée. La société met en avant un portail de confidentialité permettant d’effectuer des demandes, y compris pour des personnes qui n’ont pas de compte OpenAI. OpenAI défend l’idée de proposer plusieurs canaux pour exercer ses droits.
Côté HireVue, une entreprise de recrutement, les représentants contestent une partie du périmètre mis en cause. Ils expliquent que la politique publique concerne le site marketing et que les données des candidats relèvent d’un traitement via une plateforme RH, paramétré par consentement au niveau de chaque employeur. La société n’aurait pas répondu directement au reproche lié au fait que les instructions d’opt-out affichées en public cibleraient uniquement la Californie.
SoundThinking, enfin, indique que ses formulaires d’opt-out se trouvent en bas de sa page de politique de confidentialité, avec un numéro de téléphone pour l’assistance.
Un opt-out utile, mais difficile à exercer pour les consommateurs
L’enquête conclut que l’opt-out ne suffit pas à protéger efficacement la vie privée. Même lorsque le mécanisme est théoriquement « disponible », l’utilisateur doit d’abord repérer l’option, puis soumettre une demande à chaque acteur détenant, vendant ou transférant des données. Le rapport estime qu’un meilleur design ne règle pas le problème de fond : tant que la collecte reste large et que les données nécessaires ne sont pas minimisées, la charge retombe sur les consommateurs.
À la place d’une amélioration purement technique des formulaires, l’étude plaide pour des règles visant à réduire la collecte « moins de données » et à limiter la récupération d’informations personnelles non indispensables dès le départ.
Pourquoi cela concerne les utilisateurs
En pratique, ces constats posent une question centrale : dans quelle mesure les droits numériques sont-ils réellement mobilisables par le public ? Si les démarches exigent une connexion, si elles sont segmentées par territoire ou si elles n’offrent pas la possibilité explicite de refuser certains usages, l’opt-out devient une protection moins effective, et plus difficile à exercer au quotidien.