Août 1999

10,2 % : l'augmentation du nombre
de fichiers déclarés à la CNIL

Dominique ETIENNE

2 août 1999
suite (2/3)

Le commerce électronique

L’attention de la CNIL a été récemment attirée par une nouvelle technique de marketing "one-to-one". Le logiciel Colornet commercialisé par la société Spectrum offre un nouveau procédé de segmentation comportementale : Spectrum envoie depuis son propre site des questionnaires électroniques type vers ses sites clients, puis centralise les réponses afin de les interpréter sur la base des choix chromatiques effectués. L’internaute, qui se prête ainsi à une sorte de jeu, communique aussi des informations supplémentaires (sexe, âge, situation familiale, etc.) ainsi que son adresse e-mail, nécessaire pour recevoir les résultats du test. Une banque de données comportementales est ainsi constituée.
La CNIL, saisie du dossier, n’est pas sortie de ses prérogatives, jugeant qu’elle n’était pas apte à estimer le degré de fiabilité de l’analyse en elle-même. En revanche, elle a souligné que l’internaute devait pouvoir facilement exercer, par voie électronique, son droit d’opposition à la vente de son profil à des entreprises commerciales, ainsi que son droit d’accès et de rectification aux données le concernant.

Ce dossier reflète l’intérêt que représente la transparence du traitement des données personnelles sur Internet : la position de la CNIL est que la mise en œuvre des principes de protection des données personnelles est plus facile que ce que l’on croit.

Les services de plates-formes électroniques,ces intermédiaires entre commerçants et clients, qui leur permettent de faire des transactions en ligne, posent 3 types de questions : l’établissement de profils de consommation à l’insu des personnes ; l’exploitation de ces données sur de longues durées ; et surtout la dilution des droits des personnes due à l’absence d’une définition claire des responsabilités de chacun.

• Les plates-formes de paiement sécurisé

L’instruction du dossier de Télécommerce en 1998 a permis à la CNIL de poser ses exigences pour ce type de services. L'internaute, lorsqu'il commande sur le site du commerçant, doit être averti grâce au formulaire des possibilités d’accès aux données le concernant (accès en ligne ou par écrit auprès de France Telecom).
D’autre part il doit  être averti que les données sont transmises aux partenaires de la plate-forme : la banque et le commerçant. Il peut aussi s’opposer (par une case à cocher en ligne) à ce que le commerçant vende à des tiers les données transmises par la plate-forme. Si chaque commerçant peut établir à partir des informations de la plate-forme des profils personnalisés de sa propre clientèle (et adresser des offres personnalisées), France Telecom s’est engagé à ne pas utiliser les données nominatives à cette fin. Enfin, la durée de conservation des données nominatives doit être limitée à la durée de contestation des transactions.

Les galeries de commerce électroniques

La galerie commerciale virtuelle " Surf and Buy ", expérimentation menée par IBM durant 3 mois, a révélé des questions intéressantes. Elle associait une centaine d’enseignes commerciales qui bénéficiaient de prestations techniques communes (hébergement, gestion des commandes, analyses des données de connexion, etc.). IBM utilisait les données personnelles collectées pour le compte de ses clients afin de procéder pour elle-même à des études comportementales.

Dès la 1^ère visite du site, l’internaute était interpellé par un questionnaire destiné à l’inciter à ouvrir un compte client, dont le contenu, grâce à un cookie, était adressé au serveur à chaque fois que l’utilisateur accédait à une page du site permettant d’effectuer un achat. De plus, il avait la possibilité de constituer un panier virtuel d’achats potentiels, au fil des boutiques sélectionnées ainsi qu’un carnet d’adresses (où se faire livrer).

Cette expérience a permis à la CNIL de préciser ses recommandations en matière de portails. Notamment, toute intégration des données dans un cookie doit être portée à la connaissance de l’intéressé, afin qu’il puisse s’y opposer, le cas échéant.

Adresses électroniques : combattre la prospection commerciale non sollicitée

D’une manière générale, la CNIL souhaite que toute personne puisse consulter un site marchand sans avoir à s’identifier par ses nom, prénom ou adresse e-mail, s’opposer à recevoir des documents de prospection commerciale non sollicités par mail et enfin que son adresse électronique ne puisse être cédée ou utilisée pour un tiers sans son consentement. Elle préconise ainsi que l’information des personnes soit faite préalablement à toute diffusion sur Internet des données les concernant.

La CNIL s’est penchée sur les forums de discussion, qui sont un espace permettant la captation systématique des adresses électroniques.
Ainsi, elle exige que les responsables de ces sites affichent clairement l’objectif d’un forum, à savoir recueillir des contributions, et que les données qui y figurent ne puissent être collectées ou utilisées à d’autres fins. A cet égard, les méthodes du CRU de Rennes sont "exemplaires". Après concertation avec la CNIL, le CRU, qui héberge de multiples listes de diffusion, a non seulement adopté une charte d’utilisation comportant une interdiction d’effectuer des sollicitations commerciales, mais aussi décidé de ne plus rendre accessible aux abonnés d’une liste les coordonnées des abonnés d’une autre liste : une lutte contre la méthode du "cheval de Troie".

En matière de technologie de navigation, il faut enfin souligner l’avis rendu en janvier 1998 sur la plate-forme d’expression de choix en matière de respect de la vie privée (Platform for Privacy Preferences ou P3P) et standard d’établissement de profiles ouvert (Open Profiling Standard ou OPS).
Le projet P3P a pour objectif de mettre au point un système qui permettrait à l’internaute de consentir à ce qu’un site collecte ses données personnelles, à condition que les pratiques déclarées de ce site en matière de protection de la vie privée (utilisations premières et secondaires ainsi que transmissions à des tiers) soient conformes aux souhaits des utilisateurs. Le problème posé par le consortium est de mettre au point un vocabulaire unique entre l’utilisateur et le site ; de plus, l’adaptation de ce vocabulaire à des aires géographiques différentes n’a pas été envisagée. Cependant, comme stratégiquement le P3P se doit d’être applicable au monde entier, il a adopté, pour son vocabulaire, les normes de protection de données les plus "laxistes" : ceci pose de nombreux problèmes, soulignés par la CNIL, pour sa mise en œuvre au sein de l’Union européenne. [Lire La confidentialité en toute transparence - 28 avril 1999]

En effet, une plate-forme technique doit s’appliquer dans le cadre de règles obligatoires en matière de protection des données qui assurent un degré minimal de protection de la vie privée. Ainsi la CNIL estime qu’avoir recours au P3P et à l’OPS sans un tel cadre peut faire passer la responsabilité de sa protection à l’utilisateur lui-même, ce qui est contraire au principe international selon lequel c’est au "responsable du traitement" qu’il incombe de respecter les principes de protection des données.

De plus, elle souligne le risque que le P3P, une fois intégré à la nouvelle génération de logiciels de navigation, n’induise en erreur les opérateurs européens quant à leurs obligations (droit d’accès, etc.). Le P3P pourra aussi semer la confusion parmi les utilisateurs, quant à leurs droits.

La principale crainte des utilisateurs de l’Union européenne qui rentrent en contact avec des sites Web hors Union est que les données personnelles fournies ne soient pas soumises aux règles de protection européennes. Le P3P devrait fournir cette information, mais le vocabulaire standard tel qu’il est actuellement développé ne le permet pas.

Ainsi le P3P et l’OPS doivent être intégrés aux logiciels avec des configurations par défaut qui reflètent l’intérêt pour l’utilisateur de bénéficier d’un degré de protection élevé, sans être gêné dans son accès aux sites. Aussi la conclusion du Groupe de protection des personnes à l’égard du traitement des données à caractère personnel de la CNIL est-elle d’encourager les constructeurs de logiciels à mettre au point des solutions compatibles avec les règles européennes : en effet tous les logiciels de navigation vendus ou diffusés dans l’Union doivent garantir qu’il est impossible de conclure un accord en ligne qui contrevienne aux lois en vigueur.

Suite et fin (3/3)

2 août 1999