“Les données personnelles sont le nouveau pétrole de l’internet”. Et pourquoi pas aussi le levier d’une nouvelle fiscalité en France ? Selon nos informations, la mission chargée de réfléchir à une “fiscalité du numérique” et baptisée “Colin et Collin” du nom de ses deux auteurs, s’oriente vers une imposition déterminée par la politique des entreprises en matière de données personnelles. Qui dépasse donc largement le seul secteur numérique.
Coup de tonnerre pour tous ceux qui se frottaient déjà les mains à l’idée de prélever les seuls “GAFA” (Google, Amazon, Facebook et Apple), championnes de l’optimisation fiscale : le projet des deux rapporteurs impliquerait en effet toutes les firmes qui disposent d’informations sur leurs utilisateurs. Au-delà des géants du web, EDF, GDF, La Poste mais aussi les banques, les assurance ou les groupes de distribution alimentaire… bref ! toute activité suivant de près les faits et gestes de sa clientèle.
Une idée originale dans le débat plus connu sous le sobriquet réducteur mais significatif de “Taxe Google” et sur lequel nombre se sont déjà cassés les dents. Et qui ouvre autant de perspectives que d’interrogations, en matière de compétitivité comme de protection des données.
Le principe est simple : plus l’entreprise met à disposition les données qu’elle récolte, moins elle est taxée.
Le tout, sous contrôle de l’utilisateur. Qui pourrait ainsi accéder librement et par lui-même aux nombreuses informations laissées aux services auquel il souscrit. Cartes de fidélité, comptes bancaires, relevés de consommation électriques ou de gaz : les exemples ne manquent pas. Et alimentent déjà de nombreuses réflexions. “Smart Disclosure” aux États-Unis, “MiData” outre-Manche ou “Mes Infos” en France : tous ces mouvement visent à instaurer le partage des données personnelles. La FING, qui pilote le projet par chez nous, le résume en ces termes :
Si j’ai une information sur vous, vous l’avez aussi. Et vous en faites ce que vous voulez.
Le “customer empowerment” (donner davantage de pouvoir au consommateur) a donc déjà fait son petit bonhomme de chemin, sans jamais servir néanmoins de terreau fiscal. C’est là que la mission Colin et Collin intervient.
Car son intérêt n’est pas là – même si elle pourra toujours s’appuyer, dans l’avenir, sur cet argument séduisant d’un open data citoyen et personnalisé. Son objectif est d’abord de repérer de la valeur. Et de l’imposer. C’est le deuxième volet de la démarche : l’espoir que cette ouverture des données génère de l’innovation. Que des entreprises se saisissent de l’opportunité pour créer de nouveaux services. De la même manière qu’on installe une application tierce utilisant Facebook, l’utilisateur pourrait par exemple autoriser que des boîtes exploitent le volume de leur consommation de gaz ou la composition de leur caddy après passage en grande surface. L’objectif d’une telle imposition serait donc incitatif, à l’instar des taxes liées à l’environnement.
Un terrain à creuser, pour y trouver un véritable filon. Pour beaucoup, la manne serait gigantesque : “28 milliards de dollars (22 milliards d’euros) [selon] le cabinet Gartner pour 2012, et 36 milliards pour 2013″ souligne Julie Battilana, professeure associée à la Harvard Business School, dans un article paru il y a peu dans Le Monde et qui se penchait précisément sur la “mine d’or du Big Data”. Même son de cloche du côté du cabinet McKinsey, souvent cité en la matière, qui y voit “la prochaine frontière pour l’innovation, la compétition et la productivité”.
Un modèle qui aurait en plus l’avantage de s’étendre : si Facebook, Twitter, Google et consorts en font d’ores et déjà leurs fonds de commerce, l’ensemble des secteurs économiques exploitent aussi d’immenses bases de données, issues de leur clientèle.
Autant dire que si elle se concrétise, la piste privilégiée par la mission fiscalité numérique frappera un grand coup. A la manière de la TVA, dont se réclamait récemment l’un de ses rapporteurs, Nicolas Colin, dans les pages de Telerama :
Dans les années 1950, face à la complexification des échelles de production, on a créé la TVA, un impôt complètement nouveau. Aujourd’hui, c’est celui qui rapporte le plus d’argent à l’Etat. Il nous faut quelque chose d’aussi structurant.
Contacté par Owni, l’énarque refuse de communiquer avant toute publication du rapport. Mais le sujet ne lui est pas étranger. Bien au contraire.
Dans L’Âge de la multitude, co-écrit avec l’entrepreneur Henri Verdier, Nicolas Colin tentait déjà de trouver “la définition d’une fiscalité propre à l’économie de la multitude”. Autrement dit de cette masse d’individus connectés dont les créations et les interactions sont présentées comme générateurs de la précieuse “la valeur” :
[...] un État est fondé à imposer les revenus issus de l’activité en ligne de la multitude qui réside sur son territoire. Il s’agit d’une sorte d’impôt sur la multitude : un impôt sur la valeur créée par les résidents sur le territoire mais captée par une entreprise privée.
CQFD. En ce qui concerne l’idée. En pratique, la suggestion d’une fiscalité des données risque d’être consciencieusement bousculée si elle se confirme lors du dépôt des conclusions de la mission, en décembre prochain.
Les détails de sa mise en œuvre, en particulier, risquent de compliquer la tâche. “L’esprit de la démarche est ambitieux et pertinent mais l’application me semble très complexe”, confiait un proche du dossier à Owni. Comment mesurer l’ouverture des entreprises ? La taxe va-t-elle être calculée en fonction de cette ouverture ou en fonction du nombre d’utilisateurs du service ? Les interrogations pratiques sont légion.
L’impact, au-delà des frontières du web, risque aussi de faire des vagues. Pas sûr que les entreprises françaises apprécient d’être enrôlées dans une réflexion lancée pour tacler en priorité les Yankees du Net. Surtout qu’il s’agit ici d’ouvrir le porte-monnaie. Et que le climat actuel est plus propice à une guerre de territoires et d’influence, chaque secteur cherchant à reporter sur le voisin la charge de son financement. C’est particulièrement vrai pour la culture ou les fournisseurs d’accès à Internet (FAI), mais ça l’est aussi pour la presse, qui cherche à ponctionner une partie du trésor de Google.
Reste aussi à savoir ce qu’en pense l’une des principales concernées par le sujet, à savoir la Cnil. Car qui dit “données personnelles” dit supervision de la gardienne de la vie privée. Gardienne qui, toujours selon nos informations, n’auraient pas encore eu la possibilité d’échanger avec la mission fiscalité numérique sur des pistes qui la concernent pourtant au premier plan. Et qui nécessiteraient, si elles sont appliquées, une sérieuse révision de ses moyens. Contactée par Owni, la Cnil n’a pas donné suite à nos sollicitations.
Il y a quelques jours, la Présidente de l’institution, Isabelle Falque-Pierrotin déclarait néanmoins dans une table ronde organisée par Google : “les données, c’est le carburant de l’économie numérique”. Signe que la Cnil prend en compte le potentiel compétitif des données. Et que la porte n’est donc pas complètement fermée aux propositions de la mission Colin et Collin.
Au moment de sa sortie, l’application Facenuke – par laquelle Greenpeace retraçait les liens entre les acteurs de la filière du nucléaire – avait connu une couverture médiatique plus que faible. Mais juste assez pour agacer quelques-unes des personnes mentionnées.
Inspirée de la carte des cumulards du Cac 40 publiée par Alternatives économiques, Facenuke visait à exposer, le 13 avril (soit une semaine du premier tour de l’élection présidentielle) les liens entre les acteurs de la filière nucléaire à la manière d’un réseau social. Le site précise tirer ses informations de sources publiques, “les pages Wikipedia, les profils Linkedin ou encore les pages corporate des sites institutionnels des entreprises”. En dehors du blog de la journaliste environnement du Monde, Audrey Garric, rares sont les médias qui ont relayé l’initiative dans la dernière ligne droite de la campagne .
Le premier coup de buzz sonne le 17 avril à la publication d’une réponse par l’association Sauvons le climat, citée au travers de 22 membres dans Facenuke, qui accuse Greenpeace de jouer aux “big brother”. Critiquant la nature des informations mentionnées sur la carte, l’auteur de la note accuse la démarche de l’ONG :
Bien que la qualité comme la pertinence de cette liste soient risibles, il faut se demander quelles sont les motivations de Greenpeace en la publiant. Sûrement pas de donner un panorama objectif des dirigeants du nucléaire (Sauvons le Climat n’en est pas !), ni des acteurs du débat sur le nucléaire : ni la CRIIRAD, ni Global Chance, ni Sortir du Nucléaire n’y figurent…. Elle vise bien la mouvance “pro-nucléaire”. La démarche rappelle celle des intégristes d’Al Qaida qui lancent des fatwas contre les “mauvais” musulmans, les juifs et les infidèles.
La note se termine par l’annonce des demandes d’application de la loi informatique et liberté. En l’occurrence au titre de l’exercice du droit d’opposition contre le recueil de données personnelles et leur traitement par un système informatique automatisé.
Les plaintes ne sont pas nombreuses mais parviennent néanmoins assez vite en direct par une série de courriers dont Owni a pu prendre connaissance.
Le plus réactif est Hervé Nifenecker, Président de l’association Sauvons le climat, qui en appelle par courrier le 19 avril à l’article 38 de la loi “informatique et liberté”, demandant de retirer du site les informations le concernant (nom et CV) et de le déréférencer. Il précise par ailleurs s’être adressé à la Cnil pour obtenir exécution de sa demande et “l’arrêt [du] fichage”. A sa suite, Bernard Bigot, administrateur général du Commissariat à l’énergie atomique, contacte également l’ONG par écrit. Il dénonce des erreurs et des confusions entre personnes et institutions dans les liens établis par Facenuke :
Le manque de rigueur et de professionnalisme avec laquelle cette cartographie a été établie est aussi choquant que son objectif de stigmatisation qui rappelle de sombres heures de notre Histoire.
Viennent deux courriers similaires adressés par des cadres d’Areva en date du 22 juin. Les autres correspondances sont frappées du sceau de la Cnil, à commencer par une lettre du 29 mai, faisant suite à la demande de Bernard Bigot d’être retiré de la cartographie. Le courrier signale à l’ONG que “ce traitement [informatique des données] n’a pas fait l’objet de formalités déclaratives auprès de notre Commission préalablement à sa mise en œuvre.”
Contacté par Owni, la Cnil confirme faire valoir toute demande fondée invoquant le droit d’opposition. En réponse à un courrier de l’avocat de l’ONG, la commission avait fait valoir que l’application de la liberté de la presse (s’appuyant sur un arrêt de la Cour de Justice européenne) n’écartait en rien l’application du droit d’opposition prévu par la loi informatique et liberté. La démarche des “plaignants” du nucléaire était donc valide.
Face à l’injonction officielle, Greenpeace obtempère dans le courant de l’été :
Nous n’avons pas déclaré individuellement Facenuke mais le site de Greenpeace est enregistré par la Cnil et Facenuke est hébergé dessus. Nous avons commencé à retirer les personnes qui faisaient une demande motivée. Certains nous ont adressés des mails de demande qui n’ont pas fait suite quand nous avons demandé la motivation. Nous avons même reçu une lettre d’une personne se sentant lésée de ne pas apparaître et qui voulait être intégrée à Facenuke !
Basé sur un outil de visualisation, l’application de Greenpeace bute cependant quand il s’agit de retirer le directeur du CEA du listing. Sans Bernard Bigot, Facenuke, qui est censé reproduire les liens qui unissent les acteurs de la filière, n’est plus que l’ombre du réseau qu’il souhaite retracer. Le 18 octobre, le site est fermé. Mais des questions demeurent.
Nous ne comprenons pas pourquoi la procédure n’est pas passée sur le terrain de la diffamation : avec 800 à 1 000 visiteurs uniques par jour, l’application n’avait pas un succès fou mais elle circulait bien dans notre sphère habituelle. La seule hypothèse qui nous permet de l’expliquer, c’est que les plaignants ne souhaitaient pas nous faire de pub en passant à l’échelon judiciaire.
Au delà de l’application de la loi, la mise en veille de Facenuke permet à Greenpeace de se ménager l’option de créer une version 2.0 de son “réseau social du nucléaire”, tenant compte du nouvel équilibre des forces politiques et adaptée aux débats à venir sur la loi sur la transition énergétique. Une initiative à laquelle réfléchissent déjà le pôle web et l’équipe de campagne politique même s’ils considèrent “le risque que l’application ait une durée de vie limitée”.
“Le bug Facebook saisi par Fleur Pellerin qui renvoie la balle à la Cnil, elle-même concernée par des rumeurs de rapprochement avec l’Hadopi qui était déjà mentionnée dans le projet de fusion CSA-Arcep, dont le sort devrait être aussi tranché par la mission Lescure qui…” Ouf ! Reprenons notre souffle dans ce qui pourrait ressembler à une boutade, mais qui n’en est pas une. Enfin, pas complètement.
Car quiconque tente aujourd’hui de dégrossir les différents dossiers ouverts par le gouvernement dans le domaine du numérique se retrouverait, comme nous, face à un drôle de jeu de pistes. Un embrouillamini à tiroirs, où s’enchevêtrent thèmes et responsabilités, délais à géométrie variable et avis tout aussi fluctuant selon les personnalités en charge, le calendrier voire le mouvement des astres. Bref, un bon gros sacs de noeuds, pour reprendre le titre de notre infographie – sans être grossière. Reste à savoir comment on va bien pouvoir le démêler. Et sur ce point, c’est pas gagné.
Et encore ! Nous n’avons pris comme repères que trois chantiers : rapprochement des autorités des télécoms (Arcep) et de l’audiovisuel (CSA), installation de la mission Pierre Lescure et réflexions sur la fiscalité du numérique. Régulation, création à l’heure du numérique et taxation des acteurs du Net : trois thèmes présentés comme intimement liés par les acteurs impliqués dans le bouzin.
Dès le lancement du projet de “rapprochement entre le CSA et l’Arcep” par le Premier ministre les connexions se sont très vite établies en filigrane : le but principal de l’opération est la recherche, encore et toujours, de nouvelles formes de financements de la création. A ce sujet, Internet et antennes (télé ou radio) ne sont pas logés à la même enseigne et il faut que ça cesse. Alors hop, on change la régulation ! Et on met dans la boucle la mission Lescure aux côtés de Fleur Pellerin (ministre de l’économie numérique) et Aurélie Filippetti (Culture).
Même logique du côté de la mission dite Colin et Collin (du nom de ses rapporteurs), chargée de plancher sur la fiscalité du numérique. A l’occasion de l’installation officielle de sa mission, Pierre Lescure a été également prié de s’en rapprocher par la ministre de la Culture. Comme on vous le dit : le fil d’Ariane, ici, est cousu d’or.
Problème : qui dit plein de dossiers gérés par une tripotée de personnes dit forcément quelques hic dans l’organisation. Et c’est un euphémisme. Prenez le calendrier : les premières conclusions des ministres sur le dossier CSA-Arcep sont attendues d’ici fin novembre. Celles de Colin et Collin, d’ici fin décembre. Mais la mission Lescure elle, a jusqu’à mars 2013.
Du côté de Bercy, on assure que ce n’est pas un problème et que la mission Lescure participera dans les temps aux missions annexes qui lui ont été confiées. Son de cloche différent chez le voisin, qui devrait bel et bien donner toutes ses conclusions au printemps prochain. Qui aura donc le dernier mot ?
“On a le sentiment d’un manque de coordination, réagit Édouard Barreiro, de l’association de consommateurs UFC Que Choisir. Qui poursuit :
Sans compter que les discours sont très différents selon les interlocuteurs. Est-ce qu’à un moment ces gens vont se réunir autour d’une table pour se mettre d’accord ? Parce que là, on ne comprend rien !
Qu’on se rassure : la lumière devrait venir de Matignon. C’est aux équipes du Premier ministre qu’il reviendrait en effet de trancher dans le vif. Et cela bien avant la fin de la mission Lescure. Si du côté de Matignon, on semble bien avoir conscience de l’enchevêtrement des dossiers, il y a aussi la volonté d’avancer. Les gendarmes des télécoms et de l’audiovisuel devraient donc voir leur sort fixé d’ici la fin de l’année. Pour être gravé dans la loi sur l’audiovisuel, au début de l’année prochaine. Même tempo pour la fiscalité du numérique, appelée à être tranchée dès janvier.
Le pas de marche est donc confirmé. Et tant pis pour ceux qui appellent à la prudence. Ou qui s’inquiètent de voir les dossiers ouverts les uns après les autres, sans que la mesure de chacun semble avoir été prise. Le régulateur des télécoms, qui, il y a quelques jours à peine, plaidait pour une réflexion “mûrement réfléchie” dans le cas d’un rapprochement avec le CSA devrait par exemple en être pour ses frais. Selon nos informations, le gouvernement veut agir pour ensuite réfléchir : faire évoluer les appareils avant de s’attaquer au type de régulation souhaité. Car trancher cette question semble irréaliste dans les délais fixés. Et le calendrier est prioritaire.
Croisons les doigts pour que le Net français n’en ressorte pas trop égratigné. Car le rapprochement des régulateurs n’est pas qu’une simple affaire de tambouille institutionnelle : la forme qu’on lui donnera déterminera les règles qui s’appliqueront au contenu audiovisuel. Et comme le rappelle l’Arcep, la neutralité du net et la liberté d’expression sont en jeu. Rien que ça.
Sans compter que d’autres dossiers épineux s’ajoutent à ceux déjà évoqués. Les lois de la gravité semblent aussi s’appliquer à ce sac de noeuds numériques. N’en prenons qu’un : la volonté de certains éditeurs de presse, Laurent Joffrin en tête, de faire cracher Google au bassinet. En créant un droit voisin pour la presse, qui obligerait la boîte américaine à payer pour indexer les articles sur son moteur de recherche. Le fameux projet de “Lex Google” qui pourrait même aboutir, selon Telerama, au fait de sanctionner pénalement la création de liens hypertextes qui n’auraient pas fait l’objet d’une rémunération. Une fois encore, le gouvernement va et vient sur le sujet : Aurélie Filippetti jouant d’abord la prudence sur le dossier, pour y revenir de plus belle, hier. Une fois encore, ce projet pourrait sérieusement bousculer le Net français. Une fois encore, nous allons prendre une aspirine, respirer un grand coup et essayer de comprendre tout ça.
Croisons les doigts.
Nous y avons glissé quelques surprises, nos easter eggs maison. On a pensé à Laurent Chemla, qui détruit les confortables mythes de la télé connectée et de l’exception culturelle française, ou à Manach, notre dino du web, depuis longtemps poil à gratter de la Cnil et des histoires de vie privée. On a aussi glissé quelques sujets annexes, tel que le bug Facebook ou le mouvement des pigeons, qui sont venus un peu plus embrouiller les plans numériques du gouvernement. Ça nous a fait marrer, on espère qu’il en sera de même pour vous /-)
Cliquez sur les pour lire l’explication correspondante.
C’était prévu et ça n’a pas loupé : ce matin, la Cnil n’a pas été tendre envers Google, et sa nouvelle politique de confidentialité.
Lancée en mars dernier, ces nouvelles règles d’utilisation sont dans le collimateur des 27 gardiennes de la vie privée en Europe, qui exigent une “mise en conformité” du géant américain.
Il s’agit donc d’une demande d’ajustement, et non d’une demande de rétropédalage. Qui porte concrètement sur trois points précis repérés par les Cnil européennes, à la suite d’une longue enquête débutée en janvier dernier.
Google est d’abord sommé d’améliorer l’information qu’il met à disposition de ses utilisateurs. Isabelle Falque-Pierrotin, à la tête de la Cnil française qui a été chargée de mener l’audit, regrette un “déficit” en la matière :
Les utilisateurs ne savent pas quelles données sont collectées et quel usage sera fait de cette collecte.
Qu’ils détiennent un compte chez Google ou non : tous les internautes susceptibles d’utiliser les services de la boîte sont concernés, précise encore la présidente de la Cnil. Google est donc invité à les éclairer de façon plus claire et ergonomique, en prévoyant notamment un service d’informations “à la demande”. Les Cnil suggèrent également que les données ne soient pas toutes mises dans le même panier, proposant une différenciation des données sensibles (bancaires, de géolocalisation ou encore biométriques).
Deuxième pierre d’achoppement : la combinaison des données opérée par Google, jugée “excessive” par les Cnil européennes. “Il faut redonner la maîtrise à l’utilisateur”, a martelé Isabelle Falque-Perrotin, qui déplore :
Toutes les données peuvent être utilisées pour la publicité ciblée. Y compris par exemple celles de Google Docs.
Pour régler ce problème, une simplification du système d’opt-out, qui permet à l’utilisateur de choisir de ne pas participer au service, est exigée. “Aujourd’hui, six actions sont demandées aux utilisateurs pour qu’ils puissent se désengager”, a expliqué Gwendal Le Grand, chef du service expertise informatique de la Cnil.
Dernier point chaud, et non des moindres, la durée de conservation des données. “Google a refusé d’y apporter une réponse” a signalé sans détours la présidente de la Cnil. Un flou inacceptable que la firme de Mountain View est appelée à lever.
Reste à savoir sous quels délais. Et là encore, Isabelle Falque-Pierrotin ne mâche pas ses mots :
Google ne dispose pas de sept mois [la durée de la procédure, ndlr]. Mais plutôt de trois, quatre mois. S’ils n’agissent pas, on rentrera alors dans une phase contentieuse. Mais il est trop tôt pour en parler.
Concrètement, les gendarmes de la vie privée en Europe pourraient disposer de leur pouvoir de sanction. Dans le passé, a rappelé la présidente de l’autorité française, elles n’ont pas hésité à infliger une amende de ce géant du web. Ainsi, 100 000 euros en France pour l’affaire Google Street View.
Elles pourraient également envisager de ponctionner à hauteur de 2% le chiffre d’affaire réalisé par Google au niveau mondial. Une éventualité abordée, comme l’a relevé un journaliste présent dans la salle, dans le projet d’un nouveau cadre de régulation européenne, présenté en janvier dernier [PDF]. Mais selon Isabelle Falque-Pierrotin, “cette discussion n’est pas opportune à ce stade.”
C’est la Cnil française qui a encore été désignée pour assurer “le service après-vente” de l’enquête, en “se rapprochant de Google”.
Ce dernier serait au courant de son sort depuis mi-septembre, indique encore la présidente de la Cnil. “Mais nous avons envoyé la lettre officielle aujourd’hui” [PDF].
Du côté de Google, comme d’habitude, seul un communiqué laconique prévaut. Mais le géant américain semble être décidé à ne pas se laisser faire. Peter Fleischer, du Global Privacy Counsel de la boîte n’en démord pas :
Notre nouvelle politique de confidentialité démontre notre engagement continu pour protéger les informations de nos utilisateurs et créer des produits de qualité. Nous sommes confiants dans le fait que nos politiques de confidentialité respectent la loi européenne.
Le bras de fer est donc loin d’être terminé. Et l’ambiance pas vraiment au beau fixe. “La collaboration avec Google a été d’un niveau moyen” concède la présidente de la Cnil, qui assure néanmoins échanger en permanence avec la boîte.
Preuve de cette bonne entente, le lobbyiste attitré de la firme en France, Benoit Tabaka, laissait entendre ce matin qu’il ne pouvait pas assister à la conférence de presse. Fin de non recevoir confirmée dans la foulée par le service communication de Google France qui dit “regretter ne pas avoir eu l’autorisation de participer” au raout de ce matin.
Interrogée par Owni sur cette interdiction, Isabelle Falque-Pierrotin a botté en touche, indiquant qu’il s’agissait d’une réunion “pour la presse et pas pour Google”. Effectivement, la collaboration est au top.
Mise à jour (19h34) : Lettre A maintient
Une guerre de position s’engage. Contacté par Owni suite à l’appel d’Orange, Grégoire Pinson, rédacteur en chef de la lettre d’information à l’origine du papier en cause, maintient. “Je ne comprends pas où il y a pu avoir malentendu”, regrette-t-il.
Il explique avoir contacté les équipes d’Orange afin d’aborder avec elles un éventuel projet de mise en place “de forfaits différenciés selon les usages des internautes”. L’opérateur aurait d’abord confirmé travailler sur ces offres, avant “de parler de lui-même de DPI.” Le journaliste aurait alors demandé la provenance de cette technologie, le FAI évoquant Qosmos, avant de citer l’expérience du fameux panel “Orange Préférences”.
Mise à jour (18h50) : un “amalgame”
Suite à nos sollicitations, Orange nous a indiqué avoir été victime d’un “amalgame important”. Lettre A aurait confondu la mise en place l’été dernier d’une étude marketing intitulée “Orange préférence”, utilisant effectivement la technologie DPI et placée sous le contrôle de la Cnil, avec le projet d’instauration d’offres Internet différenciées. “Nous n’avons aucun projet de commercialiser des offres différenciées, encore moins en utilisant une technologie DPI”, indique le service presse.
Aujourd’hui terminé, le panel en question était sur la base d’un volontariat. Alain Bazot, le président de l’UFC-Que Choisir, s’était néanmoins étonné de cette pratique, qui revenait selon lui “à surveiller votre navigation Internet à la trace pour connaître vos centres d’intérêt et ne vous proposer que la publicité qui vous intéresse.” Il concluait alors : “entre cette nouvelle méthode optionnelle et la clause générale dénoncée, la frontière est mince et Orange semble nager en eaux troubles… A vouloir se plonger dans les flux, Orange risque bien de boire la tasse !”
Interrogé sur son utilisation de la technologie, Orange nous assure “ne faire plus aucune utilisation de la technologie DPI” sur sa clientèle.
Juré, promis, craché : ils ne toucheraient pas à l’Internet illimité ! En tout cas, c’est ce que les opérateurs français s’étaient évertués à faire croire il y a un an, suite à la publication d’un article sur Owni, révélant la volonté de quelques uns à limiter les abonnements Internet.
La Lettre A en date du 12 octobre, reprise par Rue89, indique que l’opérateur historique n’a pas tenu ses promesses. Orange préparait “activement des offres de débits différenciés”, avec l’aide de l’équipementier… Qosmos ! L’entreprise française suspectée d’avoir permis à Bachar al Assad de surveiller sa population. Et de la fameuse technologie de DPI, permettant de fouiner dans les flux Internet des internautes. Pratique pour surveiller massivement une population donc, ou pour mettre en place, comme ici, un système de forfaits différenciés en fonction des usages. Imaginez : un abonnement allégé pour aller sur Facebook et consulter ses mails, un autre plus coûteux pour faire du streaming et pourquoi pas encore un autre pour passer des coups de fil sur Skype ?
Si le scénario semble surréaliste dans un pays comme le nôtre, où l’abonnement Internet illimité a été démocratisé avec l’arrivée de Free en en 2002, il est bel et bien réel dans d’autres pays. Ainsi en Grande-Bretagne ou bien encore aux États-Unis. Ce pays dont le modèle de télécommunications faisant tant rêver, à l’époque, le porte-parole d’Orange qui s’exclamait :
Les tarifs américains, c’est le rêve de tous les opérateurs !
Le processus serait déjà bien entamé. Selon Rue89, la La Lettre A évoquerait même l’existence de tests, menés de concert par Orange, Alcatel-Lucent et la Cnil, afin d’identifier les usages des internautes et de “trouver des axes de différenciation des services”. A suivre…
Loltoshop maison sur une photo de Guillaume Paumier
]]>Google pourrait bien se faire prochainement taper sur les doigts par les gardiennes de la vie privée en Europe ! C’est en tout cas ce que croit savoir le Guardian, qui avançait il y a deux jours :
Le changement unilatéral de la politique de confidentialité de Google en mars dernier devrait subir dans les jours qui viennent les foudres des commissions européennes en charge de la protection des données.
Dans le viseur : la drôle de tambouille opérée il y a quelques mois sur ses comptes utilisateurs. Google avait alors décidé de réunir en un bloc allégé les conditions d’utilisation (CGU) de ses différents services : YouTube, Gmail, Google+ et compagnie. Unifiant au passage les informations laissées par un même utilisateur sur les sites en question : historique de navigation, mails ou bien encore vidéos et chaînes favorites. Bref, tout.
À en croire l’argumentaire d’alors, cette rénovation permettait d’offrir plus de lisibilité aux utilisateurs, en instaurant une “expérience magnifiquement simple” à travers l’univers magique de Google.
Mais la Cnil ne croit pas vraiment au monde merveilleux des Googlenours, et levait déjà un sourcil circonspect face à ces changements, qui apparaissent surtout “magnifiquement simples” pour une utilisation bien plus fine et ciblée des données personnelles. Elle n’a pas hésité à tacler l’opération de Google dès son lancement, en mars dernier, évoquant son “inquiétude” et allant jusqu’à réclamer au géant américain de mettre ce chantier en pause :
[...] Au lieu d’améliorer la transparence, la formulation des nouvelles règles et la possibilité de combiner des données issues de différents services soulèvent des inquiétudes et des interrogations sur les pratiques réelles de Google. Avec les nouvelles règles, Google pourra suivre et associer une grande partie des activités des internautes, grâce à des produits comme Android, Analytics ou ses services de publicité.
[...]
La CNIL a envoyé une lettre à Google pour lui faire part de ces inquiétudes. Au regard des premières conclusions de cette enquête, la CNIL a réitéré, pour le compte du groupe des CNIL européennes, sa demande à Google d’un report de la mise en œuvre des nouvelles règles.
Face à ces inquiétudes partagées dans différents pays de l’Union, la Cnil annonçait dans le même temps avoir “été désignée par les CNIL européennes pour mener l’analyse des nouvelles règles de confidentialité de Google”. Réunis au sein d’un groupe de travail baptisé “Article 29″, ces gendarmes de la vie privée ont en effet pour ambition d’orienter la Commission européenne en matière de protection des données personnelles.
Toujours selon la Cnil, les premiers examens n’étaient pas bons et laissaient croire que Google ne respectait “pas les exigences de la Directive européenne sur la protection des données (95/46/CE) en termes d’information des personnes concernée.” Une position alors vivement partagée par Viviane Reding, commissaire européenne en charge de la justice, qui lançait dans un entretien au Guardian :
Nous ne sommes pas en train de jouer à un jeu ici !
S’en était suivie une véritable partie de ping-pong institutionnel, fait de rencontres, de lettres [PDF] et d’envois de questionnaires, visant à élucider l’utilisation que fait Google de nos données. Et qui n’a pas permis à la Cnil de lever ses inquiétudes. En clair, c’était mal barré pour Google en Europe et la situation ne semble pas s’être arrangée avec le temps…
Toujours selon le Guardian, les Cnil européennes peuvent exiger de Google qu’il annule ces changements, bien que le scénario soit peu probable. “Ce serait comme vouloir ‘retirer les œufs de l’omelette’”, estime un avocat conseil du groupe de pression Icomp, présenté par le journal anglais comme “critique des politiques de Google”.
Contactée hier par Owni, la Cnil n’a pas souhaité faire de déclarations dans l’immédiat, précisant qu’une communication sur la question était prévue dans une semaine. Rendez-vous est donné le mardi 16 octobre 2012 à 10h30. De son côté, Google indique ne pas avoir reçu de “notification ou de message en ce sens”, et déclare ne pas avoir “de commentaire a partager.”
Le 13 juillet dernier, la Cnil a publié au Journal officiel une délibération dispensant de déclaration les fichiers locaux des établissements scolaires du secondaire du public et du privé. Il s’agit de la 17ème dispense délivrée par l’autorité administrative chargé de veiller à l’application de la loi Informatique et Libertés de 1978. Ces fichiers, aux jolis noms de SACOCHE, PRONOTE, OTM ou CERISE, contiennent un certain nombre de données personnelles sensibles :
nom, prénoms, sexe, date et lieu de naissance, adresse, adresse électronique de l’élève fournie par l’établissement, nombre de frères et sœurs scolarisés, et, à titre facultatif et uniquement si l’intéressé y consent : la nationalité (uniquement en vue de l’établissement par le ministère de traitements statistiques anonymes), l’adresse électronique personnelle de l’élève, le numéro de téléphone portable de l’élève. [...]
Scolarité de l’élève : établissement d’origine, classe, groupe, division fréquentés et options suivies pendant l’année scolaire en cours et l’année scolaire antérieure, année d’entrée dans l’établissement, diplômes obtenus, position (non-redoublant, redoublant, triplant), décision d’orientation et décision d’affectation, notes, acquis au sens du décret n° 2007-860 du 14 mai 2007 relatif au livret personnel de compétences, noms des enseignants, absences, sanctions disciplinaires, vœux d’orientation ;
“Une consultation rapide des autres dispenses fait apparaître le contraste entre le champ couvert par la 17ème dispense par rapport aux autres, note un membre du Collectif national de résistance à Base élèves (CNRB), qui s’oppose au fichage des élèves : le fichier électoral des communes, les listes de fournisseurs d’une entreprise, liste des abonnés à une revue, liste des chambre d’hôtes, etc. Tout ceci me semble anodin quant aux contenus donc aux atteintes possibles à la vie privée et aux libertés. Certes, tout ceci ne doit servir qu’en interne aux établissements mais quand même.”
Toutes ces données iront ensuite alimenter des fichiers nationaux dont le très polémique BE1D (base élèves premier degré). Interrogée par Owni, la Cnil a répondu qu’elle n’y voyait pas de problème :
Jusqu’à l’adoption de cette dispense, les établissements scolaires devaient adresser une déclaration à la CNIL qui donnait lieu à l’envoi d’un récépissé après vérification du caractère complet du dossier. Cela générait un flux important pour la CNIL sur des traitements connus par elle et soulevant peu de problématiques juridiques.
Dès lors, la CNIL a souhaité adopter une dispense actualisée et pédagogique, qui responsabilise davantage le responsable de traitement en cas de contrôle, pousse les chefs d’établissements à vérifier avec plus d’acuité s’ils entrent ou non dans le cadre de ladite dispense, que ce soit en termes de données traitées, de destinataires ou de sécurité.
Pourtant, la sécurité des fichiers scolaires a récemment été remise sur en cause. On avait pu voir trainer sur Internet des données nominatives sensibles tirées des dossiers AFFELNET d’affectation dans les collèges et les lycées, extraits de SCONET et BE1D :
Une fuite qui devrait inciter la Cnil à une vigilance renforcée. Interrogée à ce sujet, elle réaffirme la responsabilité des chefs d’établissement :
Être dispensé de déclaration n’exonère les établissements d’aucune de leurs obligations au titre de la loi informatique et libertés. En particulier, ils sont tenus de garantir la sécurité des données. Une série de contrôles a été effectuée en début d’année 2012 auprès de 5 collèges et lycées en ce sens.
Une responsabilisation qui amuse bien le membre du CNRBE :
C’est peu de dire que la loi “Informatique et Libertés” est peu connue des directions d’établissement (et même des rectorats). Jusqu’à cette dispense, je serais curieux de savoir combien de déclarations ont été faites par des établissements ou des rectorats, elles doivent être très rares. Dans ce contexte, la lecture rapide de la 17 va les confirmer dans l’idée qu’ils peuvent faire ce qu’ils veulent. Par exemple, communiquer des listes d’élèves selon leur adresse et leur établissement et leur classe au Conseil général pour organiser le transport scolaire. Ce n’est qu’implicitement que la 17 dit qu’elle ne s’applique pas à une telle fourniture : qui va le voir ?
Nous avons demandé à la Cnil le résultat du contrôle des 5 établissements, sur les quelque 11 300 que compte la France dans le secondaire, et sa réponse semble corroborer ces craintes :
Les contrôles menés en début d’année auprès de plusieurs collèges et lycées ont conduit la Commission à constater certaines insuffisances concernant :
- les formalités préalables que ces établissements doivent accomplir auprès de la CNIL ;
- l’information des élèves et de leur représentant légaux sur le traitement de leurs données et les droits dont ils disposent ;
- les mesures mises en œuvre par ces établissements pour assurer la sécurité des données traitées.
Il est vrai que les fichiers scolaires ne semblent pas la priorité de la Cnil. Ainsi, Base élève premier degré avait fonctionné plus d’un an sans attendre la délivrance du récépissé de la déclaration auprès de la Cnil, de 2004 à 2006, comme l’avait détaillé le Conseil d’État dans sa décision du 19 juillet 2010, suite à sa saisine par le CNRBE. Et le conseil des sages avait jugé excessive la durée de conservation de 35 ans des données dans Base Nationale des Identifiants Elèves (BNIE), un base nationale qui rassemble les immatriculations uniques de chaque élève depuis son entrée dans le système scolaire. Initialement, le ministère de l’Éducation nationale (MEN) souhaitait qu’elle soit de 40 ans, la Cnil avait tiqué, le MEN avait donc proposé 35 ans. Cette fois-ci, la Cnil n’avait plus tiqué.
Un jour, la Cnil aura le beurre et l’argent du beurre : des missions élargies ET des moyens augmentés en conséquence. Car pour l’heure, si elle se félicite de voir son champ agrandi dans son dernier rapport d’activité (pdf), elle déplore aussi de ne pas avoir les moyens d’y faire face. Une antienne qui n’a rien de nouveau.
En 2011, la commission chargée de veiller à l’application de la loi “Informatique et Libertés” de 1978 a récupéré deux chapitres conséquents. Comme elle l’appelait de ses vœux, la Loppsi 2 lui a confié le contrôle des caméras de vidéoprotection vidéosurveillance relevant de la loi de 1995, celles sur la voie publique.
En 2011, leur chiffre est estimé à 897 750 par les commissions départementales de la vidéoprotection. Avant, elle ne devait s’occuper que de celles relevant de la loi de 1978, c’est-à-dire dans des locaux qui ne reçoivent pas de public (bureaux par exemple).
Soit comme le calcule le secrétaire général Yann Padova en introduction :
Un nombre de caméras près de 25 fois supérieur.
Second bébé, qui découle de la transposition de la directive révisant le paquet Telecom, les entreprises du secteur des télécommunications doivent désormais notifier les violations de données à caractère personnel à la CNIL. Et là, c’est l’inconnue :
À cette heure, il est encore très difficile de pouvoir quantifier le nombre de failles de sécurité qui sont susceptibles d’être déclarées auprès de nos services.
En revanche, la Cnil est en sûre, les onze postes qu’elle a obtenus en plus l’année dernière, soit un total de 159, ne pèsent pas lourds :
Cette augmentation significative des moyens reste encore insuffisante, comme l’ont souligné les récents débats parlementaires lors du vote de la loi de finances pour 2012.
Même si l’organisme a multiplié les contrôles, 385, soit +25% par rapport à 2010, elle est loin de pouvoir en faire autant que l’enjeu le nécessite.
Dans ce contexte, le nouveau record de plaintes enregistrées, 5 738, est à double tranchant : il est à la fois le signe que les gens sont de plus en plus sensibles au sujet et reconnaissent la Cnil comme l’organisme de référence, mais il la renvoie aussi à ses limites humaines. Et encore, ce chiffre est à relativiser à la hausse, souligne-t-elle :
Ces chiffres sont d’autant plus remarquables qu’ils ne tiennent pas compte des milliers de demandes écrites de particuliers directement traitées par le Service d’orientation et de renseignement du public (SORP) de la CNIL, autrefois comptabilisées comme plaintes. Ils n’intègrent pas, non plus, les multiples questions téléphoniques de particuliers qui ont été prises en charge par le SORP et par le service des plaintes.
La hausse concerne tous les secteurs, et en particulier le “droit à l’oubli” (+ 42%, sans que le rapport ne donne plus de détails que les deux lignes qu’elle y consacre) et la vidéosurveillance, +30%. La surveillance des salariés est aussi une donnée notable : les plaintes à ce sujet concerne la moitié des 12% des plaintes relevant de la gestion des ressources humaines. La Cnil a observé deux tendance à la hausse significatives :
Cybersurveillance (+59%) : il s’agit des dispositifs mis en œuvre par l’employeur pour contrôler l’utilisation des outils informatiques et l’accès à la messagerie électronique.
Sécurité des données de ressources humaines (+27%) : faille de sécurité du réseau informatique ou erreur humaine ayant pour conséquence la divulgation, aux collègues ou plus largement sur internet, de données telles que le numéro de sécurité sociale, les revenus ou les coordonnées des salariés.
Les 150 contrôles effectués par la Cnil sur les dispositifs de vidéosurveillance montrent que l’outil évolue encore trop souvent dans l’illégalité :
Une absence d’autorisation ou absence de renouvellement préfectorale (environ 30 % des contrôles)
Une absence de déclaration à la CNIL pour les parties de dispositifs relevant de la loi de 1978 (environ 60 % des cas)
Une mauvaise orientation des caméras (environ 20 % des contrôles). Certains contrôles ont permis de constater des caméras “cachées”, notamment dans les détecteurs de fumées.
Une durée de conservation excessive (environ 10 % des contrôles)
Des mesures de sécurité insuffisantes (environ 20 % des contrôles).
Au passage, la Cnil a relevé que “l’utilisation de caméras factices et les dysfonctionnements pouvant affecter les dispositifs vidéo (absence d’enregistrement, mauvaise qualité de l’image, etc.” Si cela n’a rien d’illégal, ces constats apportent de l’eau au moulin des rapports démontrant l’inefficacité de la vidéosurveillance.
Chaque année, le rapport de la Cnil est l’occasion de refaire le même triste constat sur les fichiers d’antécédents judiciaires, Judex, Stic, ancien fichier des RG… : ils sont truffées d’erreurs lourdes de conséquences. En effet, “on évalue à 1,3 million le nombre d’emplois concernés par des procédures administratives“, rappelle la Cnil. Fourre-tout record avec 68% de la population française fichées, le STIC mélange mis en cause mais aussi et surtout victimes.
Si une personne s’est vu refuser un emploi en raison de son inscription dans un de ces fichiers, elle peut faire valoir son droit d’accès indirect pour vérifier les données. 2099 personnes y ont eu recours en 2011 :
Comme le résume la Cnil dans la page qu’elle consacre ensuite à des témoignages de gens victimes d’erreurs :
Ça la fiche mal !
Et ça risque de la ficher encore mal un certain temps. Selon un rapport des députés Delphine Batho et Jacques-Alain Benisti, il existe 80 fichiers de police, “dont un certain nombre demeurent encore illégaux au regard des dispositions de loi ‘Informatique et Libertés’.”
Si un amendement de la Loppsi doit “atténuer l’effet pénalisant de la consultation [des fichiers d'antécédents judiciaires] en termes d’emploi”, son effet est pour l’instant virtuel :
L’application effective et immédiate de cette disposition à l’ensemble des enregistrements existants (environ 6,5 millions de personnes mises en cause enregistrées dans le fichier STIC et 2,5 millions dans le fichier JUDEX en 2011) se heurte néanmoins aux difficultés structurelles de mise à jour de ces fichiers qui dépend, dans une large proportion, de la communication aux services de police, par les procureurs de la République, des suites judiciaires intervenues pour chacune des infractions relevées.
—
À lire aussi Deux millions de contrôles au faciès et Le cadeau empoisonné des fichiers policiers
]]>Le 26 mai 2012, le gouvernement britannique devait mettre en application la transposition dans le droit anglais de la législation européenne sur la protection des données. Mais contre toute attente, le parlement a pourtant fait modifier le texte onze heures avant la date limite livrant une version qui devient beaucoup moins contraignante pour les éditeurs de sites web.
Alors que le texte précédent était basé sur de l’opt-in (le site devait obtenir le consentement préalable de l’internaute sur les cookies transitant par sa plateforme avant que les cookies ne puissent recueillir des informations) le texte remanié exige des sites qu’ils fassent des efforts en matière de clarté sur la nature des cookies transitant par leur plateforme. Il implique également que les internautes aient un “niveau de compréhension général” de ce qui est fait de leurs données personnelles lorsqu’ils arrivent sur une page.
Les systèmes existants auront donc simplement à “faire les changements qu’ils estiment être les plus pratiques” pour se mettre à niveau et être transparents sur leur politique en matière de confidentialité des données. Il pourra s’agir d’une icône sur laquelle cliquer, d’un e-mail envoyé, ou d’un service auquel l’internaute pourrait souscrire.
Le texte insiste par ailleurs sur l’importance de l’information procurée à l’utilisateur. Il indique que ce dernier doit être pleinement informé du fait qu’une simple lecture des informations sur la politique de gestion des cookies par le site peut valoir consentement.
En d’autres termes, un site peut au minimum afficher une note d’information renvoyant vers une explication précise des buts de chaque cookie en activité. Cette note d’information censée être visible agit comme un faire valoir et suppose que l’internaute anglais accepte les conditions du site en matière de vie privée même s’il ne l’a pas lue.
Dans le meilleur des cas, le site demandera explicitement à l’internaute s’il accepte ou refuse les cookies. La loi n’est cependant pas claire sur cet accord potentiel de l’utilisateur. On peine à savoir si le consentement concernera les cookies dans leur intégralité ou si l’utilisateur pourra ou non refuser des cookies selon leurs fonctions.
Si la loi, avant modification, donnait la responsabilité de la gestion des cookies aux sites, la nouvelle version transfère la responsabilité aux internautes à qui il appartiendra désormais de paramétrer leurs navigateurs ou d’utiliser les logiciels nécessaires pour gérer au mieux ces cookies. Problème, les moyens techniques permettant de gérer les cookies en opt-in sont encore peu nombreux et souvent d’une efficacité relative.
En outre, en remplaçant le terme de consentement préalable par le terme de consentement implicite il crée une large faille. L’internaute pourrait “accepter” (lire les informations sur les cookies opérant sur le site qu’il visite) la charte du site en matière de vie privée alors même que certains cookies pourraient déjà avoir été envoyés sur son ordinateur.
Comme le souligne le commissaire à l’information du gouvernement anglais sur le sujet, certains sites envoient des cookis dès que l’internaute accède à la page d’accueil. Dans ce cas, le texte encourage les sites à
prendre des mesures pour réduire au maximum le délai temporel avant lequel l’utilisateur est informé de la nature des cookies présents et de leurs buts.
Par ce revirement soudain, le gouvernement anglais pond un texte probablement plus pragmatique dans sa mise en application mais beaucoup moins performant en matière de protection des données. Non seulement la loi pose comme base le consentement implicite de l’internaute , mais le gouvernement se dédouane par la même occasion de toute responsabilité en matière de moyens techniques de gestion des cookies. À l’utilisateur et aux éditeurs de sites de trouver les moyens de protéger leur données.
Enfin, en raison de l’impossibilité de faire une chasse aux dizaine de milliers de sites de facto considérés comme illégaux, la loi demeure quasi inapplicable…
Ce 26 mai 2012, tous les sites web anglais ne respectant pas la nouvelle loi relative à la défense de la vie privée sur le web seront passibles de poursuites et d’amendes pouvant atteindre la modique somme de 500 000 livres. L’effet d’annonce est renversant, au moins autant que le constat : la loi est inapplicable.
Cette nouvelle législation récemment rappelée par la Cnil, issue du Parlement européen, a pour but affiché une harmonisation des règles pour tous les pays de l’UE afin de garantir aux citoyens un meilleur niveau de protection de leurs données personnelles. Si la directive s’applique à tous les pays de l’UE, elle laisse toutefois une marge de manœuvre quant à sa transposition.
Selon l’adaptation britannique de la loi, tous les sites web devraient à partir du 26 mai passer en “opt in”. Autrement dit, obtenir le consentement préalable de l’internaute sur les cookies transitant par leur plateforme avant que ces derniers ne puissent recueillir des informations. Le texte vise tous ceux qui servent d’une manière ou d’une autre, à recenser les données personnelles d’un internaute (exceptées les données de navigation).
Les cookies, ce sont ces petits fichiers textes qui aident à stocker et à organiser les informations des internautes. S’ils stockent des données en tous genres (mot de passe, langue choisie, etc.) censées faciliter la navigation, ils permettent également de constituer un profil de l’utilisateur en recensant les sites web qu’il visite, ses goûts, les publicités auxquelles il est le plus sensible, etc. C’est également ce qui permet à tout le secteur de la publicité comportementale en ligne de prospérer en proposant des annonces ciblées.
Le responsable légal du site sera donc obligé par n’importe quel moyen de demander à l’internaute qui arrive sur la page d’accueil s’il accepte ou non les cookies. Il devra également détailler leurs buts précis et la société qui en est à l’origine. Le gros problème, c’est qu’actuellement, aucun navigateur n’est techniquement en mesure de faire la distinction entre les différents types de cookies.
Autrement dit, il ne peut reconnaitre ceux qui servent à rassembler les données personnelles de l’utilisateur pour le compte d’une régie publicitaire de ceux qui servent à retenir vos mots de passe et la résolution de votre vidéo.
Il serait bien sûr possible de mettre en place une banderole demandant l’autorisation à l’internaute pour chacun des cookies présent sur un site, mais l’opération risquerait de le perturber, de lui poser des questions qu’il ne comprend pas forcément, et d’aboutir finalement à un refus des cookies par l’utilisateur.
On comprend mieux dès lors, le peu d’engouement des éditeurs de sites à appliquer la loi.
En effet, en dehors de certains sites comme “youronlinechoices” ou de l’option “do not track” sur certains navigateurs qui limitent l’utilisation par un tiers de ses données personnelles, aucun outil technique ne semble actuellement au point pour respecter ces directives.
On ne peut pas reprocher au gouvernement anglais d’avoir précipité la mise en œuvre de la loi. Cette dernière, qui devait normalement s’appliquer en août 2011, avait été repoussée d’un an pour laisser le temps aux différents acteurs de se mettre en conformité.
Malgré ce délai, Christopher Graham, le patron de l’Information Commissioner Office (la Cnil Britannique) a annoncé il y a peu que la majorité des sites publics comme privés ne seront pas à même de respecter la date limite imposée.
Apparemment embarrassé, M. Graham a également précisé que son organisation ne s’engagerait pas dans une croisade contre les sites illégaux au matin du 27, mais prendrait des sanctions au cas par cas si aucun effort allant dans le sens de la loi n’avait été engagé par les responsables légaux. Une déclaration qui se veut rassurante. En même temps, la majorité des sites du gouvernement anglais eux-mêmes ne seront pas en règle à la date prévue…
En France, c’est dans l’ignorance la plus totale que la même loi (en fait deux directives et un règlement) dite “Paquet télécom” a été transposée et mise en application il y a presque un an.
Elle stipule (c’est la Cnil qui le précise) “qu’il faut, tout d’abord, informer la personne de la finalité du cookie (ex : publicité), puis lui demander si elle accepte qu’un cookie soit installé sur son ordinateur en lui précisant qu’elle pourra retirer à tout moment son consentement“. Comme l’explique Sophie Nerbonne, directrice adjointe des affaires juridiques à la Cnil :
La loi s’applique à tous les sites notamment aux réseaux sociaux et aux boutons like et tweet des sites partenaires de Twitter et Facebook (pour diffuser un article une vidéo, etc). Par contre, l’obligation de recueil de consentement ne s’applique pas aux cookies liés aux préférences linguistiques, à la mise en mémoire d’un mot de passe, à la résolution d’une vidéo visionnée online, à un cookie flash ou encore à la mémoire relative à un panier d’achat. En effet, ces informations sont directement liées à une demande de l’utilisateur et ont pour finalité exclusive de faciliter la communication.
L’immense majorité des sites web français sont donc également dans l’illégalité la plus totale et risquent des sanctions financières pouvant aller jusqu’à 300 000 euros.
À la différence de la Grande-Bretagne, la transposition en droit français implique qu’au lieu d’avoir des cookies en “opt in”, les internautes doivent être informés par les éditeurs de sites “de manière claire et complète de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement”.
Concrètement, les responsables de plateformes françaises ont l’obligation de placer une bannière sur leur page d’accueil renvoyant à une note qui explique en détail à quoi servent précisément les cookies, d’où ils proviennent et comment faire pour les refuser.
La Cnil, dont le rôle est de faire respecter la loi, doit donc chasser tous les sites qui dans un coin n’ont pas affiché un bordereau ou un moyen d’informer les internautes, ce qui est matériellement impossible. En témoigne Sophie Nerbonne :
Nous savons pertinemment que la majorité des sites sont dans l’illégalité et il faudra évidemment des mois pour trouver les solutions et pour les faire rentrer dans la conformité. C’est compliqué car certains d’entre eux ont aujourd’hui tellement de cookies qu’ils ne savent même plus à quoi ils servent. Sur le plan des moyens, la Cnil peut s’auto-saisir et nous avons déjà procédé à des contrôles et à des mises en demeure même si nous nous montrons compréhensifs. En réalité, nous comptons surtout sur la persuasion et la prise de conscience des internautes et des professionnels quant aux enjeux cruciaux du respect de la vie privée sur le web. Nous comptons également sur le développement prochain des moyens techniques permettant de mettre les sites en conformité
En dehors des plaintes de particuliers concernant certains sites, la Cnil est donc obligée de s’attaquer aux plus gros acteurs sans être aucunement en mesure de faire respecter la loi à court ni même à moyen terme pour les millions de site actuellement hors la loi.
Les enjeux économiques de l’application de la loi sont, eux aussi, motif de friction. Si les internautes décidaient massivement de refuser les cookies pour protéger leurs données personnelles, c’est l’ensemble des acteurs de la publicité comportementale et, par extension, les éditeurs de sites web, qui seraient privés d’une partie non négligeable de leurs revenus comme l’explique Fabienne Granowski du Syndicat national de la communication directe à Owni:
Nous voulons trouver l’équilibre entre l’aspect économique et la protection des données personnelles. Nous n’avons vraiment pas intérêt à brader la vie privée parce que nous serions perdants vis à vis de la confiance des internautes. Si l’“opt in” cookie passait en France il nous serait strictement impossible de travailler car nous n’aurions plus de données personnelles.
Dans un communiqué de Presse du 5 Mai 2012, le SNCD annonçait une perte potentielle de 60% des emplois du marketing direct et une augmentation de plus de 16% de demandeurs d’emplois en cas d’application de la loi . Ces chiffres, issus de leur propre étude, sont de nature à justifier les protestations du secteur. Mais Sophie Nerbonne relativise :
Nous comprenons les inquiétudes mais nous avons eu les mêmes protestations des sociétés liées à la communication directe en 2004 lors de la loi sur la confiance en l’économie numérique. A l’époque, les acteurs avaient peur d’un effondrement du système et de pertes d’argent colossales ce qui n’a pas eu lieu. Ethiquement, il n’est pas possible de continuer à faire prospérer un système économique sur de la récolte de données personnelles alors que l’internaute n’est pas au courant de ce que l’on en fait précisément. Il est nécessaire de développer des techniques efficaces permettant aux internautes d’être conscients de ce qu’on fait de ses informations sans que cela pèse pour autant sur l’économie de la publicité ciblée.
Par ailleurs, le développement de logiciels et d’interfaces permettant de gérer les cookies et de trouver des solutions peut représenter une manne financière non négligeable