La nouvelle édition du Salon e-Commerce Paris était l'occasion pour le SNCD de communiquer quelques chiffres sur l'activité de ses membres et de son enquête annuelle Email Marketing Attitude 2013, usages et tendances de la communication personnelle online présenté cette année par l'entreprise Bisnode, ex-WDM-Directinet.

Je retiendrai essentiellement celui-ci, symptomatique : 59% des internautes cherchent le lien de désabonnement (+17 points par rapport à 2012) pour interrompre la communication avec la marque au détriment de la suppression des e-mails sans les lire (source Journal du Net).

Mais j'étais surtout venu assister à la présentation faite par la FEVAD des points clés du projet pour les personnes de la Commission Européenne, projet portée par Viviane Reding.

Copyright 2012 - Data protection, Pierre Kroll Ce projet est en effet essentiel quand on sait que les règles européennes (donc françaises) en matière de protection des données personnelles datent 1995. C'est-à-dire la préhistoire à l'échelle temporelle d'Internet et face à l'explosion des réseaux sociaux ou du Big Data.

Ces règles ont cependant été renforcées en 2002 avec la Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques adoptée en partie en 2004 en France à travers le paquet dit Loi pour la confiance dans l'économie numérique.

Il fallait donc revoir cet ensemble de lois plus forcément adaptées aux réalités actuelles du marché des données personnelles, les simplifier et harmoniser la législation à l'échelle européenne.

La FEVAD lors de cette présentation, a listé 4 grands points constitutifs du projet :

1. Licéité des traitements et consentement explicite

Il s'agit là d'obtenir avant toute forme d'exploitation des données personnelles le consentement explicite de l'internaute. Ce consentement prendra par exemple la forme d'une case à cocher.

Sont donc exclues les obscures CGU où figurent encore trop souvent les articles autorisant implicitement un site à exploiter, communiquer ou revendre vos données personnelles ou encore le processus d'opt-out.

Il est possible que la prospection commerciale par téléphone soit aussi placée sous le régime du consentement tacite, donc de l'opt-in, ce qui serait une grande avancée : fini les appels le samedi matin par Canal+, Bouygues Telecom ou encore SFR.

2. Information sur la durée de conservation des données, leur origine et les recours

Nous sommes ici face à trois notions fondamentales. On l'a vu à plusieurs reprises dans mes billets, une adresse captée en année N circulera en N+1 et N+2 sans que rien ne puisse arrêter ces échanges.

Déterminer l'origine de la communication d'une adresse e-mail à un annonceur, un programme marketing ou une base mutualisée et remonter à la source est souvent impossible, comme cela a été traité dans ce billet.

Les recours possibles, c'est-à-dire les moyens à la disposition de l'internaute afin de s'opposer à cette diffusion, devront donc être clairement établis tout comme la durée de conservation des données (et donc de commercialisation si l'accord en a été donné) devra être fixée.

La traçabilité est aussi introduite : des sociétés comme Dreamlead Interactive ou Predictys (dont j'attends encore une réponse) ne pourront plus faire de la rétention d'information et seront sommées de fournir l'origine de la captation des données personnes à qui le leur demandera, via une procédure (les recours) bien identifiée.

Ce point met donc en lumière et pallie le manque de professionnalisme de nombreux acteurs du secteur qui conservent ad vitam æternam vos données personnelles, les revendent à de très nombreuses sociétés sans en conserver la trace (comme ce fut le cas pour I-Consulting.be) et en vous adressant de surcroit une fin de non-recevoir.

3. Droit à l'oubli, droit à la portabilité

Le droit à l'oubli est devenu au fil des années un droit fondamental et relève directement du droit à la vie privée. Il doit permettre de supprimer toutes ses traces notamment sur le Web à la demande de l'utilisateur.

Logotype de 123people.com, copyright PagesJaunes.frSont visés en droite ligne les agrégateurs comme 123people (Solocal Group, ex-PagesJaunes), Spokeo, Yasni ou encore Yatedo qui se cachent sous le prétexte de n'être « que de simples méta-moteurs » afin d'agréger des données personnelles éparses, les assembler et les monétiser grâce à la publicité ou des services associés (comme par exemple un service de suppression de données lancé par 123people !).

La portabilité - ou droit à la récupération des données stockées - est une notion devenue familière auprès du grand public grâce notamment aux télécoms. Elle permettra à tout un chacun de transmettre aisément et on l'espère automatiquement, ses propres données personnelles d'un service à un autre ou bien de les récupérer (afin notamment, d'en évaluer l'ampleur, comme ce que ce jeune Autrichien avait réussi non sans mal à obtenir de Facebook).

Le but de ce point de la législation est de faciliter le départ d'un service en ligne pour un autre et de favoriser ainsi la concurrence tout en libérant les utilisateurs trop souvent captifs d'un site du fait de leurs données (amis, messages, photos, fichiers, etc.).

4. Encadrement du profiling

Le site e-marketing.fr nous donne une définition précise de ce qu'est le profiling appliqué au marketing :

Utilisation des données clients (caractéristiques, nature des achats, résultats d'enquêtes…) contenus dans une base de données afin de déterminer des profils de comportement d'achat et/ou de consommation. L'exploitation de ces données socio-démographiques, attitudinales et/ ou comportementales doit permettre de moduler l'offre en fonction de la nature du/des profil(s) identifié(s).

Le profiling regroupe donc des méthodes d'agrégation de données destinées à dresser le portrait socio-démographique et comportemental d'un individu : qui est-il, où vit-il, que consomme-t-il, quels sites fréquente-t-il, etc.

Bien que l'agrégation de données ne soit pas vraiment légale en France et donc sujette à caution, ce principe se retrouve au cœur de la base de données mutualisée de Conexance MD (membre du SNCD), « l'Alliance VAD », dont les données clients issues des différents membres du réseau s'enrichissent mutuellement.

Le législateur européen se propose donc de mieux encadrer ces pratiques afin d'en limiteur leur portée et contrôler les abus.

5. Publication des failles de sécurité

Enfin, le dernier point que j'ajouterais à cette liste, survolé lors de cette conférence, me semble tout aussi essentiel en matière de protection des données personnelles et d'exposition à des risques potentiels.

Les piratages de bases, les fuites de données personnelles sont des problèmes plus fréquents qu'on ne le croit mais peu nombreuses sont les sociétés qui jouent la carte de la transparence vis-à-vis des premières victimes de ces failles ou de ces vols de données.

La nouvelle loi imposera de rendre publique toute faille de sécurité ou compromission de systèmes ou de base de données dans les 24 heures de leur découverte.

Bien entendu, ces avancées significatives ne sont pas sans contrarier les membres des deux « lobbies » que sont la FEVAD et le SNCD, ce dernier ayant déjà exprimé son point de vue sur son site. On se rappellera simplement qu'on nous prédisait déjà la fin de l'e-mailing commercial en 2004...

Nous avons bien compris lors de cette présentation que tout sera fait jusqu'au dernier moment afin de minimiser la portée des textes et laisser plus de latitude aux États membres afin d'assouplir certains aspects de la loi, en faisant directement pression sur les gouvernements nationaux plutôt que sur le Parlement européen.

Une mise en place rapide du dispositif

Le vote est prévu le 21 octobre prochain et son adoption par le Parlement européen est espérée au plus tard en avril 2014. Viviane Reding, je le rappelle la porteuse du projet, est très active et concernée par cette loi ; elle fera certainement tout pour qu'elle soit votée avant la prochaine législature malgré les pressions exercées par les lobbies concernés.

Un mini-site a été créé afin d'en présenter les principaux points :

What will be the key changes? Courtesy http://ec.europa.eu/justice/data-protection/

Enfin, les juristes de la FEVAD ont mentionné un projet dénommé YourOnlineChoices avec lequel j'aimerais terminer ce billet.

Poussé par l'IAB (l'organisme de standardisation de la publicité sur le Web), ce site a pour vocation d'informer le consommateur sur la publicité ciblée et comportementale. Il permet notamment de supprimer certains cookies qui auraient été déposés sur votre ordinateur suite à la visite de sites, l'affichage de publicités, etc.

Le site encourage clairement l'activation des cookies de tracking aussi appelés cookies tiers et affiche ce message humoristique lorsque leur outil de détection des traces que vous aurez laissées en navigant est utilisé sans ces cookies. :-)

Message d'erreur YourOnlineChoices.com

Afin de ne plus subir cette forme d'espionnage qui en l'absence de législation précise ne bénéficie d'aucun encadrement digne de ce nom, je vous invite à suivre mes recommandations qui vous rendront aussi anonyme que vous pourriez l'être dans une boutique physique.