PROTECTION DES DONNÉES PERSONNELLES SUR INTERNET : enjeux et perspectives

L'administration américaine vient de rendre un rapport préoccupant dédié à la protection des données personnelles sur Internet (1). À l'image d'autres études rendues ces derniers mois, il rappelle que l'absence de climat de confiance sur le plan de la protection des données personnelles entre les acteurs professionnels et les utilisateurs du réseau freine le développement du commerce sur Internet. Pour faire le point sur cette épineuse question, il est nécessaire d'envisager des éléments pratiques, des notions juridiques françaises et européennes, mais aussi des repères internationaux.
Internetscopie des données personnelles À l'aune des différents documents publiés par la Commission nationale de l'informatique et des libertés depuis quelques années (2), il est facile de comprendre l'environnement de la protection des données personnelles sur Internet. Au fil de ses errements électroniques sur le réseau, l'internaute communique généralement son adresse électronique, remplit un formulaire en ligne, procède à l'achat d'un bien ou d'un service, s'exprime dans un forum de discussion ou un livre d'or, s'inscrit à une liste de diffusion ou encore signe une pétition. La simple connexion au réseau et la visite d'un site laisse par ailleurs derrière l'internaute un ensemble de traces informatiques (3) que l'on regroupe sous le terme générique de données de connexion (appelées aussi “log”).
Données de connexion, cookies, numéro de carte bancaire, numéro de sécurité sociale parfois, données médicales, courriers de demande de documentation ou félicitations au propriétaire d'un site, propos publics dans les espaces de discussion, adresses postales (etc.), peuvent dévoiler un mode de vie, des choix de consommation, un état de santé, des opinions philosophiques ou religieuses, des attentes et des mœurs. On ne s'attardera pas sur l'ensemble des techniques conçues pour suivre les faits et gestes des utilisateurs sur le réseau. Une nouvelle fois, le droit poursuit la technique.
Un gisement de données personnelles pour le marketing personnalisé Chaque contact personnalisé avec un utilisateur permet à un site Internet de collecter plus d'informations que tout autre acteur traditionnel de la vente par correspondance. Les acteurs d'Internet sont des adeptes du marketing personnalisé (dit “one to one”) et rivalisent d'imagination pour constituer des gisements de données personnelles, allant jusqu'à offrir des lots ou une rémunération en contrepartie du remplissage de questionnaires électroniques.
L'enjeu réside dans la réalisation de profils comportementaux et de fichiers qualifiés qui peuvent le cas échéant être commercialisés. L'étude de juin 1998 (note 1) effectuée par la “Federal Trade Commission”, auprès de 1200 sites américains pouvant être qualifiés de commerciaux, indique qu'une à cinq informations personnelles sont en moyenne collectées par les sites visités : nom, e-mail, adresse postale, téléphone, télécopie. Viennent ensuite le numéro de carte bancaire, le numéro de sécurité sociale, le sexe, le niveau d'éducation, les loisirs, les revenus, etc. Prenons un seul exemple, celui du fournisseur d'accès à Internet.
Ce dernier est de fait au carrefour de la vie privée de l'internaute abonné puisqu'il lui octroie une adresse électronique, connaît ses heures de connexion et les sites consultés, lui permet le cas échéant de recevoir des listes de diffusion, lui vend parfois des biens et services (articles de journaux, astrologie, livres...), etc. Aucune de ces données n'est vraiment isolée. Un tour de main technique peut permettre de réveiller et de rapprocher des données personnelles parsemées qui dorment dans des ordinateurs à l'issue de leur collecte.
Dans ce contexte, les internautes sont inquiets. Quelles limites sont en effet opposables aux intermédiaires d'Internet, qu'ils soient commerçants ou simples prestataires techniques ? Il est vrai qu'aux États-Unis des croisements sont effectués entre des données issues d'Internet (fichiers commerciaux, groupes de discussions, annuaires des listes de diffusion, etc.) et des

fichiers plus conventionnels tels que ceux de la vente par correspondance et les pages jaunes. Par ailleurs, certains sites se regroupent pour échanger entre eux des données personnelles complémentaires, bientôt en temps réel. Les exemples d'agissements répréhensibles au regard de nos lois ne manquent pas.
Le droit applicable en Europe aux données personnelles En France, l'ensemble du dispositif de la loi du 6 janvier 1978 relative à l'informatique aux fichiers et aux libertés (4) s'applique à Internet. La loi donne en effet des traitements automatisés (5) et des données nominatives (6) des définitions larges. L'internaute peut revendiquer les droits que lui reconnaît la loi (7) sur toutes les informations personnelles susceptibles de conduire à son identification : adresse électronique, données de connexion liées à son parcours sur le net, etc. Ce dernier pourrait même exiger d'être informé lorsque des procédés techniques “invisibles” sont mis en œuvre à son insu pour collecter des informations personnelles sur son comportement d'internaute, voire sur son disque dur.
De façon générale, la doctrine de la CNIL relative à la constitution de fichier dans le domaine de la prospection commerciale est aussi applicable.
De surcroît, la loi de 1978 pose le sacro-saint principe de finalité qui fait que les données ne doivent pas être utilisées dans un cadre autre que celui porté à la connaissance de la personne lors de la collecte, sauf à mettre l'individu dans la possibilité de s'opposer à la nouvelle utilisation. Bien entendu, les traitements automatisés mis en œuvre doivent être déclarés à la CNIL.
Sur ces derniers points, l'autorité de contrôle multiplie les actions pédagogiques en mettant à disposition sur son site Internet un formulaire simplifié (8), ainsi qu'un guide pour aider les déclarants à appliquer la loi (9).
Sur le plan européen, la transposition (10) dans l'ensemble des pays de l'Union de la directive du 25 octobre 1995 (11) relative à la protection des données personnelles va augmenter le niveau de protection sur Internet, de même que la directive de 1997 concernant la protection des consommateurs en matière de contrat à distance.
Les sites localisés dans l'Union européenne sont soumis à un socle commun d'obligations à partir de la date de transposition le 24 octobre 1998. La directive de 1995 constitue un texte fondamental dont on perçoit à peine la portée.
Ses dispositions, souvent semblables à celles de la loi de 1978, sont très strictes s'agissant du démarchage commercial. Le Conseil de l'Europe, qui est à l'origine du droit européen de la protection des données (12), demeure très actif en développant des réflexions dans le domaine d'Internet (13). La convention de 1981 est désormais adoptée par un nombre grandissant de pays d'Europe centrale et d'Europe de l'Est, ce qui étend son efficacité pratique et propage une conscience européenne en matière de protection des données personnelles.
La protection des données personnelles sur la scène mondiale Peu de pays disposent dans le monde d'une législation protectrice des données personnelles (14). L'apparition d'Internet crée un effet de loupe sur cette situation et pourrait changer la donne. Il ressort en effet que deux méthodes se sont jusqu'à présent opposées. D'un côté, les États-Unis – l'essentiel des sites faisant du commerce y est localisé – qui privilégient l'adoption de mécanismes d'autorégulation à travers des codes de bonne conduite issus de l'industrie. De l'autre, les États européens avec la directive de 1995 qui encourage l'adoption de codes de bonne conduite mais impose l'adoption de législations.
La directive envisage notamment de lutter contre la délocalisation des traitements de bases de données dans des pays moins protecteurs. Elle interdit le transfert vers un pays tiers n'assurant pas un niveau de protection adéquat (15) des données à caractère personnel. Les pouvoirs publics américains sont désormais soumis à une double pression : l'opinion publique américaine qui dénonce de façon générale l'absence de législation et l'avènement de la directive européenne qui pourrait imposer des barrières économiques à la transmission de fichiers.
À travers les instances américaines chargées du commerce (16) et les rencontres internationales (17) consacrées au commerce électronique sur Internet,

le gouvernement américain met la protection des données personnelles au premier plan des priorités. Il brandit par ailleurs le spectre d'une législation, ce qui incite les acteurs de l'industrie américaine à se mobiliser et à prendre des initiatives éparses. Les initiatives corporatistes (18) se multiplient, de même que les travaux engagés dans de nombreuses enceintes à caractère professionnel telles que la Chambre de commerce internationale (CCI) (19). Parallèlement, la prise de conscience sur cette question gagne les pays de la région Asie-Pacifique, à travers notamment le Japon et l'Australie.
Quel avenir pour la protection des données personnelles ? Sans minimiser les enjeux liés à la cryptographie et à la sécurité de la transmission des informations sur le réseau, force est de constater que les préoccupations en matière de protection des données personnelles sur Internet sont pragmatiques. La loyauté de la collecte, l'identification des destinataires, l'utilisation des données collectées demeurent les clés de la problématique. En matière de prospection commerciale, un coup d'arrêt pourrait être donné dans les prochaines années à la tendance apparue aux États-Unis à la constitution de méga bases de données personnelles par une collecte déloyale sur Internet, à la cession et à l'interconnexion des fichiers constitués. De même, les dispositifs juridiques européens et ceux qui apparaissent aux États-Unis devraient venir à bout des campagnes de prospection commerciale sauvages et non sollicitées (“spamming”) par courrier électronique.
Les initiatives déontologiques ne doivent pas être ignorées. Elles demeurent cependant l'apanage de sites commerciaux notoires aux États-Unis et les processus de labélisation mis en œuvre (20) présentent un fort caractère censitaire. Une chose est sûre, la protection des données personnelles sur Internet est un tout : des actions pédagogiques à l'attention des internautes qui doivent disposer de logiciels permettant de s'opposer à la communication d'informations personnelles sans leur consentement (cookies, etc.), des dispositifs légaux qui sont les seuls garants coercitifs de la vie privée, et la déontologie des acteurs.
Les fabricants de logiciels prennent des initiatives techniques telles que P3P (21). Elles sont contestées car elles semblent vouloir institutionnaliser l'identification des internautes préalablement à la visite d'un site.
Alors que l'Europe a choisi son camp en matière de protection des données personnelles, les regards se tournent vers les États-Unis qui, en tant que géant du commerce mondial et du commerce électronique, menacent depuis des mois de légiférer si les acteurs de l'industrie ne prennent pas des mesures efficaces. La protection des données personnelles est au centre d'enjeux économiques et politiques.