Rebecca Rumbul n’a pas froid aux yeux. Cette jeune Galloise lance en effet une class action contre Oracle et Salesforce accusés de ne pas respecter le RGPD et de partager les données des internautes pour vendre de la publicité en ligne  Elle affirme que les deux sociétés utilisent leurs cookies BlueKai et Krux pour suivre, surveiller et collecter les données personnelles des consommateurs et les partager dans un processus appelé enchères en temps réels. « Ces fenêtres pop-up de cookies « Acceptez tout » qui s’affichent désormais sur chaque site Web ces sont censées vous permettre de consentir à l’utilisation de vos données personnelles et au placement de cookies sur votre système, mais savez-vous vraiment ce qu’elles font ? Avoir de la publicité ciblée sur vous en fonction de votre récente recherche en matière de vacances peut sembler assez anodin, mais appréciez-vous que tous les sites Web que vous visitez sont ajoutés à votre profil ? Pensez à cette fois où vous avez eu une bizarre éruption cutanée et avez visité quelques sites Web médicaux pour essayer un auto-diagnostic ? Ou lorsque vous étiez un peu inquiet de pouvoir joindre les deux bouts et avez fini par rechercher des prêts et comment éviter d’éventuelles procédures de faillite ? Souhaitez-vous que toutes ces informations soient échangées ou liées ensemble dans le cadre d’un dossier individuel, à votre insu ou sans aucune capacité de le voir ou de le contester ? Probablement pas. », explique-t-elle.

Pour cette action « qu’elle mène en tant que particulier », elle s’appuie sur The Privacy Collective, une fondation néerlandaise dont la branche britannique regroupe aussi bien Amnesty International que l’université de Cambridge, la London School of Economics, l’Alan Turing Institute ou encore l’Imperial College de Londres, et pour laquelle Rebecca Rumbul est la demanderesse au Royaume-Uni (Angleterre et Pays de Galles). L’action est financée par My.Innsworth, une filiale d’Elliott Management. L’affaire est portée par la filiale londonienne du cabinet d’avocats américain Cadwalader qui se définit comme le plus ancien cabinet d’avocats à Wall Street (1792) et un spécialiste des institutions financières de premier plan, des fonds d’investissement et des sociétés du Fortune 500. Bref c’est ce qu’on appelle du lourd. Une action identique est menée aux Pays-Bas par The Privacy Collective.

Selon Rebecca Rumbull, ces class actions pourraient coûter cher aux deux entreprises californiennes.« Les plaintes combinées pourraient dépasser 10 milliards d’euros, car il y a potentiellement des millions d’individus qui ont ces cookies de suivi sur leurs systèmes ». Les cookies d’Oracle (BlueKai) et de Salesforce (Krux) sont hébergés sur un certain nombre de sites Web grand public tels que Dropbox, Booking.com, ou Ikea.

Chez Saleforce et Oracle on rejette ces accusations. « Salesforce est en désaccord avec ces allégations et entend bien démontrer qu’elles sont sans fondement », a répondu un porte-parole interrogé par ComputerWeekly. « L’accusation concerne par ailleurs uniquement le service Salesforce Audience Studio et en aucun cas les autres produits de Salesforce », a-t-il ajouté.

Le directeur juridique d’Oracle, Dorian Daley, a quant à lui déclaré dans un communiqué que l’action était « sans fondement » et « une extorsion », accusant The Privacy Collective de fonder sa réclamation sur « des déclarations délibérément inexactes ».

La fondation quant à elle rappelle sur son site une phrase prononcée par le fondateur, président et directeur technique d’Oracle, Larry Ellison, en juin 2018. « La vie privée est morte », avait-il déclaré, ajoutant « parce que nous ne pouvons pas tomber d’accord sur ce que nous entendons par « confidentialité » en général, et « informations privées » en particulier. »