Depuis quelques mois un nouvel outil, Polygraphe, est mis à la disposition des agents de la DGCCRF pour traquer les faux avis sur internet.

La présence de nombreux faux avis en ligne constitue un défi majeur pour les consommateurs et les entreprises. Polygraphe, développé par les équipes de la cellule numérique de la DGCCRF, se présente comme une solution innovante pour traquer ces faux avis.

Le contrôle des professionnels

L’administration a désormais le pouvoir de collecter puis d’analyser, au moyen de traitements automatisés, l’ensemble des contenus librement accessibles publiés sur internet par les utilisateurs de certains opérateurs de plateformes en ligne mentionnées à l’article L. 111-7-I-2° du code de la consommation concernant les professionnels.

Les professionnels visés sont ceux soumis au code de la consommation, à savoir, toute personne physique ou morale, publique ou privée, qui agit à des fins entrant dans le cadre de son activité commerciale, industrielle, artisanale, libérale ou agricole, y compris lorsqu’elle agit au nom ou pour le compte d’un autre professionnel.

Le contrôle de la CNIL

La CNIL s’est prononcée à plusieurs reprises sur de tels traitements, notamment par sa délibération n° 2019-114 du 12 septembre 2019 portant avis sur le projet d’article 9 du projet de loi de finances pour 2020 ou encore par sa délibération n° 2022-030 du 10 mars 2022 portant avis sur un projet de décret relatif à la mise œuvre par le pôle d’expertise de la régulation numérique (PEReN), placé sous l’autorité conjointe des ministres chargés de l’économie, de la communication et du numérique, de traitements informatisés et automatisés permettant la collecte de données publiquement accessibles mises à disposition du public par les opérateurs de plateformes.

De manière générale, la seule circonstance que les données soient accessibles sur internet n’autorise pas à les collecter et à les exploiter pour quelque finalité que ce soit.

La licéité de chaque traitement doit être appréciée au cas par cas. De plus, la nature de tels traitements est susceptible de porter atteinte aux droits et libertés fondamentaux, dont la liberté d’expression et la liberté d’opinion.

De telles atteintes ne peuvent être admises que si des garanties suffisantes sont prévues.

Les objectifs poursuivis par la DGCCRF, à savoir lutter contre les « faux avis » sur internet et améliorer l’efficience des contrôles de ses agents sont légitimes, et peuvent justifier que les avis librement accessibles puissent être traités. Le traitement en cause consiste à analyser automatiquement l’ensemble des avis postés sur les deux principales plateformes, pour l’ensemble des professionnels.

Certaines garanties ont été mises en œuvre par le ministère, telles que l’exclusion de toute décision de contrôle automatisée ou encore la séparation entre les services chargés du traitement envisagé et ceux chargés des enquêtes et de la collecte de preuve d’activités potentiellement frauduleuses.

En dépit des garanties prévues, la mise en œuvre de ce type de traitement témoigne d’un changement d’échelle significatif dans le cadre des prérogatives confiées à la DGCCRF pour l’exercice de ses missions.

La CNIL a rappelé qu’il convient de faire preuve d’une grande prudence quant au développement de ce type de traitements informatisés permettant de collecter les contenus librement accessibles et publiés sur internet, eu égard à leurs potentielles conséquences importantes en matière de protection de données à caractère personnel.

De manière générale, la Commission constate un recours croissant par les acteurs publics aux outils permettant d’aspirer de manière massive et indifférenciée des contenus sur internet (« Webscraping »).

Elle appelle le législateur à fixer un cadre général dans lequel les administrations pourraient, si nécessaire, recourir à de tels outils, afin de garantir un équilibre entre les missions des administrations et la protection des droits des individus.

Les caractéristiques du traitement Polygraphe

Le dispositif se décompose en quatre phases :

– tout d’abord, une phase d’extraction des données des plateformes concernées relatives aux pages des professionnels et de chaque utilisateur ayant posté un avis sur celles-ci. La collecte des données à caractère personnel est réalisée par une technique d’aspiration du contenu des pages web via des scripts (« webscraping »). Cette méthode permet de récupérer toutes les données disponibles pour chaque professionnel, notamment le texte complet de commentaires laissés à son sujet ;
– les données collectées font ensuite l’objet d’une analyse afin de supprimer les données sensibles ;
– les données restantes sont analysées selon plusieurs critères prédéfinis tels que l’évolution de la note moyenne, la divergence des notes, ou encore la présence d’avis signalant de faux avis ;
– l’agrégation de ses critères permet d’obtenir un score global de suspicion par professionnel.

Les résultats obtenus sont visualisables par les agents habilités après authentification individuelle. Pour chaque professionnel, les agents habilités voient le score global de suspicion ainsi que le score particulier pour chaque critère. L’AIPD précise que si, après analyse des avis, l’agent estime qu’il est en présence de faux avis, il pourra transmettre ces analyses au service concerné chargé de diligenter des enquêtes.

Le traitement permet la collecte d’un grand nombre de données de manière indiscriminée. Par ailleurs, il n’y a pas la limitation aux plateformes « Google Maps » et « Tripadvisor », que seule l’AIPD mentionne.

Les catégories de données concernées sont les données relatives aux professionnels, aux auteurs déclarés des avis y compris le texte des commentaires, ainsi que les données d’identification des agents habilités, de connexion et de journalisation.

Webscraping et minimisation des données

Dans le cadre d’une collecte de données à caractère personnel librement accessibles, le responsable de traitement doit mettre en œuvre des moyens afin de s’assurer du respect des principes de minimisation des données et de protection des données dès la conception.

En amont, des indicateurs et critères de pertinence doivent orienter et cibler la collecte afin de réduire l’extraction de données non pertinentes.

En aval de la collecte et du traitement d’analyse automatique, l’outil « Polygraphe » offre deux modes d’affichage aux agents. Le premier mode, dit de « ciblage de 1er niveau », permet un accès moins détaillé aux données en masquant notamment l’identité des contributeurs et le texte des avis. Il permet notamment la consultation du score global de suspicion. Le second mode, dit « ciblage de 2e niveau », permet l’accès à l’ensemble des données collectées relatives au professionnel ciblé, y compris l’identité des contributeurs et le texte des avis.

Lors de sa consultation, la CNIL a formulé plusieurs observations sur Polygraphe:

En premier lieu, le traitement « Polygraphe » est susceptible de collecter des données sensibles dès lors qu’il n’est pas envisagé d’exclure certaines catégories de professionnels susceptibles d’aboutir à la révélation de données sensibles relatives à l’auteur de l’avis, comme par exemple un cabinet médical ou un commerce de fournitures confessionnelles.

Or, l’article 88 de la loi « informatique et libertés » permet le traitement de données sensibles uniquement en cas de nécessité absolue au regard de la finalité poursuivie. La Commission a bien pris note que la phase 2 du traitement consistait à exclure les données sensibles de l’analyse. Elle regrette que le ministère ne se soit pas donné les moyens d’éviter de collecter de telles données, dès lors qu’il n’y aurait pas de nécessité absolue de les traiter au regard des missions poursuivies par la DGCCRF.

Conscient que la technique d’extraction du contenu d’un site web via des scripts (ou « webscraping ») est, par nature, susceptible de collecter des données sensibles mentionnées dans les champs libres des avis, le ministère s’est engagé à supprimer de telles données, si elles étaient collectées, dans un délai de cinq jours. La Commission constate que cette durée qui pourrait être ramenée à l’immédiateté, a été intégrée au texte.

En deuxième lieu, l’article 89 de la loi « informatique et libertés » dispose que si le traitement est mis en œuvre pour le compte de l’Etat pour au moins l’une des finalités énoncées au premier alinéa de l’article 87 (notamment de prévention et de détection des infractions pénales, d’enquêtes et de poursuites), il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues à l’article 31 de cette loi.

Il résulte des dispositions du II de l’article 31 de la loi du 6 janvier 1978 que les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat, ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales, d’enquêtes et de poursuites et qui portent sur des données sensibles, mentionnées au I de l’article 6 de cette loi, doivent être autorisés par décret en Conseil d’Etat pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

Le traitement présenté ne pouvait donc pas être autorisé sur la base d’un arrêté mais par Décret (Décret no 2023-428 du 1er juin 2023).

Les opérateurs de plateformes visés

Sont collectées les données « issues d’avis en ligne de contributeurs, avis librement accessibles et manifestement rendus publics ». L’AIPD précise que les plateformes concernées dans le cadre de l’outil « Polygraphe » sont uniquement « Google Maps » et « Tripadvisor ». La Commission a pris acte de ce que le ministère n’envisageait pas d’élargir le périmètre des plateformes concernées et qu’un tel élargissement, s’il était décidé, ferait l’objet d’une information de la CNIL.

Il est pris acte de l’absence de prise de décision automatisée, et de l’engagement du ministère de procéder à la formation des agents habilités afin notamment de limiter les biais de confirmation ou d’automatisation dans l’usage du traitement « Polygraphe ».

Les droits des personnes concernées

Droit d’accès aux données

Conformément  à la directive européenne du 27 avril 2016 dites « Police-Justice » la personne dont les données sont traitées par Polygraphe peut accéder aux données la concernant, demander la rectification ou leur effacement.

Le droit d’opposition n’est toutefois pas applicable.

Le droit d’effacement est uniquement applicable dans le cadre des dispositions de l’article 16 de la Directive 2016/680 et de l’article 106 de la LIL sauf lorsque les données à caractère personnel doivent être conservées à des fins probatoires.

Dans ce cas, au lieu de procéder à l’effacement, le responsable de traitement le responsable de traitement peut limiter le traitement si l’exactitude des données à caractère personnel est contestée par la personne concernée sans qu’il soit possible de déterminer si les données sont exactes ou non limite le traitement :

Pour exercer ses différents droits ou pour toute question sur le traitement des données de Polygraphe la personne concernée peut contacter le référent de la protection des données de la DGCCRF :

• par voie postale : SNE, cellule numérique, 59, boulevard Vincent-Auriol, 75013 Paris ;
• par mail : [email protected].