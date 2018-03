Bonjour,

Le site internet change.org est une plateforme de création et de partage de pétitions en ligne. Contrairement à ce que le nom de domaine (.org) pourrait laisser penser, il ne s'agit pas d'une organisation non gouvernementale ou d'une association: le site est géré par change.org Inc., une entreprise américaine, dont les bureaux sont situés en Californie. Elle est toutefois titulaire du label «B-corporation», qui consacre les entreprises qui oeuvrent au progrès social, environnemental, démocratique, et respectent une certaine transparence.

En 2016, L'Espresso révélait que change.org pouvait, dans le cas de pétitions «sponsorisées», vendre aux personnes, aux entreprises ou aux organisations qui le souhaitaient, l'adresse e-mail des signataires. Une ONG (ou une entreprise, un parti politique, etc.) qui avait lancé une pétition sur le site pouvait, moyennant finances, se procurer les adresses des signataires. La plateforme avait confirmé au magazine italien la grille des prix qu'il avait publiée (voir ci-dessous).

Un tableau, provenant de documents de l'entreprise et diffusé par l'Espresso montrait que le prix à payer par émail dépendait de la quantité d'adresses achetées.

L'article italien a été traduit en français par l'association de défense des libertés numériques et de protection des données privées Framasoft, sur son blog. Il a suscité (sur cette même page), un droit de réponse de l'entreprise. Celle-ci écrivait notamment «change.org ne commercialis[ait] les données de ses utilisateurs que dans le cadre de pétitions sponsorisées, et uniquement après accord individuel de l'utilisateur, au cas par cas, de communiquer ses coordonnées au sposor de la pétition en question.»

Par ailleurs, le site indiquait, contre autorisation, pouvoir partager des informations avec ses annonceurs (adresse e-mail, adresse postale, pétition signée, voire numéro de téléphone).

A l'époque, on peut dire que change.org vendait les données de ses utilisateurs. Ironie de l'histoire, une pétition avait alors brièvement émergé sur le site... pour demander à la plateforme de ne plus revendre les données personnelles des utilisateurs. Elle est fermée mais toujours accessible ici.

Un texte caduque, affirme l'entreprise

Si on se fie à la page «politique d'utilisation des données» de change.org on serait tenté de penser que rien n'a changé depuis 2016. On y lit:

Si nous obtenons votre autorisation, nous partagerons des informations vous concernant avec nos annonceurs, y compris votre adresse e-mail, votre adresse postale et la pétition que vous avez signée. Nous pourrions également communiquer votre numéro de téléphone à condition que vous nous y autorisiez par un consentement spécifique et distinct. L’annonceur pourra alors utiliser ces informations pour communiquer avec vous et vous adresser des messages promotionnels susceptibles de vous intéresser. Nous ne contrôlons pas le contenu et la fréquence des communications envoyées par nos annonceurs

Ou encore:

Il est possible que nous fassions appel à des sociétés publicitaires extérieures pour diffuser des publicités concernant des biens et des services qui pourraient vous intéresser en fonction de votre utilisation et de vos activités sur notre plateforme. Pour ce faire, ces sociétés peuvent placer ou reconnaître un cookie unique sur votre navigateur (y compris par le biais de pixels invisibles).

Mais cette politique d'utilisation des données «n'est plus d'actualité», nous affirme l'entreprise. Même si elle est toujours en ligne? «Nous ne la mettons plus en œuvre, et sommes en train de la réécrire pour être en accord avec les nouvelles normes européennes.» Le règlement européen sur la protection des données entrera en vigueur à la fin du mois de mai 2018 et s'est traduit dans la loi française par un vote à l'Assemblée nationale au mois de février.

Voilà ce que nous répond l'entreprise, par e-mail :

Nous proposions il y a plus d'un an un service de mise en relation entre des organisations qui lançaient des campagnes sponsorisées et nos utilisateurs. Ce service n'est plus disponible. Nous finançons maintenant notre plateforme uniquement via des contributions de nos utilisateurs sur les pétitions qui leur tiennent à cœur ou par un programme de soutien qui permet à ces mêmes utilisateurs de financer la plateforme via une contribution mensuelle.

Le signataire d'une pétition est de fait invité, après la signature, à faire un don. Cet appel se manifeste par le message ci-dessous, qui peut laisser penser que l'argent va être utilisé à la diffusion de la pétition en question, alors qu'il s'agit en fait de financer la plateforme. L'entreprise explique : «Nous proposons aux utilisateurs qui le souhaitent de parrainer les pétitions qui leur tiennent à coeur après les avoir signées, en complément d'un partage sur Facebook par exemple. La totalité de cette somme permet de financer la plateforme change.org afin qu'elle puisse rester accessible gratuitement à toutes et tous.»

Les signataires peuvent malgré tout donner leur mail... s'ils l'acceptent.

Le fait que Change.org affirme aujourd'hui ne plus commercialiser les données ne signifie pas qu'elles ne sont pas transmises aux personnes qui lancent des pétitions. «Lorsqu'une personne signe une pétition, elle signe publiquement avec son nom et son code postal», explique change.org. L'initiateur de la pétition peut donc récupérer ces informations, et, s'il le souhaite, les transmettre au destinataire de la pétition (un homme politique ou une entreprise à qui s'adresse la pétition, par exemple). En revanche, selon l'entreprise, le lanceur de la pétition n'a pas accès à l'adresse e-mail des signataires... Sauf si ceux-ci l'acceptent.

Pour que son adresse e-mail soit transmise au lanceur de la pétition, il faut que le signataire coche, au moment de la signature, la case «Tenez moi au courant de cette campagne et des autres venant de cette personne». En 2016, dans la foulée de l'article de L'Espresso, L'Obs faisait remarquer que cette case était cochée d'office au moment de la signature (opt-out), ce qui était illégal. Aujourd'hui, de ce que nous avons pu constater, cette case est décochée d'office (opt-in).

Change.org précise que cette option (récupérer l'e-mail des signataires) est accessible uniquement aux «organisations», et pas aux «individus». Ci dessous deux captures d'écran de pétitions. A gauche, l'une lancée par un individu (il n'est pas possible de cocher la case «Tenez-moi au courant...»). A droite, une autre, lancée par un collectif (les signataires ont la possibilité de lui communiquer leur adresse e-mail).

Mais, selon change.org, la récupération de ces données n'est donc pas payante.

En résumé: change.org, qui revendique plus de 200 millions d'utilisateurs dans 196 pays, vendait bien des données, mais assure ne plus le faire aujourd'hui, même si la page «politique d'utilisation des données» suggère le contraire.

Fabien Leboucq