Protection de nos données privées : dans l’enfer des conditions générales d’utilisation imposées par trop de sites Internet

Atlantico : Longues, incompréhensibles, indigestes... Les politiques de confidentialité des sites de navigation sont rarement lues par les internautes. Que contiennent réellement ces politiques de confidentialité et que cachent-elles ?

Etienne Drouard : Pour être lu dans ce domaine, il faut être intéressant ou court. Or, un internaute "moyen" s’inscrit à un service parce que celui-ci l’intéresse et non parce que ses conditions d’utilisation sont elles-mêmes intéressantes ou limpides. Celles d’Atlantico.fr font 8 pages imprimées, 16.000 signes. C’est plutôt peu par rapport à la moyenne. Généralement, les " privacy policies " ou " chartes de vie privée " ne cachent rien. On leur reproche au contraire d’être trop complètes, parfois trop complexes.

Un documentaire américain réalisé en 2013, intitulé " Terms And Conditions May Apply ", montre bien qu’un internaute américain " moyen " s’inscrivant aux services les plus populaires du web au cours d’une année, devrait consacrer 8 jours et 8 nuits " non-stop " pour lire les " Terms and Conditions " régissant les services qu’il a souscrits. La longueur de ces textes, qui ne cesse de s’accroître et en décourage la lecture, résulte en réalité d’une double dérive.

La première dérive est réglementaire, et ce à l'échelle mondiale. Elle provient des régulateurs eux-mêmes (comme la CNIL, en France). Elle a pris historiquement sa source dans la rédaction extrêmement détaillée des politiques d’inspiration américaine, dans lesquelles tous les usages éventuels qu’une entreprise peut souhaiter faire d’une donnée, doivent être décrits par l’entreprise dans sa " privacy policy", de sorte qu’aucun détail ne soit oublié -faute de quoi l’usage des données serait réputé déloyal et engagerait la responsabilité de l’entreprise. Les régulateurs européens ont emboîté le pas de cette inflation d’information réglementaire, entre les années 1990 et 2010, lorsqu’ils ont dû harmoniser leurs cultures de la vie privée, c’est-à-dire " empiler " et non "compiler " leurs pratiques respectives.

Chaque régulateur en Europe a ainsi greffé ses propres exigences, héritées de son histoire démocratique, sur la réglementation européenne adoptée depuis 1995. L’Allemagne a retenu que tout partage de données entre deux entités était soumis à un consentement des personnes qui imposait de détailler et de distinguer très précisément les finalités d’un tel partage, laissant aux personnes le soin de s’exprimer sur chacune des finalités ainsi détaillées. Cette doctrine forte était destinée à rassurer le peuple allemand après les révélations de l’ampleur de la surveillance qu’avait pratiquée la StaSi Est-allemande jusqu’à la chute du mur de Berlin. L’Espagne a imposé de lister toutes les sociétés avec lesquelles une entreprise pourrait envisager, à l’avenir, de partager les données qu’elle recueille (phénomène issu du détournement dans les années 1990 des annuaires téléphoniques à des fins électorales). La France a, elle aussi, multiplié les précisions d’information devant être fournies aux personnes lors de la collecte de leurs données, puis a versé à partir de 2004 dans les règles de " consentement " pratiquées par certains de ses homologues européens.

La seconde explication est technologique et économique. Bien informer, c’est expliquer au minimum l’existence des technologies employées, pour décrire leur usage et les facultés de choix et de paramétrage disponibles à l’internaute. Mais c’est également expliquer le modèle économique de l’entreprise pour expliquer son financement : qui est qui, ce que peuvent faire des filiales, des partenaires commerciaux, des sous-traitants, des hébergeurs de données, etc.

A quoi s'engagent vraiment les internautes en les signant ?

D’abord, à les avoir lues. En droit américain, cela revient dans la plupart des cas à "take it or leave it" (à prendre ou à laisser). L’internaute est réputé responsable de ses actes : accepter des conditions d’utilisation, c’est consentir à l’intégralité de leur contenu. En droit européen, de nombreuses règles viennent réduire la portée d’une acceptation en bloc : lorsque le consentement explicite est requis pour certains usages de données, lorsque des clauses sont abusives, etc. Dans ces cas, l’acceptation de conditions d’utilisation revient à manifester l’information de l’internaute sur leur contenu. Mais tous les points soumis à son accord spécifique devront faire l’objet d’une information distincte des conditions d’utilisation et assortie d’un moyen de manifester librement sa volonté.

Que signifie par ailleurs le terme "consentement explicite" ?

En droit européen, c’est le droit d’exprimer sa volonté librement (de manière discrétionnaire et rétractable), indépendamment de l’accès à un service, pour autoriser un traitement spécifique de ses données pour lequel on a reçu une information claire et complète. La législation européenne requiert que les droits reconnus aux personnes - refus, consentement - soient assortis d’informations de plus en plus précises et assorties d’exceptions et de cas particuliers. Après le consentement explicite au traitement de données dites " sensibles " (opinions, santé) apparu dès les années 1970, est apparu le consentement à recevoir des prospections par courrier électronique - e-mail et SMS - (2002), le consentement à l’utilisation commerciale des données de communication (2002), le consentement au traitement de données de géolocalisation (2002), puis l’accord à l’enregistrement de " traceurs " dans le terminal de l’utilisateur (2009).

Qu'est-ce qui est dit sur les données utilisées et ce qui est fait ?

Ce qui sera fait doit être dit. Les sujets traités dans une " privacy policy " couvrent l’intégralité des questions juridiques entourant la fourniture d’un service et l’utilisation des données : celles qui sont recueillies auprès de l’utilisateur; celles qui résultent de son utilisation du service; puis tous les usages envisagés des données : utilisation commerciale, publicitaire, gestion des paiements, des identifiants confidentiels, sécurité, partage avec des tiers (entre sociétés filiales d’un groupe, avec des partenaires commerciaux, des prestataires et sous-traitants). S’y ajoutent les droits des personnes (droit d’accès, d’opposition, de suppression), leurs modalités d’exercice, etc. Sans oublier tous les autres points " classiques " d’un contrat de prestation de services en ligne : conditions de liberté d’expression, propriété intellectuelle, droit de la consommation, garanties, livraison, responsabilité, loi applicable, voies de recours, etc.

Quelles sont les techniques de langage utilisées par ces politiques de confidentialité pour parvenir à embrouiller les internautes ?

Pour reprendre votre expression, deux types d’ " embrouille " se font concurrence. Chacune tend à simplifier l’explication donnée aux internautes. D’une part, une formulation qui sert les intérêts de l’entreprise et qui consiste à présenter positivement les conditions d’usage des données, comme une facilité, un élément du service souscrit, une condition de son adaptation aux attentes du consommateur, etc. D’autre part, les formulations promues par les régulateurs et qui ont tout autant vocation à simplifier le discours, mais qui créent des raccourcis auxquels on reproche souvent d’avoir un effet effrayant pouvant conduire les utilisateurs à fuir le service… Mais pour aller où ? Vers quels autres modèles économiques ? Vers quel acteur plus vertueux et néanmoins performant ? Et de quel côté de l’Atlantique ?

Les données des internautes sont-elles uniquement utilisées par les sites en question ?

Lisez leurs conditions d’utilisation ou les mentions d’information légale et vous le saurez. Soit les données ne sont utilisées que par le site visité ou pour son seul bénéfice (avec le recours à des prestataires). Soit elles sont partagées avec des sociétés d’un même groupe, ou transmises à des partenaires commerciaux externes, ou accessibles à un public restreint d’autres internautes, ou bien alors elles sont publiées " urbi et orbi ".

Comment se protègent les sites légalement à travers ces politiques ?

L’information des internautes la plus complète possible tend à protéger les sites car elle répond à l’exigence de transparence requise dans toutes les législations en vigueur. En Europe, les règles de protection des consommateurs, les clauses abusives, les limitations de responsabilité, etc., sont tellement draconiennes, qu’on peut considérer que 95% du contenu des conditions d’utilisation ou des privacy policies ne fait que refléter une obligation légale d’information. Pour faire désenfler la taille des " privacy policies ", le Parlement européen propose actuellement de remplacer des explications écrites par des signalétiques simples. On réinvente ainsi le code de la route sur le web, en résumant en panneaux ce que des règles codifiées décrivent. On améliorera peut-être les outils mis à la disposition des entreprises, mais les personnes devront encore jouer le rôle qu’on leur assigne : faire des choix.

Toutes les clauses de ces politiques de confidentialité sont-elles valables ?

Cette question est trop générale pour apporter une réponse concrète. Mais on peut résumer les politiques non-valables comme ceci. Celles qui font 90 pages et qui pourraient se résumer ainsi : " Votre vie privée consiste à être informé que vous n’aurez plus aucune vie privée en accédant à nos services, nous ferons tout ce qu’il nous plaira de faire de vos données, nous les partagerons avec la terre entière pour toutes les raisons qui nous paraitront utiles et pour l’éternité, sans marche arrière et même sans aucun lien avec ce service, et vous ne disposerez d’aucun droit, si ce n’est celui de prendre vos jambes à votre cou si vous avez eu le vice de lire les 90 pages de cette privacy policy. En cliquant sur "j’accepte", vous acceptez aussi toute modification de cette politique que serait encore pire que celle que vous venez de lire. "

Quels sont les recours dont disposent les utilisateurs ?

Un peu de réflexion et des choix autonomes peuvent très efficacement servir de recours suffisant. Utiliser Internet sans se soucier de savoir à qui on fournit ses données, pour quel usage, quelle diffusion et quelle durée, c’est un peu comme traverser un champ de tir en levant les yeux au ciel : l’ignorance ou l’assurance n’évitent pas le danger. Lorsqu’on est finalement victime de quelqu’un d’autre que de soi-même, les deux voies de recours les plus utilisées sont, d’une part, la saisine d’une entreprise et l’action médiatique qui peut faire la différence et, d’autre part, la saisine d’une autorité publique compétente… selon ses moyens et ses frontières territoriales.

C’est parce qu’il ne faut pas attendre de se poser la question d’un recours pour commencer à penser à sa manière de naviguer sur le web, que la vigilance -l’exigence- des internautes est déterminante.