Août
1999
10,2
% : l'augmentation du nombre
de fichiers déclarés à la CNIL
Dominique
ETIENNE
2 août
1999
suite (2/3)
Le commerce électronique
Lattention
de la CNIL a été récemment attirée par une nouvelle technique de
marketing "one-to-one". Le logiciel Colornet commercialisé
par la société Spectrum offre un nouveau procédé de segmentation
comportementale : Spectrum envoie depuis son propre site des
questionnaires électroniques type vers ses sites clients, puis centralise
les réponses afin de les interpréter sur la base des choix chromatiques
effectués. Linternaute, qui se prête ainsi à une sorte de
jeu, communique aussi des informations supplémentaires (sexe, âge,
situation familiale, etc.) ainsi que son adresse e-mail, nécessaire
pour recevoir les résultats du test. Une banque de données comportementales
est ainsi constituée.
La CNIL, saisie du dossier, nest pas sortie de ses prérogatives,
jugeant quelle nétait pas apte à estimer le degré de
fiabilité de lanalyse en elle-même. En revanche, elle a souligné
que linternaute devait pouvoir facilement exercer, par voie
électronique, son droit dopposition à la vente de son profil
à des entreprises commerciales, ainsi que son droit daccès
et de rectification aux données le concernant.
Ce dossier
reflète lintérêt que représente la transparence du traitement
des données personnelles sur Internet : la position de la CNIL
est que la mise en uvre des principes de protection des données
personnelles est plus facile que ce que lon croit.
Les services
de plates-formes électroniques,ces intermédiaires entre commerçants
et clients, qui leur permettent de faire des transactions en ligne,
posent 3 types de questions : létablissement de profils
de consommation à linsu des personnes ; lexploitation
de ces données sur de longues durées ; et surtout la dilution
des droits des personnes due à labsence dune définition
claire des responsabilités de chacun.
Linstruction
du dossier de Télécommerce en 1998 a permis à la CNIL de poser ses
exigences pour ce type de services. L'internaute, lorsqu'il commande
sur le site du commerçant, doit être averti grâce au formulaire
des possibilités daccès aux données le concernant (accès en
ligne ou par écrit auprès de France Telecom).
Dautre part il doit être averti que les données sont
transmises aux partenaires de la plate-forme : la banque et
le commerçant. Il peut aussi sopposer (par une case à cocher
en ligne) à ce que le commerçant vende à des tiers les données transmises
par la plate-forme. Si chaque commerçant peut établir à partir des
informations de la plate-forme des profils personnalisés de sa propre
clientèle (et adresser des offres personnalisées), France Telecom
sest engagé à ne pas utiliser les données nominatives à cette
fin. Enfin, la durée de conservation des données nominatives doit
être limitée à la durée de contestation des transactions.
Les galeries de commerce électroniques
La galerie
commerciale virtuelle " Surf and Buy ",
expérimentation menée par IBM
durant 3 mois, a révélé des questions intéressantes. Elle associait
une centaine denseignes commerciales qui bénéficiaient de
prestations techniques communes (hébergement, gestion des commandes,
analyses des données de connexion, etc.). IBM utilisait les données
personnelles collectées pour le compte de ses clients afin de procéder
pour elle-même à des études comportementales.
Dès la
1ère visite du site, linternaute était interpellé
par un questionnaire destiné à linciter à ouvrir un compte
client, dont le contenu, grâce à un cookie, était
adressé au serveur à chaque fois que lutilisateur accédait
à une page du site permettant deffectuer un achat. De plus,
il avait la possibilité de constituer un panier virtuel dachats
potentiels, au fil des boutiques sélectionnées ainsi quun
carnet dadresses (où se faire livrer).
Cette expérience
a permis à la CNIL de préciser ses recommandations en matière de
portails. Notamment, toute intégration des données dans un cookie
doit être portée à la connaissance de lintéressé, afin quil
puisse sy opposer, le cas échéant.
Adresses électroniques : combattre la prospection commerciale
non sollicitée
Dune
manière générale, la CNIL souhaite que toute personne puisse
consulter un site marchand sans avoir à sidentifier par ses
nom, prénom ou adresse e-mail, sopposer à recevoir des documents
de prospection commerciale non sollicités par mail et enfin que
son adresse électronique ne puisse être cédée ou utilisée pour un
tiers sans son consentement. Elle préconise ainsi que linformation
des personnes soit faite préalablement à toute diffusion sur Internet
des données les concernant.
La CNIL
sest penchée sur les forums de discussion, qui sont un espace
permettant la captation systématique des adresses électroniques.
Ainsi, elle exige que les responsables de ces sites affichent clairement
lobjectif dun forum, à savoir recueillir des contributions,
et que les données qui y figurent ne puissent être collectées ou
utilisées à dautres fins. A cet égard, les méthodes du CRU
de Rennes sont "exemplaires". Après concertation avec
la CNIL, le CRU, qui héberge de multiples listes de diffusion, a
non seulement adopté une charte dutilisation comportant une
interdiction deffectuer des sollicitations commerciales, mais
aussi décidé de ne plus rendre accessible aux abonnés dune
liste les coordonnées des abonnés dune autre liste :
une lutte contre la méthode du "cheval de Troie".
En matière
de technologie de navigation, il faut enfin souligner lavis
rendu en janvier 1998 sur la plate-forme dexpression de choix
en matière de respect de la vie privée (Platform for Privacy
Preferences ou P3P) et standard détablissement de
profiles ouvert (Open Profiling Standard ou OPS).
Le projet P3P a pour objectif de mettre au point un système qui
permettrait à linternaute de consentir à ce quun site
collecte ses données personnelles, à condition que les pratiques
déclarées de ce site en matière de protection de la vie privée (utilisations
premières et secondaires ainsi que transmissions à des tiers) soient
conformes aux souhaits des utilisateurs. Le problème posé par le
consortium est de mettre au point un vocabulaire unique entre lutilisateur
et le site ; de plus, ladaptation de ce vocabulaire à
des aires géographiques différentes na pas été envisagée.
Cependant, comme stratégiquement le P3P se doit dêtre applicable
au monde entier, il a adopté, pour son vocabulaire, les normes de
protection de données les plus "laxistes" : ceci
pose de nombreux problèmes, soulignés par la CNIL, pour sa mise
en uvre au sein de lUnion européenne. [Lire La
confidentialité en toute transparence - 28 avril 1999]
En effet,
une plate-forme technique doit sappliquer dans le cadre de
règles obligatoires en matière de protection des données qui assurent
un degré minimal de protection de la vie privée. Ainsi la CNIL estime
quavoir recours au P3P et à lOPS sans un tel cadre peut
faire passer la responsabilité de sa protection à lutilisateur
lui-même, ce qui est contraire au principe international selon lequel
cest au "responsable du traitement" quil incombe
de respecter les principes de protection des données.
De plus,
elle souligne le risque que le P3P, une fois intégré à la nouvelle
génération de logiciels de navigation, ninduise en erreur
les opérateurs européens quant à leurs obligations (droit daccès,
etc.). Le P3P pourra aussi semer la confusion parmi les utilisateurs,
quant à leurs droits.
La principale
crainte des utilisateurs de lUnion européenne qui rentrent
en contact avec des sites Web hors Union est que les données personnelles
fournies ne soient pas soumises aux règles de protection européennes.
Le P3P devrait fournir cette information, mais le vocabulaire standard
tel quil est actuellement développé ne le permet pas.
Ainsi le
P3P et lOPS doivent être intégrés aux logiciels avec des configurations
par défaut qui reflètent lintérêt pour lutilisateur
de bénéficier dun degré de protection élevé, sans être gêné
dans son accès aux sites. Aussi la conclusion du Groupe de protection
des personnes à légard du traitement des données à caractère
personnel de la CNIL est-elle dencourager les constructeurs
de logiciels à mettre au point des solutions compatibles avec les
règles européennes : en effet tous les logiciels de navigation
vendus ou diffusés dans lUnion doivent garantir quil
est impossible de conclure un accord en ligne qui contrevienne aux
lois en vigueur.
Suite
et fin (3/3)
2 août 1999
|