Depuis le 1er juin 2023, les inspecteurs de la DGCCRF ont pu utiliser Polygraphe, le détecteur de faux avis sur internet. Malgré son utilité, il semble empiéter sur la liberté et les autres droits fondamentaux des internautes. Polygraphe collecte effectivement une quantité excessive de données jugées personnelles sur les utilisateurs en ligne.
L’outil Polygraphe est conçu pour aider la DGCCRF à identifier les internautes qui utilisent des commentaires trompeurs en ligne. Pour l’instant, le logiciel n’est opérationnel que sur TripAdvisor et Google. Laurent Cadillon a d’ailleurs assuré que plusieurs plateformes devront prochainement être ajoutées à la liste de surveillance. Cependant, Polygraphe est critiqué pour sa capacité à collecter en masse des données personnelles.
À la DGCCRF, le responsable de la cellule numérique envisage la possibilité d’ajouter ou de modifier certains éléments de l’outil. Il assure que toutes modifications seront toujours effectuées en conformité avec les exigences juridiques. Si nécessaire, ils consulteront à nouveau le Conseil d’État et la CNIL.
Le détecteur de commentaire frauduleux
Polygraphe a reçu une autorisation de trois ans à compter du 1er juin 2023. Il fonctionne en analysant des millions d’avis sur ces plateformes. L’outil repère ensuite les avis potentiellement falsifiés grâce à l’utilisation de données personnelles et de signaux d’alerte. Même pour une entreprise de portage salarial comme CEGELEM, Polygraphe pourrait aider à surveiller et améliorer leur réputation en ligne.
Le responsable de la division numérique de la DGCCRF a expliqué que les enquêteurs utilisent un tableau d’analyse pour guider leurs actions vers des professionnels. Il a également mentionné que c’est la DGCCRF qui a créé ce logiciel.
Il a souligné que :
« leurs investigations les amènent le plus souvent à contacter le professionnel, pour pouvoir faire, le cas échéant, le rapprochement entre l’identité d’un contributeur et le professionnel lui-même. »
Selon lui, le Polygraphe a augmenté les investigations sur les faux avis. En revanche, le député Latombe critique les conditions de son autorisation. Il estime qu’elle aurait dû être mise en place par un texte de loi, et non par un décret pris en Conseil d’État.
D’après le parlementaire, le Conseil constitutionnel avait dû trancher, lors de la mise en place expérimentale d’un outil similaire par le fisc. Il souligne que l’utilisation de Polygraphe a franchi une limite et pose un risque pour les libertés individuelles et publiques.
Aucune organisation de défense des droits numériques n’a pour l’instant discuté du logiciel. La CNIL a pourtant en décembre 2022 donné son avis sur son usage excessif par le secteur public. Elle a demandé une législation pour l’usage d’outils par les administrations, équilibrant leurs tâches et la protection des droits individuels.
« Utile, mais potentiellement intrusif »
L’outil a été officiellement approuvé et a été récemment adopté par les agents de la DGCCRF. Il ne fait pas l’unanimité, même parmi les défenseurs les plus passionnés de la sauvegarde des données. Dans ce contexte, une entreprise de portage salarial tel que CEGELEM peut proposer une structure légale aux professionnels.
L’Usine Digitale a pris contact avec Philippe Latombe, député du MoDem et commissaire de la CNIL. Celui-ci n’a pas hésité à le décrire comme extrêmement envahissant. Il met en évidence la collecte excessive de données sur les utilisateurs d’Internet.
Au-delà du contenu du message lui-même, Polygraphe collecte une multitude de données :
- L’URL du site ;
- Le nom et prénom ou pseudonyme ;
- L’identifiant et l’adresse de la page personnelle de l’auteur de l’avis ;
- La coordonnée téléphonique et l’e-mail ;
- La localisation du professionnel en question.
Cependant, comme le souligne Philippe Latombe, certaines informations collectées dans ce contexte pourraient être jugées délicates.
Le député du MoDem et commissaire de la CNIL s’explique :
« Par exemple, si madame Dupont donne un avis sur Google au sujet du docteur Durand, oncologue, en disant qu’il est très patient et qu’il explique bien les choses, c’est une donnée de santé . »
Laurent Cadillon, de la DGCCRF, souligne que toutes les données sensibles sont effacées au plus tard cinq jours après leur acquisition. Toutefois, la CNIL et certains critiques estiment que cette période est trop longue.
En décembre 2022, l’autorité a émis une recommandation non obligatoire concernant Polygraphe. Cela préconisait une élimination instantanée et automatique de ces informations. Elle estimait que de tels processus pourraient potentiellement nuire aux droits et libertés essentiels, y compris la liberté d’opinion et d’expression.
