Vous êtes ici

Pour bénéficier des alertes ou des favoris, vous devez vous identifier sur le site :

Vous avez déjà un identifiant sur stratégies.fr ? Identifiez-vous

Pas encore d'identifiant ? Créez vos identifiants

ENTRETIEN CÉCILE ALVERGNAT

Rien ne doit se faire à l'insu du consommateur

21/01/2000

Cécile Alvergnat est commissaire à la Commission nationale de l'informatique et des libertés (Cnil) et directrice générale de L'Échangeur, centre européen de réflexion et de formation sur le commerce du futur. Elle évoque les problèmes liés à la protection des données personnelles sur Internet.

À l'heure du marketing personnalisé, les entreprises cherchent à recueillir le maximum d'informations sur les internautes. Quelles sont les techniques utilisées? Cécile Alvergnat. Il en existe plusieurs. Le site Cnil.fr montre comment un internaute est tracé, c'est-à-dire comment une entreprise peut connaître son comportement, en mémorisant sa navigation. Dans ce cas, elle ne connaît pas, en général, son identité. Mais des données personnelles sont également recueillies par les fournisseurs d'accès ou par les sites demandant aux visiteurs de s'identifier. Il est aussi possible d'analyser précisément les expressions et le vocabulaire d'un internaute dans un forum de discussion. Lorsque toutes ces données sont reliées entre elles, des informations très fines sont obtenues sur les individus. Ces pratiques ont donné naissance à un nouveau business: la location ou la vente de fichiers constitués facilement et à moindre coût. Ces exploitations et cessions de données sont condamnées par la Cnil lorsqu'elles sont opérées à l'insu des personnes concernées. Dans quel cadre légal peut-on prospecter et fidéliser un client sur Internet? C.A. Une entreprise peut créer un fichier, à condition qu'elle indique, au préalable, sa finalité à la Cnil et qu'elle la respecte. Les citoyens ont un droit d'information et de transparence. Ainsi, lorsqu'une entreprise collecte des données, pour des prospections commerciales ou pour en faire commerce, elle doit le signaler aux internautes qui sont libres d'y consentir ou non. Même lorsqu'elle constitue un fichier à l'occasion d'actes d'achat, elle doit, si elle veut utiliser les données recueillies à des fins commerciales, en informer le consommateur au moment de la collecte et lui donner la possibilité de s'y opposer en cochant une case. Enfin, les internautes doivent pouvoir accéder aux données qui les concernent et demander, le cas échéant, leur rectification. La Cnil assure que cette loi protège les individus tout autant qu'elle favorise le commerce électronique. Pour quelles raisons? C.A. Des études, effectuées notamment par l'OCDE, montrent que la majorité des internautes échappent au marché dès qu'ils ont l'impression, vraie ou fausse, qu'aucune garantie de protection de leur vie privée ne leur est offerte. La méfiance des internautes limite le développement du commerce électronique. La polémique qui a surgi à propos du numéro de série du processeur PentiumIII d'Intel en est la preuve. La révélation soudaine qu'il contenait un identifiant, offrant, par ailleurs, plus de sécurité dans les transactions, a suscité de vives réactions de l'opinion publique. Intel, qui l'avait placé à l'insu des consommateurs, a été contraint de le désactiver dans les matériels diffusés. Il est possible aujourd'hui de le réactiver au moment souhaité. Obligation de transparence, information préalable et droit d'opposition vont dans le sens des intérêts de tous. Les sites labellisés par des associations ou organismes divers ont également le vent en poupe. La Cnil soutient-elle ces initiatives? C.A. Nous allons dans le sens de la proposition de la directive sur le commerce électronique, en cours d'adoption. Cette dernière précise qu'il est bon d'encourager codes de déontologie et labellisation. La Cnil a ainsi travaillé avec la Fédération de la vente à distance (Févad) qui, aux côtés de l'Institut international du commerce électronique (IICE), a lancé L@belsite. Cette démarche intègre les recommandations de la Cnil en matière de protection des données personnelles. La Cnil a également conseillé la Fédération des entreprises de marketing direct dans l'élaboration d'un code professionnel. Ce travail, mené en commun avec les professionnels, a permis une diminution du nombre de plaintes enregistrées par la Cnil en marketing direct. Il préfigure l'ère de la corégulation qui permet de trouver des solutions liant régulation et autorégulation. Quelles sont les sanctions prévues par la Cnil? C.A. La Cnil a pour mission de conseiller, d'informer et de faire respecter la loi. La pédagogie est, dans ce contexte, très importante. Nous instruisons les plaintes, nous faisons des contrôles de sites en ligne et dans les entreprises. Nous pouvons aussi saisir la justice. Ce fut le cas cet été, pour le laboratoire Servier. Le numéro trois français de la pharmacie employait des méthodes de recrutement peu orthodoxes, indiquant, par exemple, sur des fiches manuelles, de ne pas recruter telle personne pour cause d'homosexualité. Nous avons saisi le Parquet. Pour quelles raisons vous êtes-vous intéressés au publipostage électronique? C.A. La Cnil a été saisie de quelques plaintes dans ce domaine. Par ailleurs, la directive sur le commerce électronique y fait référence. Le gouvernement a donc demandé à la Cnil de donner son avis. L'e-mail est bien une donnée nominative précisant le nom de la personne, son lieu de travail, son pays de résidence, etc. La pratique du « spamming » pose donc problème. Elle consiste à collecter des adresses électroniques sur les espaces publics d'Internet et à envoyer de façon massive et intempestive des messages commerciaux. En France, cette pratique est encore peu répandue, mais aux États-Unis, où le Web est entré dans la vie quotidienne, 52% des internautes sont gênés par les prospections non sollicitées et 80% souhaitent leur interdiction. Le parlement européen préconise la solution « opt-out », soit la possibilité d'utiliser, pour prospecter, toute adresse électronique dès lors que l'internaute peut exercer son droit d'opposition. Nous sommes favorables au « opt-in », autrement dit la nécessité, pour collecter une adresse, d'avoir le consentement préalable des personnes concernées. Cette mesure est cohérente avec les directives existantes en matière de prospection et de protection des données par voie de télécopie et d'automate d'appels. De quelle manière imposez-vous votre point de vue? C.A. Nous cherchons à convaincre les responsables des sites, les associations et les membres du « groupe article 29 », composé des représentants des organismes européens similaires à la Cnil. Nous insistons sur les inconvénients de la solution du « opt-out ». Pour les internautes, la captation sauvage d'e-mails rend inefficace, par exemple en matière d'annuaires, une liste d'opposition permettant, comme la liste orange de France Télécom, de se préserver des démarchages commerciaux. Nous cherchons également à ce que le consortium W3C, instance de normalisation d'Internet, prenne en compte nos recommandations sur les données personnelles dans l'élaboration des nouveaux protocoles destinés à naviguer en fonction de critères présélectionnés. Internet est par définition un média international. Entre l'Europe qui régule et les États-Unis favorables à l'autorégulation, n'y a t-il pas nécessité de trouver un accord? C.A. Les représentants de la Commission européenne rencontrent régulièrement leurs homologues américains. Sur les données personnelles, nous sommes en pleine discussion. L'idée est d'arriver à un minimum de règles communes internationales. Selon la directive européenne, une entreprise établie dans un pays n'offrant pas le niveau de protection requis ne peut recevoir de données personnelles venant d'une entreprise de l'Union européenne. Sur Internet, où un Français peut acheter sur un site américain, nous ne savons pas quelle loi prévaudra en cas de litige, celle du consommateur ou celle du fournisseur. La directive prévoit, en la matière, qu'une entreprise d'un pays tiers qui collecte des données en Europe doit respecter la loi du lieu où cette collecte est faite, soit celle de l'État où réside la personne auprès de qui ces données sont recueillies. La directive européenne va prochainement être transposée dans le droit français. Quels changements peut-on en attendre ? C.A. Cette directive s'inspire largement de la loi Informatique et libertés de 1978. Les principes de finalité, d'information préalable, de droit d'accès, d'opposition et de rectification demeurent. Mais la distinction entre privé et public disparaît. Jusque-là, les organismes du secteur public devaient déclarer leurs fichiers à la Cnil pour obtenir, avant leur création, un avis favorable. Le secteur privé ne faisait, pour sa part, qu'une déclaration soumise à récépissé accordé de droit. Avec la nouvelle loi, une simple obligation de notification des traitements de données devrait être de rigueur, dans les deux cas, avec un système de contrôle a posteriori et des pouvoirs de la Cnil qui seraient accrus. Cependant le régime d'autorisation préalable sera maintenu, notamment pour des données présentant des risques particuliers, qui sont à définir par la loi.

Envoyer par mail un article

Rien ne doit se faire à l'insu du consommateur

Séparer les adresses par des virgules
M’envoyer une copie par e-mail
Email this Article

Thank you for your interest in spreading the word about Stratégies.

NOTE: We only request your email address so that the person you are recommending the page to knows that you wanted them to see it, and that it is not junk mail. We do not capture any email address.