Exposé de Jacques RIBS (27 novembre 1997)

LE COMMERCE ÉLECTRONIQUE FACE À LA PROTECTION DES DONNÉES PERSONNELLES

Jacques RIBS
Conseiller d'État honoraire, membre de la Commission nationale de l'informatique et des libertés (CNIL)

II est vrai que certains des propos que j'ai entendus tout à l'heure commencent à nous être familiers à la CNIL, et que certains des systèmes qui ont été évoqués nous ont été soumis parce que l'internet est une nouveauté, mais les problèmes restent souvent les mêmes.

Les problèmes de confidentialité et de protection du consommateur et de l'individu demeurent, face à cette nouvelle technologie. Aussi, c'est un problème qui ne doit pas nous laisser indifférent, car non seulement se pose la question de la langue mais aussi va se poser très rapidement la question de l'éthique et des règles juridiques sur la Toile.

Alors, si vous me permettez, avant d'aborder ce point, je voudrais vous donner un petit panorama de ce qu'est la réalité actuelle. D'abord, nous ne sommes qu'à l'aube, même au départ de l'aube, puisqu'actuellement le commerce électronique doit représenter à l'échelle de la planète à peu près trois milliards de dollars, c'est donc à peu près rien et on imagine qu'aux environs de 2002, ça atteindra à peu près 10% du commerce mondial, mais aujourd'hui nous ne sommes qu'à une phase préparatoire de réflexion.

La caractéristique de l'internet est liée à la nature même de ce réseau, c'est un réseau ouvert à l'échelle du monde et par conséquent, il ne faut pas oublier, et là nous entrons directement dans le problème des données personnelles, que toute information qui circule sur la Toile peut être téléchargée sur un microordinateur depuis quelque endroit du monde que ce soit. Toute personne qui participe à un forum de discussion entre internautes peut être épiée par tous et les messages laissés dans le contexte normalement éphémère d'une discussion entre individus peuvent être recopiés numériquement, classés, archivés, exploités et depuis quelques mois déjà, il existe des banques de données qui indexent toutes les informations qui figurent dans les forums de discussion et permettent ainsi d'accumuler une formidable réserve de renseignements.

Le développement de logiciels, capables de fouiller le réseau pour rassembler toutes les informations se rapportant à une personne parce que ce sont toutes vos curiosités sur la Toile qui peuvent être ainsi fouillées, recensées, centralisées, permet la constitution de bases de données gigantesques, et il suffit de saisir le nom d'une personne pour collecter dans l'instant son courriel et tous les renseignements qu'elle a pu laisser, c'est-à-dire des informations de toute nature, vous voyez tout de suite l'intérêt commercial, les goûts, les loisirs, le comportement, les opinions, les orientations de toutes sortes.

Rapporté au commerce électronique, on arrive immédiatement à deux conclusions, deux interrogations plus exactement : est-il convenable que toute transaction entre un consommateur et un commerçant sur l'internet ne soit pas protégée des regards indiscrets ? Votre voisin a-t-il à savoir que vous avez acheté une cravate et pas davantage quel est son prix, encore moins quel est le numéro de votre carte bancaire, si vous n'avez pas donné votre accord ? Or la situation de la Toile, c'est celle-là actuellement, c'est-à-dire cet immense réseau de connaissance des uns et des autres à l'insu de tous.

Deuxième point, toutes les informations que vous livrez dans un cadre déterminé, un forum de discussion ou que vous destinez à une personne déterminée par le biais de la messagerie électronique, ont-elles à être captées à votre insu par des opérateurs qui vont être soucieux d'établir votre profil de consommateur ? Quand vous agissez dans la vie courante, et c'est une donnée qu'il faut avoir en esprit, vous n'avez pas votre carte d'identité. Vous entrez dans un magasin pour essayer un pantalon, vous ne donnez pas votre carte d'identité. Sur l'internet, si. Tout le monde sait ce que vous avez fait et pensez donc qu'au point de vue commercial, c'est passionnant.

Une autre des caractéristiques de l'internet, est de générer de très grandes quantités de données transactionnelles. Lorsqu'un internaute consulte un site, une trace en est conservée, le plus souvent à son insu et ça ne se borne pas à repérer l'adresse de la machine de l'utilisateur et la trace de cette visite, mais également le temps de connexion, qui témoigne de votre intérêt pour le sujet. Également les témoins de connexion ("cookies") ou les "applets java" qui aussi posent un problème extrêmement délicat et qui nous préoccupe.

Vous savez que ces témoins ou mouchards consistent lorsque l'on se connecte à un autre site, à ce que celui auquel on se connecte peut envoyer dans le disque dur de celui qui consomme des sortes de fiches qui vont lui permettre ensuite de conserver en mémoire le souvenir de cette connexion, du sujet de cette connexion, de telle sorte que chaque fois que vous serez connecté à un site, tous vos passages vont aller dans la mémoire des ordinateurs de ceux auxquels vous vous êtes connecté. Vous voyez donc aussi les conséquences commerciales considérables. Alors on peut vous dire que c'est pour mieux connaître vos goûts, et ça me fait penser à l'histoire du loup et du petit chaperon rouge, "mais c'est pour mieux t'aimer mon enfant", c'est pour mieux connaître vos goûts, pour mieux vous servir, ce qui n'est pas faux dans une certaine mesure, mais c'est aussi pour accumuler une série de renseignements considérables. Alors, ce marquage par témoins, en principe, devrait être normalement connu.

Et il y a autre chose qui est apparu, c'est ce qu'on appelle les appliquettes ("applets"), c'est-à-dire des mécanismes de fouille de votre disque dur à votre insu et là sans vous être connecté ; on peut aujourd'hui fouiller le disque dur de tout le monde et savoir quelles ont été les interrogations de toutes sortes, même au plan privé.

Alors, vous reconnaissez que tout de même, face à ce tableau, il y a quelques questions à se poser. Est-ce que nous sommes vraiment tout à fait démunis ? Sans doute pas, parce que nous avons quand même la loi de 1978, les principes demeurent même si les techniques évoluent.

Nous avons maintenant une directive européenne qui fait que l'Union européenne parle de la même voix sur ce terrain et la directive européenne précise que le responsable du traitement informatique doit informer la personne auprès de laquelle les données sont collectées de la finalité du traitement auquel elles sont destinées ; de son droit de s'opposer à ce que les données la concernant puissent être traitées à des fins de prospection commerciale ; de son droit de s'opposer à ce que les données soient cédées à un tiers et un autre principe fondamental, que les données recueillies sur une personne dans un but déterminé doivent êtres utilisées exclusivement pour cette finalité et ne peuvent pas être traitées ultérieurement de manière incompatible avec la finalité initiale, et la directive impose au responsable du traitement de prendre toute mesure pour assurer la sécurité des données nominatives, c'est-à-dire, empêcher qu'elles soient altérées, détournées de leur finalité ou communiquées à des tiers qui n'auraient pas à les connaître.

Mais le propre de l'internet, c'est d'être un réseau mondial. Actuellement la CNIL, comme les autorités de contrôle européennes, s'attache très fortement à promouvoir une concertation internationale dans ce domaine et le défi que lance l'internet à notre législation nationale ne doit pas nous tromper, c'est un problème extrêmement proche de la défense de la francophonie. Il ne s'agit pas de renoncer à des principes qui sont les nôtres, qui sont maintenant ceux de l'Europe entière et qui ont su s'adapter à tous les statuts technologiques, minitel, carte à puce, micro-ordinateur, architecture en réseau, mais il s'agit de s'efforcer d'en étendre l'application hors des frontières européennes en s'assurant que des mécanismes simples de contrôle international puissent êtres mis en place. C'est le grand enjeu des jours et des mois actuels, or, et là nous arrivons à quelque chose qui doit faire réfléchir ceux qui s'intéressent comme vous à la francophonie, si l'ensemble des pays de l'Union européenne est maintenant sur des positions communes, positions communes fondées sur une réglementation légale transfrontières des flux de données personnelles, qui s'applique d'ailleurs, je le souligne aussi bien aux données concernant les personnes physiques que les personnes morales, les deux autres puissances économiques du monde, c'est-à-dire les États-Unis et le Japon, n'ont pas du tout la même approche, et là il y a un grand débat mondial dans cette affaire.

Le MITI japonais (Ministère de l'industrie et du commerce extérieur), de son côté, recommande, mais sans aucune coercition, l'utilisation de simples conseils, dont le fond est en fait très proche de la directive européenne, mais aucune réglementation, seulement des suggestions. Les États-Unis, eux, pour le moment, rejettent toute idée de réglementation, de nature, à leurs yeux, à gêner les affaires, considérant, et un arrêt récent de la Cour suprême les conforte, que tout cela relève en réalité de la seule conscience de chaque individu. L'adoption de codes de déontologie pourrait à leurs yeux améliorer les choses, cela constitue un plus pour le consommateur et donc un bon argument de vente. Quelqu'un se connectera bien plus volontiers vers un site qui vous offre des règles de déontologie que vers un autre. Je considère donc que c'est la réponse appropriée aux excès du commerce électronique et ils ont maintenant inventé quelque chose d'admirable, ce sont des logiciels permettant de combattre les techniques intrusîves. Techniques intrusives qui se font à partir de logiciels qu'ils ont déjà vendus, ils vont vous vendre maintenant avec le feu, le pompier. Voilà où on en est, et par conséquent les États-Unis disent qu'au plan mondial, c'est très bien, tout est en ordre, chacun n'a qu'à suivre sa conscience et se connecter où il veut, ne pas aller là où ce n'est pas bien, des codes de déontologie l'éclaireront ; ainsi, finalement si l'on a les moyens de s'offrir ce logiciel qui sera très cher, on pourra bloquer toutes ces intrusions dans la vie privée.

C'est donc en réalité un véritable face-à-face culturel auquel nous assistons en ce moment et les États-Unis l'ont bien compris. Le monde est arrivé à peu près à cette idée qu'une concertation internationale devient nécessaire. L'Organisation Mondiale du Commerce y travaille actuellement, la Commission Européenne est extrêmement active, elle mène des discussions bilatérales avec les États-Unis et le Japon, et en réalité, ce qui amène tout le monde à la table des discussions, c'est que la Commission Européenne dans ses articles 25 et 26 interdit le flux transfrontières de données vers des pays n'ayant pas un degré de protection adéquat à celui de l'Union Européenne. Il va bien falloir qu'une négociation mondiale s'établisse pour définir ce degré de protection adéquat et permettre ce flux de données transfrontières. C'est l'objet des conversations actuelles. Il faut dans cette période, veiller attentivement à ce qu'au détriment de la protection des données personnelles, les principes que nous nous imposons depuis près de 20 ans, ne s'établisse pas, au gré de cette négociation, une sorte de consensus vague sur une protection qui serait insuffisante et dans ce domaine, les entreprises françaises, les utilisateurs de l'internet, les autorités de contrôle européennes et les institutions européennes semblent faire un front uni.

Je crois qu'au-delà de la défense de la langue française, il s'agit de défendre ici des principes qui sont, non seulement communs à l'ensemble des États européens mais aussi au Québec qui est doté, ainsi que les Provinces du Canada, d'une loi de protection des données. C'est remplir le vœu qui a été exprimé à Montréal par les ministres francophones, et rappelé à Hanoi, d'une éthique et d'une déontologie commune où nos valeurs juridiques et ethniques demeureront, et donc à coté du défi linguistique, il y a cet autre défi qui se pose actuellement. Les ministres francophones chargés des inforoutes ont invité les pays francophones à agir solidairement et efficacement au sein des instances internationales afin que soit respectée une éthique et à développer une déontologie commune des usages sur les inforoutes permettant d'éviter toutes les dérives potentielles : c'est ce sujet-là en réalité que j'ai traité devant vous, j'ai essayé de vous en montrer ses enjeux pour que les uns et les autres, nous ayons cela à l'esprit, car je crois que pour la défense de certaines valeurs culturelles, auxquelles nous sommes attachés, c'est un des grands enjeux du monde libre.

Retour au sommaire des actes des 10ème et 11ème journées
Retour au sommaire des journées
Retour au sommaire général