Vialet.org - Mot-clé - europeBlog personnel de Guillaume Vialet : RGPD, spam et vie privée2023-09-04T14:34:42+02:00Guillaume Vialeturn:md5:9535d818376275b9673fdcc78d8ab0ebDotclearLa FEVAD et le SNCD aiment un peu trop vos données personnellesurn:md5:801dae5fe99dbd72adb6acfc59944e9e2013-09-25T12:02:00+02:002014-01-28T18:41:00+01:00Guillaume VialetHall of Spamcnildatadroiteuropefevadsncdspam<p>J'étais hier à la première journée de l'édition 2013 du salon <a href="http://www.ecommerceparis.com/" hreflang="fr">e-Commerce Paris</a> où j'ai pour l'essentiel assisté à des conférences consacrées aux données personnelles et à l'e-mailing, dispensées notamment par le <acronym title="Syndicat national de la communication directe">SNCD</acronym> et la <acronym title="Fédération e-commerce et vente à distance">FEVAD</acronym>.</p> <p>La nouvelle édition du <strong>Salon e-Commerce Paris</strong> était l'occasion pour le <strong>SNCD</strong> <a href="http://www.journaldunet.com/ebusiness/publicite/efficacite-de-l-emailing-0913.shtml" hreflang="fr">de communiquer quelques chiffres</a> sur l'activité de ses membres et de son enquête annuelle <em>Email Marketing Attitude 2013, usages et tendances de la communication personnelle online</em> présenté cette année par l'entreprise <a href="http://www.bisnode.fr/" hreflang="fr">Bisnode</a>, ex-WDM-Directinet.</p>
<p>Je retiendrai essentiellement celui-ci, symptomatique : 59% des internautes cherchent le lien de désabonnement (+17 points par rapport à 2012) pour interrompre la communication avec la marque au détriment de la suppression des e-mails sans les lire (source <a href="http://www.journaldunet.com/ebusiness/publicite/efficacite-de-l-emailing-0913.shtml" hreflang="fr">Journal du Net</a>).</p>
<p>Mais j'étais surtout venu assister à la présentation faite par la <strong>FEVAD</strong> des points clés du projet pour les personnes de la Commission Européenne, projet portée par <a href="http://fr.wikipedia.org/wiki/Viviane_Reding" hreflang="fr">Viviane Reding</a>.</p>
<p><a href="https://vialet.org/public/Spam/cartoon-data-protection.jpg" title="Copyright 2012 - Data protection, Pierre Kroll"><img src="https://vialet.org/public/Spam/.cartoon-data-protection_s.jpg" alt="Copyright 2012 - Data protection, Pierre Kroll" style="float:right; margin: 0 0 1em 1em;" title="Copyright 2012 - Data protection, Pierre Kroll, sept. 2013" /></a> Ce projet est en effet essentiel quand on sait que les règles européennes (donc françaises) en matière de protection des données personnelles <strong>datent 1995</strong>. C'est-à-dire la préhistoire à l'échelle temporelle d'Internet et face à l'explosion des réseaux sociaux ou du <em>Big Data</em>.</p>
<p>Ces règles ont cependant été renforcées en 2002 avec la <a href="http://fr.wikipedia.org/wiki/Directive_du_12_juillet_2002_sur_la_protection_de_la_vie_priv%C3%A9e_dans_le_secteur_des_communications_%C3%A9lectroniques" hreflang="fr">Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques</a> adoptée en partie en 2004 en France à travers le paquet dit <a href="http://fr.wikipedia.org/wiki/Loi_pour_la_confiance_dans_l%27%C3%A9conomie_num%C3%A9rique" hreflang="fr">Loi pour la confiance dans l'économie numérique</a>.</p>
<p>Il fallait donc revoir cet ensemble de lois plus forcément adaptées aux réalités actuelles du marché des données personnelles, les simplifier et harmoniser la législation à l'échelle européenne.</p>
<p>La <a href="http://www.fevad.com/" hreflang="fr">FEVAD</a> lors de cette présentation, a listé 4 grands points constitutifs du projet :</p>
<h3>1. Licéité des traitements et consentement explicite</h3>
<p>Il s'agit là d'obtenir avant toute forme d'exploitation des données personnelles le <strong>consentement explicite</strong> de l'internaute. Ce consentement prendra par exemple la forme d'une case à cocher.</p>
<p>Sont donc exclues les obscures <acronym title="Conditions générales d'utilisation">CGU</acronym> où figurent encore trop souvent les articles <strong>autorisant implicitement</strong> un site à exploiter, communiquer ou revendre vos données personnelles ou encore <strong>le processus d'opt-out</strong>.</p>
<p>Il est possible que <strong>la prospection commerciale par téléphone</strong> soit aussi placée sous le régime du consentement tacite, donc de l<em>'opt-in</em>, ce qui serait une grande avancée : fini les appels le samedi matin par Canal+, Bouygues Telecom ou encore SFR.</p>
<h3>2. Information sur la durée de conservation des données, leur origine et les recours</h3>
<p>Nous sommes ici face à trois notions fondamentales. On l'a vu à plusieurs reprises <a href="https://vialet.org/blog/post/2012/06/Les-travers-de-l-opt-in-partenaire">dans mes billets</a>, une adresse captée en année N circulera en <strong>N+1 et N+2</strong> sans que rien ne puisse arrêter ces échanges.</p>
<p>Déterminer l'origine de la communication d'une adresse e-mail à un annonceur, un programme marketing ou une base mutualisée et remonter à la source est souvent impossible, comme cela a été traité <a href="https://vialet.org/blog/post/2013/09/Le-jeu-de-piste-de-l-opt-in-partenaire">dans ce billet</a>.</p>
<p>Les recours possibles, c'est-à-dire les moyens à la disposition de l'internaute afin de s'opposer à cette diffusion, devront donc être clairement établis tout comme la durée de conservation des données (et donc de commercialisation si l'accord en a été donné) devra être fixée.</p>
<p>La traçabilité est aussi introduite : des sociétés comme <strong>Dreamlead Interactive</strong> ou <strong>Predictys</strong> (dont j'attends encore une réponse) ne pourront plus faire de la rétention d'information et seront sommées de fournir l'origine de la captation des données personnes à qui le leur demandera, via une procédure (les <em>recours</em>) bien identifiée.</p>
<p>Ce point met donc en lumière et pallie le manque de professionnalisme de nombreux acteurs du secteur qui conservent <em>ad vitam æternam</em> vos données personnelles, les revendent à de très nombreuses sociétés sans en conserver la trace (comme ce fut le cas pour <strong>I-Consulting.be</strong>) et en vous adressant de surcroit une fin de non-recevoir.</p>
<h3>3. Droit à l'oubli, droit à la portabilité</h3>
<p><strong>Le droit à l'oubli</strong> est devenu au fil des années un droit fondamental et relève directement du droit à la vie privée. Il doit permettre de supprimer toutes ses traces notamment sur le Web à la demande de l'utilisateur.</p>
<p><img src="https://vialet.org/public/Spam/123people/123people-fr-mini.jpg" alt="Logotype de 123people.com, copyright PagesJaunes.fr" style="float:right; margin: 0 0 1em 1em;" title="Logotype de 123people.com, copyright PagesJaunes.fr, sept. 2013" />Sont visés en droite ligne les agrégateurs comme <strong>123people</strong> (<a href="http://www.solocalgroup.com/" hreflang="fr">Solocal Group</a>, ex-PagesJaunes), <strong>Spokeo</strong>, <strong>Yasni</strong> ou encore <strong>Yatedo</strong> qui se cachent sous le prétexte de n'être « que de simples méta-moteurs » afin d'agréger des données personnelles éparses, les assembler et les monétiser grâce à la publicité ou des services associés (comme par exemple un service de suppression de données lancé par 123people !).</p>
<p><strong>La portabilité</strong> - ou droit à la récupération des données stockées - est une notion devenue familière auprès du grand public grâce notamment aux télécoms. Elle permettra à tout un chacun de transmettre aisément et on l'espère automatiquement, ses propres données personnelles d'un service à un autre ou bien de les récupérer (afin notamment, d'en évaluer l'ampleur, comme ce que <a href="http://www.lemonde.fr/technologies/article/2011/11/23/max-schrems-l-important-c-est-que-facebook-respecte-la-loi_1607705_651865.html" hreflang="fr" title="Max Schrems : « L'important, c'est que Facebook respecte la loi »">ce jeune Autrichien</a> avait réussi non sans mal à obtenir de <strong>Facebook</strong>).</p>
<p>Le but de ce point de la législation est de faciliter le départ d'un service en ligne pour un autre et de favoriser ainsi la concurrence tout en libérant les utilisateurs trop souvent captifs d'un site du fait de leurs données (amis, messages, photos, fichiers, etc.).</p>
<h3>4. Encadrement du <em>profiling</em></h3>
<p>Le site <a href="http://www.e-marketing.fr/Definitions-Glossaire-Marketing/Profiling-6195.htm" hreflang="fr">e-marketing.fr</a> nous donne une définition précise de ce qu'est le <strong>profiling</strong> appliqué au marketing :</p>
<p><q>Utilisation des données clients (caractéristiques, nature des achats, résultats d'enquêtes…) contenus dans une base de données afin de déterminer des profils de comportement d'achat et/ou de consommation. L'exploitation de ces données socio-démographiques, attitudinales et/ ou comportementales doit permettre de moduler l'offre en fonction de la nature du/des profil(s) identifié(s).</q></p>
<p>Le <em>profiling</em> regroupe donc des méthodes d'agrégation de données destinées à dresser le portrait socio-démographique et comportemental d'un individu : qui est-il, où vit-il, que consomme-t-il, quels sites fréquente-t-il, etc.</p>
<p>Bien que l'agrégation de données ne soit pas vraiment légale en France et donc sujette à caution, ce principe se retrouve au cœur de la base de données mutualisée de <a href="http://conexancemd.com/fr/node/17" hreflang="fr">Conexance MD</a> (membre du <a href="http://www.sncd.org/" hreflang="fr">SNCD</a>), « <strong>l'Alliance VAD</strong> », dont les données clients issues des différents membres du réseau s'enrichissent mutuellement.</p>
<p>Le législateur européen se propose donc de mieux encadrer ces pratiques afin d'en limiteur leur portée et contrôler les abus.</p>
<h3>5. Publication des failles de sécurité</h3>
<p>Enfin, le dernier point que j'ajouterais à cette liste, survolé lors de cette conférence, me semble tout aussi essentiel en matière de protection des données personnelles et d'exposition à des risques potentiels.</p>
<p>Les piratages de bases, les fuites de données personnelles sont des problèmes plus fréquents qu'on ne le croit mais peu nombreuses sont les sociétés qui jouent la carte de la transparence vis-à-vis des premières victimes de ces failles ou de ces vols de données.</p>
<p>La nouvelle loi imposera de rendre publique toute faille de sécurité ou compromission de systèmes ou de base de données <strong>dans les 24 heures</strong> de leur découverte.</p>
<p>Bien entendu, ces avancées significatives ne sont pas sans contrarier les membres des deux « lobbies » que sont la FEVAD et le SNCD, ce dernier ayant déjà exprimé <a href="http://www.sncd.org/documentation/avis-expert_tpm.php?CSPPARTC_action=article&CSPPARTC_articleUID=27538&Aname=Revision_de_la_directive_europeenne_relative_a_la_protection_des_donnees_a_caractere_personnel_par_Nathalie_Phan_Place" hreflang="fr">son point de vue sur son site</a>. On se rappellera simplement qu'on nous prédisait déjà la fin de l'e-mailing commercial en 2004...</p>
<p>Nous avons bien compris lors de cette présentation que tout sera fait jusqu'au dernier moment afin de minimiser la portée des textes et laisser plus de latitude aux États membres afin d'assouplir certains aspects de la loi, en faisant directement pression sur les gouvernements nationaux plutôt que sur le Parlement européen.</p>
<h3>Une mise en place rapide du dispositif</h3>
<p>Le vote est prévu le 21 octobre prochain et son adoption par le Parlement européen est espérée au plus tard en avril 2014. <strong>Viviane Reding</strong>, je le rappelle la porteuse du projet, est très active et concernée par cette loi ; elle fera certainement tout pour qu'elle soit votée avant la prochaine législature malgré les pressions exercées par les lobbies concernés.</p>
<p>Un <a href="http://ec.europa.eu/justice/data-protection/minisite/" hreflang="en">mini-site</a> a été créé afin d'en présenter les principaux points :</p>
<p><a href="https://vialet.org/public/Spam/What_will_be_the_key_changes.png" title="What will be the key changes? Courtesy http://ec.europa.eu/justice/data-protection/"><img src="https://vialet.org/public/Spam/.What_will_be_the_key_changes_m.png" alt="What will be the key changes? Courtesy http://ec.europa.eu/justice/data-protection/" style="display:block; margin:0 auto;" title="What will be the key changes? Courtesy http://ec.europa.eu/justice/data-protection/, sept. 2013" /></a></p>
<p>Enfin, les juristes de la <strong>FEVAD</strong> ont mentionné un projet dénommé <a href="http://www.youronlinechoices.com/" hreflang="en">YourOnlineChoices</a> avec lequel j'aimerais terminer ce billet.</p>
<p>Poussé par l'<acronym title="Interactive Advertising Bureau">IAB</acronym> (l'organisme de standardisation de la publicité sur le Web), ce site a pour vocation d'informer le consommateur sur la publicité ciblée et comportementale. Il permet notamment de supprimer certains <strong>cookies</strong> qui auraient été déposés sur votre ordinateur suite à la visite de sites, l'affichage de publicités, etc.</p>
<p>Le site <a href="http://www.youronlinechoices.com/fr/wp-content/uploads/2010/10/fr_parameters.gif">encourage clairement l'activation des cookies</a> de <em>tracking</em> aussi appelés <strong>cookies tiers</strong> et affiche ce message humoristique lorsque leur outil de détection des traces que vous aurez laissées en navigant est utilisé sans ces cookies. :-)</p>
<p><a href="https://vialet.org/public/Spam/Message_youronlinechoices.com.png" title="Message d'erreur YourOnlineChoices.com"><img src="https://vialet.org/public/Spam/.Message_youronlinechoices.com_m.png" alt="Message d'erreur YourOnlineChoices.com" style="display:block; margin:0 auto;" title="Message d'erreur YourOnlineChoices.com, sept. 2013" /></a></p>
<p>Afin de ne plus subir cette forme d'espionnage qui en l'absence de législation précise ne bénéficie d'aucun encadrement digne de ce nom, je vous invite à <a href="https://vialet.org/blog/post/2013/07/Do-Not-Track-faites-le-vous-meme">suivre mes recommandations</a> qui vous rendront aussi anonyme que vous pourriez l'être dans une boutique physique.</p>