La protection des données personnelles dans le monde.
|
Des
abus qui fâchent
DoubleClick,
la plus grosse régie publicitaire de la planète cyber, n'a plus droit
au faux pas. Son métier: placer sur les sites Web des bannières publicitaires
et... des mouchards électroniques (cookies). Le but du jeu: définir
des profils de surfeurs pour leur envoyer des publicités sur mesure.
Tant que ces internautes n'étaient identifiés que par les coordonnées
de leur PC, ils bénéficiaient d'un relatif anonymat. Mais tout a basculé
en 1999 lorsque DoubleClick a racheté Abacus, une base de données nominative
recensant quelque deux milliards de commandes de dizaines de millions d'Américains!
Du coup, DoubleClick pouvait croiser son propre fichier avec celui d'Abacus pour
en constituer un plus immense encore, beaucoup plus précis, et surtout nominatif.
Les groupes de défense de la vie privée sont aussitôt montés
au créneau, attaquant l’entreprise en justice. Finalement, DoubleClick a dû
renoncer à sa mégabase.
Plus récemment, le plus grand e-libraire du monde, Amazon, s'est lui aussi
distingué. Englué dans ses pertes, il a décidé du jour
au lendemain, en septembre 2000, de louer à des tiers les informations accumulées
sur ses clients, chose qu’il s’était jusque-là engagé à
ne pas faire. Cette fois encore, des ONG américaines ont saisi leurs autorités.
Même émoi au Royaume-Uni, où Privacy International a carrément
demandé la fermeture d'Amazon.uk!
|
|
En
plein essor, le commerce des données personnelles permet aux entreprises de
mieux cerner les e-consommateurs. Qui commencent à disposer de lois pour les
protéger.
Deux cents dollars,
simplement pour répondre à un questionnaire. Cette offre du groupe
américain Greenfield Consulting a récemment atterri dans la boîte
aux lettres électronique d’un membre de la commission française informatique
et libertés (Cnil). Alléchante, elle dit tout le prix que les entreprises
attachent à la collecte de données sur les internautes.
Tous les ans, fin janvier, se tient à Paris une énorme foire aux fichiers,
le Salon de la «relation client». Cette année, il était
consacré au e-commerce et à Internet. I-Base, une start-up créée
en 1999, y proposait par exemple son fichier des 15-35 ans, «une base de données
comportementales de plus de 700 000 jeunes». D’où viennent les noms,
les données? La société reste discrète. Autre acteur
présent, Consodata, l’un des deux spécialistes français des
mégabases de données. Tous les ans, comme son alter ego Claritas, la
société dépose un questionnaire inquisiteur dans des millions
de boîtes aux lettres: crédits en cours, habitudes de lecture, hobbies...,
rien n’échappe à sa curiosité. Au fil du temps, cette masse
de petites informations a enrichi des profils de consommateurs qui valent de l’or.
A l’heure du e-commerce et des services personnalisés, ces entreprises s’intéressent
de plus en plus aux internautes. Pour cerner leurs moindres désirs, Consodata
a créé la filiale Cabestan, qui propose des jeux en ligne servant d’appâts.
Les abonnés au fournisseur d’accès Spray se sont ainsi rués
sur un Quiz, laissant au passage leurs coordonnées et une masse de données.
Une mine pour Cabestan, qui les mettra bientôt sur le marché.
Ces pratiques sont déjà très développées aux Etats-Unis,
berceau de la Net économie et du data mining. Serge Gauthronet, un spécialiste
de ces questions, est allé y visiter des e-mail marketers disposant d’«une
artillerie stupéfiante». Première étape: ils posent des
formulaires sur des sites en vue, conviant le visiteur à répondre à
des questions sur sa profession, ses loisirs, ses enfants, etc. En prime, l’internaute
est «observé» au travers de ses achats ou de ses navigations sur
le Net. Les marchands en ligne peuvent ainsi envoyer via le réseau des offres
commerciales de plus en plus ciblées. Ces sociétés d’e-marketing
se vantent d’être capables d’expédier jusqu’à 100 millions de
mails par jour! Comme il en existe environ 200 dans le monde, leur force de frappe
totale s’élèverait à 20 milliards de mails quotidiens, estime
Serge Gauthronet, soit «une soixantaine de courriers par jour et par boîte
aux lettres électronique»!
Le consultant vient de remettre un rapport fouillé sur ces pratiques à
la Commission européenne. Première conclusion: les méthodes
de collecte des données semblent plus transparentes qu’il y a quelques années.
A l’époque, l’écrasante majorité des sociétés
recueillaient des infos à l’insu des internautes, notamment grâce aux
fameux cookies (ces logiciels envoyés dans le disque dur des internautes pour
enregistrer leurs allées et venues sur le réseau) ou en posant des
questions aux enfants, plus naïfs. Aujourd’hui, la collecte se fait de plus
en plus avec l’assentiment exprès du consommateur (selon le principe de l’opt-in),
qui peut se retirer du jeu à tout moment. Autre progrès, la percée
du permission marketing: les e-marchands commencent à demander l’accord de
l’internaute avant de le bombarder de mails publicitaires.
Alors, où est la menace? D’abord, explique Serge Gauthronet, certaines firmes
n’ont pas toujours une vision très claire de l’opt-in. «Il suffit par
exemple qu’un internaute indexe dans son carnet d’adresses électronique les
références d’un site pour que ce dernier considère qu’il est
consentant pour tout et n’importe quoi.» Autre dérive, les données
personnelles récupérées dans le cadre d’une procédure
autorisée sont parfois enrichies avec d’autres informations sensibles, à
l’insu de l’internaute. Au-delà, le chercheur pose la question de la liberté
de l’être humain et de «la dépossession du moi» que les
bases de données vont engendrer: «à partir du moment où
on fige votre identité, on vous prive de votre droit à définir
votre image comme vous en avez envie». Et d’évoquer bien sûr l’érosion
de la vie privée du consommateur.
Même
unie, l’Europe peine à imposer ses vues
Sur
ce thème, l’Union européenne parle d’une même voix, qu’elle a
confirmée par une directive datée du 25 octobre 1995. Ce texte donne
des garanties aux citoyens de l’Union: droit d’accès aux données collectées,
droit de rectification, droit de refuser la cession des données à des
tiers, transparence de la collecte... Autre point clé: aucun fichier ne pourra
quitter l’Europe pour un pays tiers si ce dernier ne garantit pas un niveau «adéquat»
de protection des données personnelles. Interdiction donc pour American Express
ou Microsoft de rapatrier aux Etats-Unis les fichiers de ses employés et de
ses clients, à moins qu’elles ne s’engagent par contrat à respecter
certaines règles.
Pourtant, même unie, l’Europe peine à imposer ses vues, en particulier
aux Etats-Unis. Quelques temps avant l’entrée en vigueur de la directive,
le 25 octobre 1998, Washington défendait toujours le principe de «l’autorégulation»
du secteur. Puis pendant plus de deux ans, le bras de fer a continué entre
la FTC américaine (Commission fédérale pour le commerce) et
la Commission européenne. Finalement, en juillet 2000, les deux parties ont
signé l’accord dit «safe harbor», entré en vigueur le 1er
novembre dans la plus grande discrétion. Selon le texte, pour que les flux
de données transatlantiques se poursuivent, les firmes doivent s’engager à
respecter les principes fondamentaux de la directive européenne et accepter
des sanctions en cas d’entorse. Outre les Etats-Unis, en juillet, la Hongrie et la
Suisse ont aussi obtenu de l’UE le label «pays propre».
Toutefois, le dispositif ne semble pas du goût des entreprises américaines.
Jusqu’ici, seules sept sociétés ont adhéré au «safe
harbor»! Le juriste français Etienne Drouard doute de son succès:
les entreprises américaines «considèrent l’accord comme un abandon
de souveraineté!», dit-il. Mais tout pourrait se rejouer cette année,
alors que Washington semble virer sa cuti en faveur d’un durcissement du dispositif
de protection de la vie privée. Après les scandales Amazon et DoubleClick
(voir encadré), la privacy est devenue un enjeu politique non négligeable.
Le nouveau Congrès était à peine en place que des parlementaires
échauffés ont déposé des textes réclamant une
loi fédérale sur le sujet. L’Amérique libérale bute sur
la résistance de plus en plus acharnée de ses citoyens.
Le saviez-vous?
Dans une étude portant sur les 100 sites Web les plus populaires dans
leur pays d’origine, 92% des sites américains utilisaient au moins un cookie,
contre 47% en Europe. Et 80% des sites américains, contre 72% des européens,
recueillaient des données, d’une façon ou d’une autre.
http://www.consumersinternational.org |
