datum 02/2011

Sommaire

Thèmes

Pas de pistage à l'aide de fichiers témoins sans le consentement des utilisateurs

Pour le secteur de la publicité en ligne, analyser les habitudes des utilisateurs sur la Toile est une affaire lucrative; cela dit, c'est une atteinte à la vie privée de ces derniers. En Europe, les législateurs, mais aussi le secteur concerné, déploient actuellement des efforts en vue de renforcer les droits des utilisateurs. A l'avenir, les internautes devraient même pouvoir s'opposer à l'analyse de leurs données. Entre les publicitaires et les commissaires à la protection des données, il y a toutefois des divergences sur la mise en œuvre de ce projet.

Quiconque surfe sur la Toile laisse des traces. A l'instar d'une balade hivernale qui laisse des empreintes dans la neige, l'itinéraire d'un internaute, son adresse IP, son emplacement géographique approximatif, toutes les données saisies sur un certain site (p. ex. des résultats de recherche ou des indications sur un formulaire) et d'autres informations encore peuvent être identifiés à l'aide de fichiers témoins («cookies») enregistrés par le navigateur. Pour relever ces traces, le secteur de la publicité en ligne recourt notamment à des fichiers témoins provenant de tiers. Les informations ainsi collectées  sont analysées par des agences spécialisées, qui s'en servent pour établir des profils d'utilisateurs, qu'elles vendent ensuite à l'industrie publicitaire. La publicité comportementale en ligne (PCL) est une affaire lucrative pour les deux parties. En effet, mieux une entreprise connaît ses clients potentiels, mieux elle peut leur adresser de la publicité ciblée.

Cette pratique porte toutefois atteinte à la sphère privée de l'utilisateur. Les données collectées au fil de son cheminement sur la Toile peuvent renseigner des tiers sur ses préférences, ses convictions et ses habitudes. Les fichiers témoins provenant de tiers, qui ne sont pas déposés par l'opérateur du site, mais par un tiers, tels qu'un annonceur publicitaire, sont particulièrement «bavards». Comme les agences qui insèrent les publicités sont organisées au sein de vastes réseaux et qu'elles échangent  entre elles les données des utilisateurs, des montagnes de données, qui peuvent être recoupées avec d'autres informations figurant sur la Toile, sont ainsi générées. Les personnes qui consultent un site savent rarement quelles informations sont collectées à leur sujet, qui y a accès et à quelles finalités  elles sont utilisées. Le droit de tout individu de disposer lui-même des données le concernant est ainsi bafoué. 

Deux approches en Europe : la loi ou l'autorégulation

Des projets sont actuellement en cours pour remédier à cette situation, du moins si les choses évoluent comme le souhaite l'UE. Se fondant sur la directive «vie privée et communications électroniques » révisée en 2009, l'UE exige plus de transparence et de sécurité pour les consommateurs sur la Toile. Concrètement, les fichiers témoins ne doivent plus pouvoir être déposés sur le navigateur des utilisateurs sans le consentement exprès de ces derniers. La directive exige par ailleurs que les utilisateurs reçoivent une information claire et complète sur les finalités du traitement des données collectées à l'aide de fichiers témoins. La mise en œuvre des dispositions doit se faire de manière  aussi conviviale que possible. La directive doit encore être mise en œuvre dans les Etats membres de l'UE. Le délai initial prévu à cet effet, à savoir le 25 mars de cette année, est écoulé.

Le secteur de la publicité en ligne voit cette réglementation d'un mauvais œil, la jugeant trop stricte. Il  prône une approche basée sur l'autorégulation. Des entreprises renommées telles qu'AOL, Google, Microsoft et Yahoo ont de ce fait signé un accord dans lequel elles s'engagent sur une base volontaire  à respecter certaines règles lors du traitement de données d'utilisateurs collectées en ligne. Lorsque la PCL est utilisée sur un site, l'internaute peut cliquer sur une icône et voir ainsi qui diffuse la publicité, à quelles finalités ses données seront utilisées et comment il peut s'opposer à leur saisie. 

Instauré en avril 2011, ce droit de refus (« opt-out »), que 10 % seulement des membres de l'association des publicitaires en ligne (IAB) accordent aux internautes, ne suffit pas aux commissaires  européens à la protection des données. Ils estiment que la publicité comportementale doit être interdite par défaut dans les navigateurs et autorisée uniquement à la demande expresse de l'utilisateur. Ils jugent par ailleurs peu claires, dans la solution choisie par les publicitaires, les informations apparaissant à l'écran lorsque l'internaute clique sur l'icône en question.

Quant au droit suisse, il n'autorise lui aussi que les procédures PCL offrant une transparence et une information suffisantes. Il n'est pas encore possible d'évaluer les conséquences de la directive de l'UE pour les publicitaires suisses tant qu'elle n'aura pas été mise en œuvre dans les Etats membres de l'UE. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est en contact avec le secteur à ce propos.

Sources:

En bref

Portail pour une administration transparente

Il y a cinq ans, la loi sur la transparence est entrée en vigueur en Suisse. Elle doit contribuer à accroître la transparence dans l'administration fédérale. Tout citoyen peut depuis lors demander à consulter des documents officiels sans devoir motiver sa demande. Cela dit, les personnes qui font une telle demande se heurtent encore souvent à une certaine résistance de la part des services concernés. En outre, nombreux sont ceux qui ignorent l'existence de cette loi ou qui ne la connaissent que très mal.

L'association «Öffentlichkeitsgesetz.ch» a créé un portail en ligne visant à faire bouger les choses afin que la loi sur la transparence devienne un instrument efficace en Suisse, surtout dans le domaine des médias. Ses rédacteurs évaluent des services publics, publient les documents auquel l'accès a été autorisé et relatent les derniers développements sur leurs blogs. Les citoyens qui souhaitent consulter des documents créés par une autorité fédérale ou cantonale trouvent sur le site de l'association des formulaires qui leur facilitent le travail.

Début novembre, l'association «Qualität im Journalismus»  a décerné un prix («6. Medien-Award 2011») aux exploitants du portail pour leur contribution à la promotion de la qualité et de la recherche dans le journalisme en Suisse alémanique. 

Pour de plus amples informations: http://www.loitransparence.ch/

Lu dans la presse

Décision du tribunal: les clients des banques ont le droit de consulter leurs propres données

Le droit d'accès inscrit dans la loi sur la protection des données s'applique aussi aux banques, ce qui signifie qu'elles doivent autoriser leurs clients à accéder aux données les concernant. Cette position, qui a toujours été défendue par le PFPDT, a maintenant aussi été confirmée par la cour suprême du canton de Zurich. C'est la première fois qu'une cour suprême cantonale  s'est penchée sur la question.

La cour suprême du canton de Zurich a été appelée à juger le cas de deux clients d'une grande banque suisse qui avaient demandé à consulter, dans le cadre d'une controverse avec la banque, des procès-verbaux de conseil à la clientèle enregistrés dans le système d'information interne. Les juges n'ont pas donné raison à la banque, qui objectait que les demandeurs, qui avaient saisi le tribunal, avaient agi par intérêt financier et non pour des motifs liés à la protection des données. Ils ont estimé que les clients des banques avaient le droit de consulter les données traitées par leur banque les concernant, peu importe la motivation. La banque recourt devant le Tribunal fédéral. 

Sources:

  • «Gericht fällt Urteil zugunsten geprellter CS Bankkunden» (La cour suprême donne raison aux clients lésés de Credit Suisse): Tages-Anzeiger du 18.10.2011.
  • «Credit Suisse geht wegen Datenstreit vor Bundesgericht» (Le Crédit suisse recourt devant le Tribunal fédéral à cause d'un litige concernant des données): Tages-Anzeiger du 12.11.2011.
Conseils

Cartes de crédit: évaluation des données des clients à des fins commerciales

Des informations sur le comportement des consommateurs sont très prisées, car elles permettent aux entreprises de mieux cibler les clients potentiels. Depuis un certain temps déjà, de grandes sociétés de cartes de crédit concoctent des projets visant à commercialiser de manière rentable les données concernant leurs clients. Certes, il s'agit en l'occurrence surtout de données agrégées, donc de données qui ne sont pas personnelles; si on les recoupe avec des données personnelles, elles peuvent cependant livrer des informations problématiques du point de vue de la législation sur la protection des données. Les titulaires d'une carte de crédit Mastercard qui ne souhaitent pas que leurs données soient utilisées à des fins commerciales peuvent l'indiquer sur le site de la société :

https://www.mastercard.com/chd/personal/de/general/datenanalyse-abmeldung.html (en allemand).

A propos

Explications concernant l'informatique en nuage

De plus en plus d'entreprises, d'autorités et d'institutions confient le traitement de leurs données à des entreprises externes («outsourcing»), misant sur l'informatique en nuage («cloud computing»). Dans ses explications à ce sujet, le PFPDT expose les dangers que l'informatique en nuage recèle pour la sphère privée et donne des recommandations quant à la protection des données.

Nouvelle parution

Joachim Günter: «Privatsphäre» in: Schriftenreihe Vontobel-Stiftung 2011 (en allemand; peut être commandé gratuitement).

Agenda 2012
  • 27 janvier 2012: 6e journée européenne de la protection des données
  • 23 mars 2012: Cours de formation continue à l'Université de Fribourg, PFPDT : Protection des données et nouvelles technologies, en particulier les réseaux sociaux

«datum» est une publication du Préposé fédéral à la protection des donnés et à la transparence. Elle paraît deux fois par an. Les contributions à «datum» sont libres de droits.  

Rédacteur responsable: Francis Meier

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/newsletter/aeltere-newsletter/datum-02-2011.html