La confidentialité des données assiégée : les entreprises utilisent des tactiques trompeuses pour bloquer les options de retrait Certaines des plus grandes entreprises collectant des données aux États-Unis – y compris des fournisseurs majeurs d'IA, des courtiers en données, des sous-traitants de la défense et des applications de rencontres – s'appuient sur des méthodes trompeuses pour empêcher les consommateurs de refuser la vente et le partage de leurs informations personnelles, selon une nouvelle étude du groupe à but non lucratif pour les droits numériques **Electronic Privacy Information Center**. ### Modèles de conception manipulateurs Les chercheurs de l'**EPIC** ont audité les processus de retrait de 38 grandes entreprises de données et ont documenté au moins huit catégories distinctes de conception manipulatrice : * Des formulaires de retrait qui ne permettent pas réellement aux utilisateurs de refuser la vente de leurs données. * Des liens enfouis dans des caractères minuscules et absents des pages d'accueil. * Les consommateurs sont redirigés vers plusieurs formulaires distincts pour compléter une seule demande. * L'exigence que les utilisateurs créent des comptes ou paient des abonnements avant même de pouvoir se retirer, entre autres. « La conception manipulatrice n'a pas sa place dans les demandes de retrait », déclare l'**EPIC**. « Les entreprises doivent concevoir des processus de retrait dans le respect des droits des consommateurs, et si elles ne le font pas, les régulateurs aux niveaux de l'État et fédéral devraient intervenir pour défendre les droits des consommateurs à se retirer. » ### Exemples spécifiques d'obfuscation Les grandes entreprises proposant des grands modèles linguistiques, telles que **Google**, **Meta** et **OpenAI**, ne parviennent pas à lier clairement leurs formulaires de retrait depuis leurs pages d'accueil ou leurs politiques de confidentialité, selon le rapport, et plusieurs exigent que les consommateurs soumettent plusieurs formulaires distincts pour compléter une seule demande. Le formulaire d'**OpenAI**, lorsqu'un consommateur le trouve, n'offre aucun moyen de refuser la vente ou le transfert de données personnelles. Ce qu'il propose à la place est une option pour « supprimer les informations personnelles des réponses de **ChatGPT** », ce que l'**EPIC** qualifie de filtre sur la sortie du chatbot, et non de suppression des données sous-jacentes. ### Conséquences réelles L'**EPIC** présente les échecs de retrait comme un problème de sécurité, citant, entre autres, le cas de Vance Boelter, l'homme accusé du meurtre du représentant de l'État du Minnesota Melissa Hortman et de son mari Mark en juin 2025. Les procureurs affirment que Boelter a utilisé des courtiers en données de recherche de personnes pour localiser l'adresse de domicile de ses cibles. Les chercheurs de l'**EPIC** ont constaté que les courtiers en recherche de personnes qu'ils ont audités – **Spokeo**, **Whitepages** et **National Public Data** – n'offrent aux consommateurs aucun moyen de refuser la vente ou le transfert de leurs données. Au lieu de cela, les entreprises proposent un processus de suppression des listes individuelles par URL, une par une, sans engagement de cesser de vendre les informations de cette même personne à l'avenir. **Spokeo** indique directement aux consommateurs que leurs informations « peuvent réapparaître sur **Spokeo** à l'avenir sans préavis » et leur demande de « vérifier régulièrement » le site pour de nouvelles listes. Le rapport de l'**EPIC** note que des individus abusifs utilisent depuis des décennies des données et des technologies commercialement disponibles pour localiser, harceler et agresser leurs cibles, les femmes, les femmes de couleur et les personnes LGBTQ+ portant le plus lourd fardeau. Le rapport cite une analyse distincte de l'**EPIC** de décembre 2025 sur l'utilisation de courtiers en données contre des survivantes de violence domestique, et une autre sur les menaces pesant sur les responsables publics à tous les niveaux de gouvernement. Pour les personnes de ces catégories, soutient le rapport, le retrait est souvent le seul mécanisme disponible pour supprimer une adresse de domicile de la circulation avant que quelqu'un ne se présente à la porte. « De nombreuses personnes peuvent avoir besoin de supprimer leurs informations de **Spokeo** pour des raisons de sécurité, comme les survivantes de violence domestique ou les responsables publics et leurs familles », indique le rapport. Le processus de retrait de **Whitepages** exige que les consommateurs soumettent des URL pour chaque liste les concernant sur le site – mais les rapports complets sont derrière un abonnement payant **Whitepages Premium**, ce qui signifie que les gens pourraient avoir à payer le courtier pour trouver les informations dont ils ont besoin afin de s'en retirer. Quatre autres entreprises, dont **Bumble**, par défaut, partagent les données des utilisateurs via des bascules présélectionnées, ont constaté les chercheurs. Sur **Bumble**, l'option « Ne pas vendre » est conçue pour paraître sélectionnée par défaut, alors qu'en réalité, c'est l'option sur laquelle un utilisateur doit cliquer pour se retirer. ### Manque de transparence et affirmations contradictoires Les chercheurs de l'**EPIC** n'ont pas pu trouver de processus de retrait sur **Meta**, **X**, **OpenAI** et **Tinder** sans d'abord se connecter. Et **HireVue** et le fournisseur de surveillance **DataTrust** présentent leurs instructions de retrait comme étant disponibles uniquement pour les résidents californiens, même si 20 autres États ont adopté des lois accordant des droits de retrait. **Palantir**, le sous-traitant de défense et de renseignement, fournit un formulaire de confidentialité sur son site Web mais n'inclut pas d'option pour refuser la vente ou le partage de données personnelles – le même constat que l'**EPIC** a documenté pour **TikTok**, **Amazon** et le fournisseur de détection de coups de feu **SoundThinking**. **Palantir** ne lie pas non plus clairement le formulaire depuis sa page d'accueil ou sa politique de confidentialité, et les chercheurs n'ont pas pu trouver de processus de retrait sur le site de **Palantir**, **Meta**, **X**, **OpenAI** ou **Tinder** sans se connecter d'abord. **Amazon** a contesté cette constatation. Adam Montgomery, un porte-parole de l'entreprise, affirme qu'**Amazon** ne vend pas les informations personnelles des clients et que, par conséquent, les clients sont retirés par défaut. Les options de retrait pour le partage de données sont disponibles via ses pages « Vos choix de confidentialité publicitaire » et « Préférences publicitaires », et via les paramètres de confidentialité sur la plupart des appareils **Amazon**. Montgomery affirme qu'**Amazon** n'utilise pas le mot « partager » dans ses options de retrait, mais a déclaré que les options couvrent les mêmes utilisations définies par la loi applicable. Shane Bauer, un porte-parole d'**OpenAI**, affirme que l'entreprise ne vend pas les données des utilisateurs, bien qu'elle reconnaisse partager des données limitées avec des partenaires marketing pour la publicité comportementale ciblée et inter-contextuelle. « Nous offrons aux gens des moyens simples de contrôler comment leurs données sont utilisées directement dans nos applications, de sorte que ces choix sont faciles à faire là où les gens utilisent nos services », déclare Bauer. « Notre portail de confidentialité est un autre moyen pour les gens de soumettre des demandes de confidentialité, y compris les personnes qui n'ont pas de compte **OpenAI** mais qui souhaitent toujours exercer leurs droits de confidentialité. Nous pensons que donner aux utilisateurs plusieurs façons d'exercer leurs droits est une bonne chose. » Un porte-parole de **HireVue** conteste les conclusions de l'**EPIC** sur la portée, affirmant que la politique de confidentialité publique de l'entreprise s'applique uniquement aux personnes qui visitent son site Web marketing, et non aux candidats à l'emploi, dont les données sont traitées via la plateforme RH de **HireVue** sous des contrôles de consentement configurés par chaque employeur. L'entreprise n'a pas abordé la constatation de l'**EPIC** selon laquelle sa politique publique ne dirige les instructions de retrait qu'aux résidents californiens. Jerome Filip, un porte-parole de **SoundThinking**, affirme que les formulaires de retrait de l'entreprise se trouvent en bas de sa page de politique de confidentialité, ainsi qu'un numéro de téléphone d'aide client. Un porte-parole de **Palantir** déclare à WIRED que le fournisseur de technologie de surveillance avait été inclus par erreur dans le rapport aux côtés des courtiers en données. « **Palantir** n'est pas une entreprise de collecte ou d'exploitation de données. Nous ne collectons, ne vendons ni n'achetons de données personnelles. Nous sommes une entreprise de logiciels. Nous intégrons les ensembles de données existants de nos clients », a déclaré l'entreprise. Le porte-parole ajoute que le site Web de **Palantir** offre des options standard de retrait des cookies et une déclaration de confidentialité permettant aux individus d'exercer leurs droits.