Mon compte Devenir membre Newsletters

Données personnelles : une gestion abusive ?

Publié le par

Depuis le développement d'internet et l'arrivée des réseaux sociaux, l'ombre de Big Brother rôde dans les esprits. Malgré l'encadrement de la loi française sur la collecte et l'utilisation des données personnelles, il semblerait que la réglementation contienne des failles propices à certaines dérives.

Depuis la généralisation de l'usage d'Internet, les entreprises et les marques ont sensiblement fait évoluer leurs activités. Aujourd'hui, une majorité d'entre elles se sont installées sur la Toile aux côtés des e-commerçants. Prospection, marketing, vente, relation client, fidélisation : il est possible de s'adonner à toutes ces pratiques par souci de personnalisation et de ciblage efficace, et ce, en temps réel. En effet, le canal internet s'avère être un outil efficace pour accéder plus facilement et de façon plus directe aux consommateurs grâce à une simple adresse e-mail ou une adresse IP . Mais les entreprises ont-elles la possibilité d'agir aussi librement qu'il y paraît quand il s'agit de données personnelles ? « Au regard de la loi Informatique et Libertés, il est nécessaire de respecter les règles de transparence vis-à-vis de la personne. Celle-ci doit savoir quelles informations seront collectées à son sujet et à quelles fins. Lorsqu'il s'agit de certains vecteurs comme Internet, un consentement explicite doit être recueilli auprès de l'internaute dans le cadre de la loi pour la Confiance dans l'économie numérique du 21 juin 2004 », indique Sophie Nerbonne, chef de la division des affaires économiques à la Cnil.

Pour collecter des données sur une personne de façon légale et les utiliser à des fins commerciales, les entreprises peuvent procéder de différentes façons. Il leur suffit, par exemple, qu'un internaute s'inscrive sur un site (rencontre, e-commerce, etc.) ou qu'il livre des renseignements lors d'un achat en ligne, pour que des informations personnelles soient récoltées. Une fois qu'il a autorisé la réception d'offres partenaires par le biais de l'opt-in, le système est enclenché. Ses données sont collectées, analysées, croisées avec d'autres informations déjà récupérées auparavant, et transmises à de nombreuses entreprises. D'où une messagerie inondée de mails. « Sur Internet, il est possible de récupérer beaucoup plus d'informations que dans le monde réel grâce aux jeux et questionnaires conçus par des sociétés spécialisées. En s'appuyant sur des questions comme «Souhaitez-vous profiter de telle ou telle promotion ?», les entreprises obtiennent plus de renseignements. Il est donc assez facile de regrouper de nombreuses données autour d'un seul nom et d'une seule adresse mail », explique Gilles Liguori, directeur CRM de Business & Decision.

Sophie Nerbonne (Cnil)

Il nous faut agir au niveau international. Car ce n'est pas à l'échelle nationale que nous trouverons la réponse.

Plus de méfiance de la part des internautes

Grâce à des partenariats, les entreprises se partagent les informations collectées et enrichissent leurs bases de données respectives. Mais, pour rester dans le cadre légal, elles doivent déclarer leurs fichiers auprès de la Cnil, une règle que la plupart respectent. Hormis la collecte de données via les formulaires en ligne, certaines sociétés pratiquent le ciblage comportemental, en traçant le parcours de l'internaute. De ce fait, elles adaptent leur dispositif marketing en fonction du profil de chaque prospect. En déposant un cookie sur l'ordinateur d'une personne qui visite leur site, il leur est possible de connaître ses moindres faits et gestes : quelle page elle a visité, combien de temps elle est restée sur le site, le sujet ou le produit qu'elle a consulté, etc. Quid du respect de la vie privée ? Pour la plupart des professionnels du marketing direct, déposer un cookie ne représente pas une atteinte à la vie privée, du moment que l'adresse IP n'est pas reliée à une identité. Le cookie ne servirait qu'à tracer le parcours de l'internaute pour lui proposer des offres personnalisées et ainsi, optimiser le ciblage publicitaire. «Il n'y a rien de choquant dans le sens où l'entreprise ne connaît pas nominativement l'utilisateur », estime Gilles Liguori. Pour l'instant, cette pratique est acceptée. En revanche, pour Sophie Nerbonne, « la Cnil n 'est pas d 'accord avec l'argument selon lequel il n'y a pas d'identité derrière l'adresse IP. Si ce n'est pas une donnée personnelle, pourquoi s'appuie-t-on sur cette adresse pour sanctionner le téléchargement abusif dans le cadre de la loi Hadopi ? » Pour François Laxalt, responsable marchés et innovations chez Neolane, plateforme marketing et communication, le tracking sur Internet n'est pas non plus si anonyme : «Théoriquement, il l 'est. Mais si l 'on accepte de donner en parallèle des informations qui ne sont pas anonymes, la faille consiste à ce que les sociétés puissent reconstituer tout le profil à partir de l'ensemble des données. »

Quant au consommateur, est-il vraiment conscient de la façon dont sont gérées ses données et quelle est sa position sur le sujet ? Il ressort du Baromètre de l'Intrusion 2009, étude réalisée par ETO et Market Audit auprès de 3 5 000 internautes, qu'un grand nombre de Français se sentent traqués sur Internet. Ainsi, 40 % des personnes interrogées considèrent que le niveau d'intrusion dans leur vie privée est élevé, alors qu'ils n'étaient que 29 % en 2007. Quant aux données personnelles, 71 % se disent dérangés à l'idée que celles-ci soient enregistrées dans de nombreux fichiers. Selon Gilles Liguori, « les consommateurs se sentent finalement traqués, parce qu'ils se croyaient libres sur Internet. Et, par manque d'information ou d'intérêt, ils ne réalisent pas qu'ils ne sont pas si invisibles que ça. »

Avec le développement de l'activité sur Internet et la création des réseaux sociaux, les internautes sont devenus plus méfiants. Néanmoins, il semble que l'information fasse encore défaut et qu'ils ne sachent pas réellement comment leurs données sont utilisées et où elles atterrissent. Justement, toujours selon l'étude ETO, 66 % disent ne pas être suffisamment informés sur leurs droits concernant la protection des données. Les consommateurs ont conscience que leurs données personnelles sont détenues par des entreprises et qu'elles représentent une certaine valeur. En revanche, ils ignorent ce qu'il se passe en coulisses et les moyens d'éviter ces publicités intempestives. Pour ce faire, la Cnil tente de sensibiliser le public sur ses droits. « Nous souhaitons lui faire prendre conscience que, dans une société immergée par les nouvelles technologies, il est plus que jamais nécessaire d'être attentif à l'utilisation des données personnelles », indique Sophie Nerbonne. Avant d'ajouter : « Selon nos sondages sur la perception des citoyens de leurs droits, plus de la moitié des personnes interrogées affirment connaître la loi Informatique et Libertés. Chaque année, nous recevons d'ailleurs de près 4500 plaintes, essentiellement de particuliers. »

Les professionnels des données s'emparent du sujet

Quand il s'agit de respecter les règles concernant les données, les entreprises manquent parfois à leurs obligations. Le plus souvent, par méconnaissance de la réglementation. Il arrive, par exemple, qu'elles ne réagissent pas lorsque le consommateur souhaite accéder à ses données ou qu'il demande à être supprimé d'une liste de diffusion. Dans ce cas, il lui est possible de saisir la Cnil. Actuellement, les professionnels de la collecte des données, du ciblage comportemental et du marketing direct prennent conscience du besoin d'informer les consommateurs sur leurs droits. Ils ont également saisi l'intérêt d'encadrer leurs pratiques pour qu'à terme, elles ne se retournent pas contre eux. Le Syndicat national de la communication directe (SNCD) a travaillé sur le sujet et a publié un Livre Blanc intitulé Ciblage publicitaire et respect de l'internaute. En introduction, Arnaud Caplier, en qualité d'administrateur du Syndicat, et Jérôme de Labriffe, président de l'IAB France (Internet Advertising Bureau) , précisent que la perception d'intrusion « est de nature à altérer durablement la confiance des internautes envers la Toile, ce qui n 'est ni sain pour ce formidable média, ni souhaitable pour les professionnels de l'Internet ». A l'occasion de l'élaboration du livre, le groupe de travail a dressé une liste des dix bonnes pratiques du ciblage publicitaire sur Internet (voir encadré p. 26). Il semble que, pour certains professionnels, la loi présente encore des failles qui incitent les entreprises à en profiter.

D'ailleurs, pour François Laxalt, « la loi est relativement bien faite, mais il ne faut pas laisser de vides juridiques, car c'est ce qui est dangereux ».

Le principe de l'opt-in présente notamment des limites. Bon nombre d'entreprises usent de stratagèmes pour récupérer les données d'un internaute à son insu ou de façon détournée. Il leur suffit notamment de précocher les cases d'autorisation, que l'internaute doit décocher pour ne pas être enregistré sur les listes de diffusion. Certains vont même jusqu'à envoyer une proposition d'intégration à un programme de fidélisation par mail qui, si elle n'est pas infirmée par le destinataire, est considérée comme acceptée. Par ailleurs, en autorisant une société à utiliser ses données et à accepter les offres de partenaires, l'internaute ne se rend pas compte que celles-ci sont partagées dans de nombreuses bases de données. En effet, lorsqu'une entreprise récupère ces informations, elle les transmet à une autre société qui, à son tour, les communique à une troisième. Et ainsi de suite. Malgré son droit de supprimer ses données par le principe de l'opt-out, l'internaute est rarement assuré que ces informations sont totalement détruites. « Aujourd'hui, il est possible de demander à la Cnil d'effacer un fichier. Mais si le fichier a été vendu plusieurs fois, celui-ci peut se trouver autre part », précise Eric Stevens, professeur de marketing à l'Escem (Ecole supérieure de commerce et de management). Elément encore plus inquiétant : les sociétés internationales, qui ne sont pas soumises aux lois européennes et qui collectent des données en France. Il leur suffit de les récupérer auprès de partenaires français et les utiliser sans aucune obligation légale, car la réglementation de leur pays n'impose aucune restriction. « Si une entreprise française vend ses informations à une entreprise de droits douteux hors Union européenne, l'internaute risque de recevoir des spams », prévient Eric Stevens.

ARNAUD CAPLIER, cofondateur de Datvantage

ARNAUD CAPLIER, cofondateur de Datvantage

3 questions à ARNAUD CAPLIER, cofondateur de Datvantage

En quoi consiste l'activité de la société que vous venez de créer, Datvantage ?
Notre métier consiste à utiliser la data dans différents domaines d'application : le ciblage, la personnalisation, l'e-merchandising et la connaissance client, avec une expertise transversale sur les données. Nous cherchons à créer de la valeur en associant la data au média Internet. Nous avons lancé Datvantage car le marketing devient de plus en marketing devient de plus en plus important sur Internet: comment mieux toucher ses cibles et comment les traiter? Et, pour faire du marketing comportemental, il faut des données pour adresser le bon message â la bonne personne.
En tant que cofondateur de cette société, administrateur du SNCD et coauteur du Livre Blanc Ciblage publicitaire et respect de l'internaute, comment abordez-vous l'aspect éthique des données ?
Malgré la présence de la Cnil, il faudrait des organismes de certification pour contrôler les pratiques non éthiques de certaines entreprises. Cela éviterait des écarts entre la loi et son application. Il y a deux ans, j'ai réalisé que le sujet sur le respect de la vie privée ressortait aux Etats-Unis. Il était préférable de commencer à y travailler avant que l'on nous impose un nouvel environnement légal qui soit déconnecté de nos pratiques professionnelles. Or, les professionnels du marketing direct et les pure players du Web n'ont pas les mêmes règles. Le marketing direct travaille sur des données personnelles très encadrées par la loi de 1978, avec à l'appui, un correspondant Informatique et Libertés. En revanche, sur Internet, la donnée n'est plus personnelle mais anonyme. Le fait de déposer un cookie et de traquer le comportement de l'internaute est légal et rien n'est régi par une loi. Notre rôle en tant que professionnel est de s'assurer que ces pratiques sont éthiques et qu'il n'y a pas de déviance. C'est ce que nous proposons dans le Livre Blanc Ciblage publicitaire et respect de l'internaute. Parmi les dix principes proposés, le droit à l'information, le droit d'opposition et l'encadrement du rapprochement de toutes les données me semblent les plus importants.
Pensez-vous que les consommateurs ont raison de s'inquiéter de certaines pratiques concernant le respect de leur vie privée ?
Aujourd'hui, il y a un manque total d'information et de transparence sur ce sujet. Le minimum que l'on doit à l'internaute est de l'informer et de lui expliquer. Il a également le droit à un certain contrôle sur ses données personnelles collectées et la façon dont elles sont utilisées. Une fois que l'on aura réglé ces problèmes d'information, le ciblage m'apparaît plutôt vertueux. D'ailleurs, ce principe n'est remis en question par personne. Tout le monde personnalise le Web en instaurant des favoris, des flux RSS, des comptes, etc. Sans cela, le Web devient beaucoup moins ergonomique. Le ciblage fonctionne selon le même principe : faire des recommandations à un internaute en fonction de ses centres d'intérêts et son profil, sans qu'il en fasse la demande. En revanche, si nous l'informons et lui donnons la possibilité de désactiver ce système de ciblage, nous aurons déjà fait un grand pas en avant.

Les 10 bonnes pratiques recommandées par l'IAB et le SNCDSource : Livre Blanc Ciblage publicitaire et respect de l'internaute - SNCD et IAB France.

1 - Dans le cadre d 'une opération d e ciblage par action (retargeting), limiter la fréquence et la du rée d'affichage des messages.
2 - Ne pas utiliser de données relatives aux origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses, à l'appartenance syndicale, la santé ou l'orientation sexuelle.
3 - Si l'adresse ip devient une donnée personnelle, ces adresses ne devraient pas être conservées en intégralité mais anonymisées.
4 - La collecte des données identifiantes doit faire l'objet d'un consentement express ( opt-in).
5 - La collecte et l'utilisation des données qualifiantes doivent faire l'objet d'informations claires, dissociées des conditions générales de vente (CGV).
6 - Les éditeurs de sites internet devraient : informer clairement et sans équivoque l'internaute sur le ciblage publicitaire dans un espace dédié et spécifique, séparé des CGV. Mettre en avant et détailler la démarche de suppression des cookies et l'accès aux fonctions de navigation «privées» fournies par les navigateurs.
7 - L'internaute a un droit d'opposition, de type opt-out, sur l'affichage de publicité utilisant des cookies posés par des tiers et lus par des sites consultés par l'internaute. Ce droit d'opposition doit pouvoir s'exercer : sur le site de l'éditeur du cookie, sur le site du diffuseur du cookie, sur le site du prestataire éventuel (réseau publicitaire) diffuseur du cookie «tiers» et de la publicité, ou encore sur un site général d'opt-out.
8 - L'utilisation de rapprochement entre les données identifiantes et les données qualifiantes doit faire l'objet d'un droit d'opposition lorsqu'elles sont collectées et rapprochées sur un même site à des fins de ciblage publicitaire.
9 - Le rapprochement entre les données identifiantes et les données qualifiantes collectées par deux sites différents est fortement déconseillé et ne peut être opéré sans un consentement préalable de l'internaute.
10 - L'IAB et le SNCD recommandent que le marché mette en place un système de centralisation permettant aux internautes d'exercer leur droit d'opposition à la publicité ciblée auprès des opérateurs publicitaires.

L'enjeu des réseaux sociaux

Pour prévenir des risques de dérapage, Neolane a mis en place le principe du double opt-in dans tous ses logiciels. « Le double opt-in n'est pas obligatoire, mais nous l'avons installé automatiquement dans notre plateforme marketing. De cette façon, l'entreprise vérifie doublement si le prospect est d'accord pour recevoir des informations. Il clique une première fois pour s'inscrire et reçoit un mail de confirmation qu'il doit valider », décrit François Laxalt. Ce principe permet par ailleurs de constituer une base de données plus qualifiée en évitant des adresses erronées. S'agissant des cookies, l'internaute peut aisément les supprimer sur son ordinateur. Malgré tout, certaines entreprises utilisent des parades pour éviter la destruction des cookies installés. Ainsi, selon Gilles Liguori, sur certains sites, à partir du moment où le cookie a été supprimé, des systèmes restreignent la navigation. Surfer sur Internet tout en évitant d'être repéré semble donc relever du parcours du combattant. « Nous sommes moins libres sur Internet que dans la rue. Il y a des traces de tout ce que l'on fait sur la Toile », ajoute Gilles Liguori. En effet, à chaque internaute correspond un profil élaboré au fl de ses navigations et de ses activités.

Mais, outre les marques et les e-commerçants, les réseaux sociaux comme Facebook et les portails comme Google et Yahoo ! représentent un risque plus insidieux et plus difficilement maîtrisable. « Souvent, les personnes ne voient pas où est le problème de donner toutes sortes d'informations. A ce propos, les réseaux sociaux constituent un enjeu pour la Cnil », souligne Sophie Nerbonne. Les Etats-Unis n'ayant pas de réglementation encadrée sur les données, les réseaux sociaux et les portails web ont la liberté de gérer à leur guise les informations sur les internautes et ce, dans un but lucratif Ainsi, en novembre 2007, Facebook annonçait qu'il comptait vendre toutes les informations relatives aux internautes (préférences politiques, religieuses, sexuelles, philosophiques...). La société américaine n'avait pas pu poursuivre son projet suite aux fortes réactions de ses membres, ce qui ne devrait pas l'empêcher de concrétiser ses objectifs à terme. « Aujourd'hui, Facebook considère que l'information est publique et qu'il est donc possible de la revendre. Si la société considérait les données comme privées, elle ferait la demande d'autorisation formelle auprès de ses membres. C'est encore au consommateur de déterminer si ces informations sont privées ou non », note Eric Stevens. Concernant les portails comme Google, Eric Stevens pense que tenter d'enrayer le système mis en place par ces sociétés, entraînerait à terme la suppression de la gratuité des services. « Sur Internet, rien n 'est jamais gratuit. Simplement les modes de paiement sont différents. Si les internautes refusent de transmettre leurs informations personnelles, Google risque de faire payer la messagerie. La société investit des millions de dollars dans des plateformes de serveurs et en technologies. Il faut bien trouver l'argent quelque part. » A titre d'exemple, Google conserve toutes les données relatives à l'activité et au profil des internautes. En outre, la société américaine développe régulièrement des plateformes et des outils pour optimiser la collecte d'informations. Valérie Papaud, dg de PagesJaunes Marketing Services, explique par ailleurs que « Gmail décrypte les courriers et les conversations des internautes pour leur proposer des offres en fonction des termes utilisés dans les communications ». En réaction à ses détracteurs, le portail a souhaité faire preuve de plus de transparence en lançant Google Dashboard, en novembre dernier. Ce nouveau service permet à chaque utilisateur d'un compte Google (Gmail, Picasa, Google Agenda, YouTube, etc.) de vérifier sur une page, quelles activités et données personnelles ont été enregistrées à son sujet. L'internaute peut choisir de modifier ses paramètres et/ou de supprimer des informations. Il est en revanche peu probable que ces données disparaissent totalement et que ce nouveau service n'ait pas été créé uniquement pour faire taire les critiques. En outre, pourquoi Google mettrait en place un système à l'encontre de ses objectifs commerciaux ?

Yves Riquet (ETO)

La relation sur un internet revient à un contrat conventionnel : l' internaute donne des informations en échange d'offres pertinentes, d'avant-premières...

La problématique des données «sensibles»

Alors que près de la moitié des consommateurs s'inquiètent de l'utilisation de leurs données personnelles, Yves Riquet, directeur associé de l'agence ETO, relève que ces derniers acceptent en revanche, de les transmettre en échange de promotions personnalisées. « La relation sur Internet revient à un contrat conventionnel : l'internaute accepte de donner des informations en échange d'offres pertinentes, d'exclusivités et d'avant-premières », résume-t-il. D'autre part, selon l'étude ETO citée précédemment, plus d'un tiers des internautes considèrent que le niveau d'intrusion dans leur vie privée est élevé. Mais ces 40 % d'internautes qui se montrent plutôt réticents et méfiants, seraient-ils sans exception des détracteurs des réseaux sociaux ? Ne feraient-ils pas partie pour certains, des 12 millions de membres français de Facebook et des 12 millions d'utilisateurs de Copains d'avant, qui remplissent allègrement leur profil et l'agrémentent de photos, de vidéos, d'opinions politiques, d'informations privées et de numéros de téléphone ? Grâce à ces sites, toutes les données dites «sensibles» comme l'origine raciale, l'appartenance religieuse, politique et la santé sont facilement accessibles et mises à la disposition de toutes les entreprises qui souhaitent enrichir leurs bases de données, pour améliorer leur ciblage publicitaire. Certaines personnes vont même jusqu'à devenir fans d'un groupe rattaché à une marque. Ainsi, 3 800 000 membres de Facebook sont devenus fans du groupe officiel de Coca-Cola. En gérant son propre groupe sur le site, le géant américain a trouvé l'opportunité de récupérer des informations très facilement, sans sortir du cadre légal régi sur Facebook. La plupart des professionnels admettent que les consommateurs font preuve d'une certaine schizophrénie. D'une part, ils craignent pour le respect de leur vie privée. D'autre part, ils n'hésitent pas à livrer des informations très personnelles, voire intimes sur ces réseaux sociaux. Pour sa part, Eric Stevens estime qu'il n'y a pas de paradoxe : « Il faut raisonner en termes de pourcentage et non en absolu. Selon une enquête publiée sur le Journal du Net, un quart des consommateurs étaient totalement réticents à donner des informations sur le Net. C'est cette proportion-là qui n 'est pas inscrite sur Facebook. » Pour la Cnil, il paraît indispensable de s'attaquer aux risques que représentent ces réseaux sociaux, sans toutefois tomber dans la paranoïa. « Il nous faut agir au niveau international. Nous travaillons avec le G29, regroupement de toutes les Cnil européennes, et la Federal trade commission aux Etats-Unis, car ce n 'est pas à l 'échelle nationale que nous trouverons la réponse », souligne Sophie Nerbonne. Certains spécialistes du sujet envisagent également une prise de conscience suivie d'une réaction de la part des consommateurs, comme cela a été le cas pour Facebook en 2007 . « Si les internautes ne sont plus satisfaits, ils changeront de site », assure Yves Riquet. Les entreprises ont en effet intérêt à ne pas trop dépasser les limites pour ne pas perdre la confiance de leurs clients. Pour Gilles Liguori, le constat est identique : en essayant de forcer la main aux consommateurs, les entreprises prennent le risque de perdre des clients, mais aussi de créer un buzz défavorable à leur image. De son côté, Eric Stevens résume tout l'enjeu de l'utilisation des données à des fins commerciales : « Quelles règles d'éthique les entreprises sont-elles prêtes à se fixer pour s'assurer que les consommateurs ne sentent pas lésés et ne partent pas ? »