Données personnelles, le match: qui de Coop ou Migros élude le mieux nos questions?

Que font Coop et Migros des données personnelles qu’ils recueillent à tours de bras? Question légitime, que nous nous sommes employés à poser aux deux géants tout au long de notre enquête. S’est alors ouvert malgré nous un improbable concours de langue de bois entre les deux enseignes, qui mérite de passer à la postérité.

D’emblée, Coop prend l’avantage. Un premier e-mail envoyé par Heidi.news le 27 juin 2023 demande un entretien, propose un reportage et pose des questions précises. Il reste sans réponse. Deuxième essai le 4 juillet. En tout, nous aurons une demi-douzaine d’interlocuteurs différents au sein du département de communication, que par commodité nous appellerons tous «Jason».

Voici donc la réponse reçue le lendemain:

«Merci encore une fois pour votre demande. Nous vous prions de votre compréhension que nous renonçons à une interview dans ce contexte. Donc, nous répondons à vos questions par écrit.»

Les réponses à l’écrit? Indigentes, et ce n’est que le prénom. Un seul exemple:

Heidi.news: Quelle est la solution cloud adoptée par la Coop?

Jason: Coop dispose de diverses solutions informatiques, qu'il s'agisse de solutions cloud ou on-premise. Nous ne communiquons en principe pas de détails à ce sujet.*

Protestations de notre part. Jason répond trois jours plus tard: «Si vous nous faites parvenir des questions plus concrètes et le contexte précis de l'article que vous envisagez de publier, nous serons heureux de réexaminer les possibilités d'interview. En tout cas, nous nous ferons un plaisir de prendre à nouveau position sur les aspects que vous avez mentionnés.»

Les questions précises suivront, bien sûr, et les réponses seront invariablement creuses et sans substance, copiées-collées de communiqués de presse ou de conditions générales. Exemple en date du creux de l’été (à ne pas lire au volant, risque d’endormissement):

«Coop souhaite répondre de manière ciblée et rapide aux besoins en constante évolution de ses clients et clientes, intégrer rapidement les nouvelles tendances et réaliser des projets de manière efficace. L'approche omnicanal, c'est-à-dire la combinaison du commerce en ligne et du commerce stationnaire, est au cœur de cette stratégie. Dans ce contexte, des thèmes tels que l'e-business et le CRM, l'e-back-office et l'infrastructure informatique sont pertinents. (...) En janvier 2023, Coop s'est en outre orientée de manière encore plus conséquente vers les défis de la numérisation et a créé la Direction "Digital & Customer".»

L’autre géant orange entre en lice

Par contraste, Migros se distingue, au moins sur la forme, par une touche humaine. Première réponse le 4 juillet du porte-parole pour la Suisse romande, Tristan Cerf:

«Bonjour Monsieur Barbey - Merci de votre message. Malheureusement, je ne trouve votre demande originale nulle part chez nous. C'est une bonne chose que vous l'ayez envoyée à nouveau. Nous nous ferons un plaisir de répondre à vos questions. Puis-je vous demander jusqu'à quand vous aimeriez avoir un retour ?»

Le lendemain:

«Monsieur, Merci encore pour votre demande et votre intérêt pour Migros. Les entretiens personnels ne sont malheureusement pas possibles en raison de ressources et de capacités limitées. Nous vous demandons de bien vouloir nous envoyer vos questions par écrit. Le service de presse peut ainsi vérifier de manière optimale comment nous pouvons vous aider dans vos recherches. Nous sommes à votre disposition avec nos services.»

Heidi.news répartit alors le travail: Grégoire Barbey, pilote de l’enquête, s’occupera de Coop tandis que Leila Ueberschlag, journaliste indépendante, se chargera de Migros. Elle reçoit ceci, le 27 juillet:

«Chère Madame, (...) vraisemblablement, votre message s’est perdu. Je l’ai retrouvé. Je vous prie de nous excuser, j’étais [absent] et mes collègues étaient occupés avec la présentation aux médias de la création de Supermarkt AG. (...) Pouvez-vous m’appeler afin de clarifier la question des délais, le cadre et vos envies précises (techniques, contenu, etc)?»

Le lendemain encore:

«On est juste deux pour toute la Suisse et beaucoup de médias cherchent des sujets avec un désespoir perceptible, tout en fixant des délais surréalistes.»

ChatGPT, sors de ce Coop

Cette dernière phrase était ponctuée d’un smiley clin d’œil. Pendant que Migros pêche par convivialité, Coop maintient son avantage en assénant des réponses qui pourraient toutes avoir été écrites par ChatGPT:

Grégoire: Coop achète des informations vendues par des professionnels des listes d'adresse. Qui sont ces prestataires?

Jason: Nous vous prions de votre compréhension que nous ne citons pas nos fournisseurs concrets. La loi sur la protection des données est en tout cas respectée.

Grégoire: Quels sont les moyens techniques employés pour anonymiser les données lorsqu'un client quitte le programme Supercard?

Jason: Par principe, les moyens techniques disponibles dans le cadre de la gestion de la relation client sont utilisés.

Grégoire: Est-ce que Coop crée des «shadow profiles» pour les clients qui effectuent des achats en ligne, mais ne sont pas affiliés au programme Supercard?

Jason: Vous trouverez tous les détails concernant le profilage au chiffre 13 de notre déclaration de protection des données.

Grégoire: Quels sont les moyens techniques utilisés pour «analyser les comportements et émettre des hypothèses sur les intérêts et les préférences»?

Jason: Vous trouverez tous les détails concernant le profilage au chiffre 13 de notre déclaration de protection des données. Des méthodes d'apprentissage automatique courantes, comme les algorithmes de clustering, sont utilisées.

Le 16 août, Jason se défend, laissant percer une pointe d’agacement tout en restant solide sur les fondamentaux:

«En ce qui concerne vos questions, nous vous renvoyons à nouveau à notre déclaration de protection des données. Vous y trouverez les indications correspondantes. Par rapport à notre décision de ne pas faire un interview, nous tenons à préciser que nous avons toujours répondu à toutes vos questions et expliqué notre manière de procéder ou renvoyé aux informations correspondantes dans notre déclaration de protection des données. Ces informations ont [été] présentées de manière transparente et peuvent être consultées dans notre déclaration de protection des données. Nous vous prions donc d'accepter notre décision de prendre position par écrit.»

Une remontada de la Migros?

On croyait le match plié, à ce stade. D’autant que Migros se laisse aller à fendre l’armure. Le 3 août, le premier employeur privé de Suisse envoie à Heidi.news 23 réponses sur les 24 questions posées. Un véritable effort de rédaction et de synthèse, avec des précisions intéressantes, dont la quintessence figurera dans l’article de cette Exploration dédié à la Migros (bientôt en ligne).

Certaines réponses, néanmoins, laissent entrevoir un bon potentiel de langue de bois. Il y a des déclarations très générales, comme:

«Migros a toujours accordé de l'importance au traitement responsable des données des clients. Nous réalisons continuellement des adaptations pour encore mieux protéger les données à caractère personnel de nos clients. Le traitement responsable des données à caractère personnel est également ancré dans le code de conduite de Migros et son respect est assuré systématiquement dans l'ensemble du groupe.»

Au-delà du renvoi constant à la politique de protection des données, évidemment disponible sur le site de Migros, on notera aussi quelques belles esquives:

Question: Dans sa déclaration de protection des données, Migros indique les principales catégories de données traitées, en mentionnant que d’autres types de données personnelles peuvent être traitées. De quel type de données s’agit-il (liste complète)?

Réponse: Actuellement, il n'y a pas de données personnelles qui ne peuvent pas être attribuées à une catégorie actuelle. Nous suivons de près les évolutions des modes de consommation et cette clause nous permettrait d’adapter les catégories en fonction de ces évolutions, mais ceci n’exercerait aucune influence sur le service à la clientèle ou le traitement des données.

Le 8 août, à la suite de demandes répétées d’interview pour détailler le sujet, le porte-parole de Migros s’excuse, tout en marquant un point décisif:

«C’est aussi le learning de toute l’affaire: pour l’instant, il ne m’est pas possible de vous proposer une interlocutrice pour une discussion de fond. D’abord car c’est les vacances et que j’ai eu une peine folle à atteindre tout le monde (...) et aussi car la responsabilité en la matière est partagée entre le Marketing (MGB-Cumulus/migros.ch), l’IT et le service juridique. Cette structure à trois pouvoirs, entre trois départements distincts de la direction générale, permet un contrôle fiable du suivi des règles dans le cadre de l’utilisation à fins commerciales d’une technologie en constante évolution.»

Le 14 août, Leila insiste:

«De manière générale, [vos] réponses [du 3 août] reprennent souvent vos conditions générales ainsi que votre déclaration de protection des données (quand il ne s’agit pas d’un simple copié-collé), que nous avons déjà lu en détail avant de vous contacter. Notre démarche vise à obtenir des informations supplémentaires afin de pouvoir donner à nos lectrices et lecteurs, ainsi qu’à la population suisse, une meilleure compréhension de ces conditions générales et de la protection des données opérée par Migros, au travers d’exemple concrets, ainsi que sa stratégie globale de numérisation.

C’est dans cette optique que nous aurions souhaité pouvoir rencontrer les différents spécialistes en la matière chez Migros et visiter les locaux où sont traitées les données et nous trouvons fort regrettable que la raison pour laquelle nous ne puissions pas avoir une discussion de fond avec l’un (ou plusieurs) de vos spécialistes est due à la nature de votre organisation interne.»

Le porte-parole de Migros ne se démonte pas, faisant preuve d’une certaine inventivité. Le 18 août, il écrit:

«Votre intérêt et votre insistance sont louables. Voyons les choses autrement. Le fait que mes réponses ressemblent beaucoup à tout ce que nous publions en ligne montre que nous sommes transparents et que la majeure partie des questions que se pose notre clientèle peuvent trouver réponse en ligne. En rencontrant un membre de notre service juridique, je crains qu’il ne vous donne ni plus ni moins que moi.»

Dix jours plus tard, en réponse à une nouvelle demande de rencontre:

«Je comprends votre insistance, mais vous pouvez me poser encore cinq fois la même question, la réponse sera la même. (...) Comme mes réponses sont fidèles aux infos qu'ils m'ont données, nos juristes ne vont pas vous en dire plus, que vous les rencontriez physiquement ou pas. Ce sont des juristes, ils ne disent rien à la légère, mais n'en disent pas plus non plus. Il n'y a pas de mauvaise volonté là-derrière, juste un peu de pragmatisme.»

Le refus est réel

Migros s’est embrouillée dans les adresses e-mail et a répondu à Grégoire au lieu de Leila, en raison «d’un système de tickets» qui devrait «changer dans six mois». Grégoire en profite pour appuyer le 28 août les demandes répétées de Leila, en prenant le géant orange dans le sens du poil:

«Migros a fait le choix d'appliquer le Règlement général européen sur la protection des données (RGPD) à ses clients suisses également. L'entreprise aurait pu choisir de se contenter d'appliquer la loi suisse, comme l'ont fait d'autres concurrents. Ce faisant, Migros a réduit sa capacité à exploiter les données de ses clients, parce que le RGPD est plus restrictif. Voilà un excellent sujet, parmi d'autres, que nous aurions aimé aborder lors d'une interview. Parce qu'il y a la loi et il y a l'éthique, et en ce sens Migros fait plutôt figure d'exception dans le domaine des données.»

Leila précise de son côté que son ambition n’est pas de rencontrer des juristes de Migros, mais les personnes responsables de la stratégie de numérisation du groupe, du programme de fidélité Cumulus et de la protection des données.

Réponse de Migros aux deux, le 29 août:

«Naturellement, vous ne dites que la vérité si vous indiquez que Migros n'a pas été "en mesure" de vous offrir un entretien physique avec une interlocutrice ou un interlocuteur. "N'a pas souhaité" serait inexact, car c'était bel et bien le souhait de votre interlocuteur et de beaucoup de mes collègues. Sachez que je suis le premier désolé de cette situation, mais aussi le premier à savoir qu’une réponse écrite a la même valeur qu’une réponse orale.»

Le lendemain, le porte-parole semble inquiet de la façon dont seront interprétées ses réponses. Il tient donc à apporter plusieurs précisions, sur les délais de réaction ainsi que sur la demande répétée d’interviews.

«Le refus de vous organiser une rencontre est réel, écrit-il, et je n'ai pas de problème à ce que vous le signaliez, mais il a une raison, celle de la réponse finale.»

Sa conclusion laisse perplexe: «Pour le reste, qui je l'avoue peut paraître chaotique, j'accepte que m'en teniez personnellement responsable, mais pas les personnes qui m'ont finalement fourni une réponse claire et définitive, quand bien-même ne vous conviendrait-elle pas.»

En attendant Godot

Pendant ce temps, du côté de Coop, c’est le silence. Plusieurs mails de Heidi.news en août et septembre resteront sans réponse. Grégoire joue son va-tout et interpelle l’ancienne conseillère fédérale Doris Leuthard, qui lui avait accordé une interview dans la phase de préparation de l’enquête.

«Chère Madame (...) je vous écris en votre qualité de membre du conseil d'administration de Coop. J'ai contacté Coop pour solliciter des interviews et un reportage [sur les données personnelles], ce qui a été refusé à plusieurs reprises. Les réponses à mes questions se limitent à me renvoyer à la déclaration de protection des données, ce qui n'est pas suffisant.

Dans notre échange, vous aviez fait part de votre attachement à la transparence. J'apprécierais si vous pouviez prendre contact avec Coop pour leur suggérer de coopérer davantage. (...)

Vous présidez aussi la Swiss Digital Initiative, qui a placé la confiance numérique au centre de ses préoccupations. Jouer le jeu de la transparence en matière de protection des données au moment où la nouvelle loi va entrer en vigueur [le 1er septembre] me semble être une manière constructive de participer à construire cette confiance indispensable.»

Doris Leuthard n’a jamais répondu à ce message.

Deus ex machina

Le 1er octobre, un article de la NZZ am Sonntag secoue les deux géants suisses. Le dominical alémanique affirme que Coop et Migros vendent leur trésor d'informations issues des programmes Supercard et Cumulus à des marques, qui les paient cher.

Grégoire en profite pour les relancer. Il écrit à nouveau à Jason, avec les mêmes questions.

Grégoire: Coop dispose-t-elle d'une base de données centralisée?

Jason: Bonjour Monsieur Barbey. Merci pour votre nouvelle demande. C'est volontiers que nous répondons à vos questions comme suit. Oui, Coop a rassemblé les informations dans un entrepôt de données.

Grégoire: Quelles sont les données que Coop vend à des prestataires?

Jason: Coop ne vend pas de données personnelles à des prestataires de services. Nos partenaires commerciaux ont la possibilité d'utiliser, contre paiement, des ID publicitaires anonymes pour des campagnes ciblées. Le traitement des données que vous mentionnez est décrit au point 10.2, avant-dernier paragraphe de la déclaration de protection des données. Veuillez également tenir compte de l'article 10 des conditions générales de Supercard.

Grégoire: Pouvez-vous me décrire l'utilisation que Coop fait de BigQuery pour tout ce qui a trait aux données clients?

Jason: Nous utilisons la Big Query comme plate-forme de stockage. Les données y sont stockées de manière structurée. Des évaluations standardisées sont à notre disposition.

Nous engageons la même démarche côté Migros, où l’on sent soudain qu’une ouverture est possible. Espérons que cet article ne la découragera pas!

En tout état de cause, face à cet adversaire implacable qu’est Coop, Migros perd haut la main le match de langue de bois. Mais alors, à qui faut-il remettre la coupe?