Afin d’ouvrir largement le débat sur le droit à l’oubli numérique, Nathalie Kosciusko-Morizet a réuni les différents acteurs concernés devant un parterre de plus de 500 participants à cet atelier, jeudi 12 novembre 2009. La secrétaire d’État a profité de cette occasion pour lancer une vaste consultation nationale auprès des professionnels comme du grand public dont l’objectif est d’aboutir avant la fin du premier trimestre 2010 à une charte commune d’engagements visant à renforcer le respect de la vie privée sur Internet. Les internautes seront amenés à proposer leur contribution sur le site Internet du secrétariat d’Etat, dont la mise en ligne est prévue le 25 novembre prochain [1].
En France , le législateur a pensé au droit à l’oubli numérique depuis la loi informatique et libertés de 1978 qui intègre les principes de :
limitation de la durée de conservation des données
possibilité pour l’individu d’obtenir la suppression des données le concernant
Les changements de paradigmes induits par les évolutions du réseau Internet font cependant naître de nouveaux enjeux. De nos jours en effet, tout un chacun peut stocker, mettre en ligne de l’information, y compris pour une durée illimitée. Cette information, qu’elle soit à caractère professionnel, associatif ou personnel bénéficie d’une visibilité qui peut varier en fonction de la notoriété de celui qui les met à disposition, et qui est accrue par l’activité des outils de recherche. Par ailleurs, l’avènement des outils de réseautage social et l’utilisation que nous en avons fait que la frontière entre sphère privée et sphère publique devient de plus en plus floue. À tout cela, il faut ajouter les possibilités de profilage marketing -publicité ciblée- et l’extraterritorialité -c’est la loi du pays dans lequel se trouve le serveur qui s’applique en cas de litige-. Bref, l’individu "laisse" de plus en plus de données personnelles en ligne, de manière volontaire ou non.
Faut-il redéfinir le droit à l’oubli numérique et les modalités de sa mise en œuvre ?
Au vu de tout cela, les participants à cet atelier ont échangé autour de deux aspects : la publicité ciblée et la protection de la vie privée
La publicité ciblée en ligne
En 5 ans, la part d’Internet dans les investissements publicitaires est passée de 5% à 16,4%, faisant aujourd’hui de ce média la troisième destination publicitaire après la télévision (29,3%) et la presse (28,5%) [2].
Sur le réseau, les possibilités de ciblage -à l’aide de cookies [3] notamment- sont importants :
Le ciblage socio-démographique
Le ciblage géographique
Le ciblage temporel
Le ciblage contextuel
Le ciblage comportemental
Le ciblage par action/retargeting
L’adresse IP quant à elle permet la mise en oeuvre du principe de géolocalisation [4], bien souvent à l’insu de l’internaute.
Il n’y a donc pas d’anonymat sur Internet… Selon Corinne Thiérache, avocate, les données ne devraient pas être collectées sans le consentement de l’internaute ; celui-ci dispose en principe :
du droit à être au courant des informations recueillies
du droit à s’opposer à cette collecte
du droit à demander la rectification ou la suppression de ces informations.
Ceci est valable dès lors que ces informations relèvent de données personnelles [5].
Pour Arnaud Caplier, de l’Union française du marketing direct, l’époque des mass médias a laissé place à un principe de fragmentation ; les publicitaires doivent trouver une réponse à la question fondamentale : comment toucher ma cible ? Cela n’empêche pas quelques bonnes pratiques en matière de ciblage :
transparence et information de l’usager
limitation : l’internaute ne doit pas être harcelé
labellisation politique et technologique
L’oubli des données publiées volontairement
Pour Alain Bensoussan, Avocat, le droit à l’oubli relève de la dignité numérique et possède quelques contours :
droit de conservation
droit d’opposition
droit de suppression : l’internaute doit pouvoir éliminer une de ses vies numériques quand il le souhaite.
Mais sur les plateformes de réseautage, ce droit de suppression peut s’avérer difficile à exercer d’autant plus qu’il est possible de faire transiter automatiquement les données d’une plateforme à l’autre.
Or, pour Alain Gavand, Président de À compétence égale les cabinets de recrutement utilisent le Web pour :
faire du sourcing : repérer des employés potentiels
enquêter sur les candidats :cette enquête ne devrait pas être prise en compte dans la décision d’embauche
parfois, mais c’est illégal, collecter des données -liées notamment à la vie privée sur les employés
Dans ces conditions, comment l’individu peut-il protéger sa vie privée et mieux gérer sa réputation électronique [6] ? Daniel Le Métayer, INRIA, dresse un panorama des solutions possibles :
- limiter la divulgation
- chiffrer ses données quand c’est possible
- communiquer de manière anonyme
- naviguer et rechercher de manière anonyme
- faire valoir ses droits de manière anonyme
- limiter les usages faites de vos données
- Pour l’nternaute :
- filtrer les messages non désirés,
- effacer régulièrement les cookies
- Pour le responsable du traitement des données
- sécuriser les accès à ces données
- anonymiser
Mais l’anonymisation à des limites.
Aux États-Unis par exemple, le code postal croisé avec la date de naissance et le sexe suffisent à identifier 82% des internautes. Par ailleurs, les failles de sécurités permettent dans certains cas le piratage de données
Daniel Le Métayer propose des pistes :
fournir aux collecteurs la possibilité de mieux afficher leur politique de confidentialité
limiter l’essaimage des données
doter les données d’une période d’expiration systématique
contrôler la durée d’utilisation de ces données par chiffrement avec clé éphémère
Il s’agit au final de conjuguer des besoins commerciaux et la sécurité des personnes. les publicitaires font vendre, mais doivent respecter certaines règles, notamment celles concernant le respect de la vie privée. S’il y a un équilibre à trouver entre danger et utilité, chacun doit être en mesure de prendre ses propres décisions -dixit Peter Fleischer, Responsable de la protection des données personnelles, Google [7]). Le principe de l’extraterritorialité fait qu’il est inutile de mettre en place des initiatives uniquement nationales et, comme le précise Yves Détraigne, Sénateur, quelle que soit la législation, la technique permettra toujours de la contourner.
Il importe donc pour les pouvoirs publics de réfléchir à une législation qui s’adapte aux évolutions technologiques et pour les acteurs influents de mettre en place des codes communs de bonne conduite. Des initiatives sont annoncées au cours de l’atelier ; d’autres existent déjà…
Initiatives françaises
Proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique [8], par Yves DÉTRAIGNE et Anne-Marie ESCOFFIER, sénateurs. Ce texte se propose de rendre l’individu acteur de sa propre protection en le sensibilisant, au cours de sa scolarité, aux dangers de l’exposition de soi et d’autrui sur Internet. Il propose également plusieurs mesures :
l’obligation de fournir aux internautes une information claire, accessible et spécifique sur la
durée de conservation de leurs données personnelles ;
l’exercice plus facile du droit à la suppression des données dans la mesure où la proposition
de loi permet d’exercer ce droit non seulement gratuitement mais également, après identification, par voie électronique, alors que les responsables de traitement prévoient aujourd’hui généralement la seule transmission par courrier postal, de nature à décourager les personnes concernées ;
la possibilité de saisir plus facilement et plus efficacement qu’aujourd’hui les juridictions
civiles en cas d’impossibilité pour les personnes d’exercer leur droit à la suppression des données [9].
Charte réseaux sociaux, Internet, vie privée et recrutement. [10]. Elle a pour vocation la prise de conscience et la sensibilisation aux risques de dérapage dans l’utilisation des réseaux sociaux et d’Internet dans le recrutement.
Charte d’engagements des annonceurs pour une communication responsable [11]
Initiatives internationales
European Privacy Seal [12] Ce projet a permis de définir des procédures et d’évaluer les premiers produits afin de leur délivrer un label attestant de leur qualité en termes de protection des données. Le label Europrise a récemment été décerné au moteur de recherche Ixquick qui propose des services de recherche sur Internet avec des garanties fortes sur la protection des traces, notamment par l’absence de cookies traceurs et par une durée de rétention des adresses IP limitée à 48 heures (par opposition aux 9 mois de conservation de Google). La régie publicitaire « WonderLoop » a récemment fait l’objet d’une expertise indépendante et s’est vu décerner le label. Ce label souligne la conformité de ce service aux principes des directives européennes en matière de protection des données à caractère personnel [13]
Conférence Internationale « informatique et libertés » [14] La 31ème Conférence Internationale « informatique et libertés » s’est tenue à Madrid du 4 au 6 Novembre. Organisée à l’initiative de l’Agence espagnole de protection des données elle a pleinement tenu ses promesses de succès. En effet, les représentants de près de 80 autorités de protection des données, parmi lesquelles la CNIL, ont à l´unanimité voté une résolution visant à établir des standards internationaux sur la protection des données personnelles et de la vie privée
------------
[1] Voir le communiqué de presse : http://www.strategie.gouv.fr/article.php3?id_article=1076
[2] Source : IAB France - TNS media intelligence. Baromètre des Investissements Publicitaires bruts 2004-Août 2009, cité par le dossier de presse pour cet atelier, pdf
[3] Les cookies sont de petits fichiers textes stockés par le navigateur web sur le disque dur du visiteur d’un site web et qui servent (entre autres) à enregistrer des informations sur le visiteur ou encore sur son parcours dans le site. Wikipédia. Le cookie peut être de session, de personnalisation ou de tracking
[4] Géolocalisation : Procédé technique par lequel il est possible de localiser géographiquement les destinataires d’un message marketing sur un téléphone portable ou les visiteurs d’un site web. La localisation permet un ciblage geographique des campagnes et de renforcer l’efficacité des messages. Source : definitions-marketing.com
[5] Aux termes de l’article 4 de la loi du 6 janvier 1978, " sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent (..) ". Cette définition circonscrit le champ d’application fort large de la loi Informatique et Libertés, laquelle régit la mise en oeuvre de tout traitement automatisé de telles données. Source : Educnet.
[6] Cf Les principaux vecteurs de l’e-réputation
[7] Le géant du Web propose ainsi depuis peu Dashboard, un outil qui permet à l’utilisateur des services Google de retrouver sur une seule page l’ensemble des données que Google détient sur lui-.
[8] http://www.senat.fr/dossierleg/ppl09-093.html
[9] Source : dossier de presse pour cet atelier, pdf
[10] À télécharger depuis le site de l’association À Compétence Égale
[11] Rendue publique en décembre 2007. http://www.uda.fr/communication-responsable/charte-uda/
[12] https://www.european-privacy-seal.eu/
[13] Source : dossier de presse pour cet atelier, pdf
[14] Sur le site de la CNIL : http://www.cnil.fr/la-cnil/actu-cnil/article/article/2/protection-de-la-vie-privee-un-premier-pas-vers-des-standards-internationaux
