Quelques semaines après l’avertissement de la Commission européenne à l’égard de l’Autorité de Protection des Données (A.P.D.), deux ans après l’entrée en application du Règlement Général de Protection des Données (R.G.P.D) et alors que certains sites semblent proposer des alternatives toujours plus complexes au si confortable « Tout Accepter », nous sommes allés poser quelques questions à Antoine Delforge, chercheur en droit (et notamment en « droit de l’informatique ») au centre de recherche « Information droit et société » de l’université de Namur.
Le 9 juin dernier nous avons appris que la Belgique était attaquée au nom d’une violation du Règlement Général de la Protection des Données (R.G.P.D.). Qui est attaqué ? Par qui ? Et pour quelle raison exactement ?
Il s’agit d’une question d’indépendance en réalité, l’indépendance de l’Autorité de Protection des Données (A.P.D.). L’A.P.D. c’est un peu le régulateur en matière de vie privée, de protection des données personnelles, de données privées. C’est l’autorité spécialisée qui s’occupe de ce type de plaintes. En Belgique, la composition de cette A.P.D. pose problème car dans certains cas il y a des membres directement dans les instances de cet organe qui ont des contacts plus ou moins proches avec certains partis politiques, ou qui ont parfois des mandats de consultation dans la création de certaines lois ou règlements… Il y a des conflits d’intérêts potentiels. Certains membres de l’A.P.D. se sont exprimés devant le Parlement fédéral il y a plus d’un an à ce sujet. En absence de réaction, ils sont allés porter cette information à la Commission européenne pour passer au niveau supérieur. Là, la Commission européenne, sur base de cet avertissement, a ouvert une procédure en infraction contre la Belgique, et a donc ouvert une enquête. Techniquement, la Belgique n’a pas encore été condamnée. Si elle réagit et qu’elle remplace les deux ou trois personnes qui pouvaient potentiellement poser souci, il n’y aura pas de problème.
Selon une étude de l’université de Cornell (U.S.A.) seuls 11,8% des sites internet analysés seraient conformes au R.G.P.D. en matière de consentement et de pratique des cookies. En quoi et comment ces sites violent-ils le R.G.P.D. et usurpent, d’une certaine manière, le consentement des internautes ?
Les sites se présentent de manière à ce que, si nous voulons y accéder, nous sommes obligés d’accepter soit tout directement soit, dans certains cas, de paramétrer de manière plus précise, plus longue, avec souvent des listes interminables… Le site part du principe que l’internaute est relativement fainéant et qu’il a envie d’accéder très vite à l’information. Donc, les sites sont faits de manière à ce que l’utilisateur clique sur le bouton le plus facile d’accès, pour pouvoir vite lire ce qu’il souhaite. Concrètement, il y a un biais qui empêche l’utilisateur de réellement choisir s’il veut que des cookies traceurs soient installés, destinés à savoir à peu près ce qu’il fait sur internet. En matière de protection des données, si on veut placer ce genre de cookies-là, il faut avoir un consentement qu’on appelle « libre et éclairé », ou encore « non faussé ». Le site doit donner les informations pour que le visiteur puisse choisir librement, sans justement que des biais soient mis en place. Pourtant, la plupart des sites s’en rendent coupables, consciemment ou non. C’est connu dans le monde du digital : s’il y a trop de procédures, on sait bien qu’on perd des gens, donc le but est de simplifier tous les processus. C’est pour ça que les procédures de vente présentent le moins d’étapes possible parce que dans le cas contraire, des gens abandonnent.
Pourrait-il y avoir une normalisation des interfaces sur lesquelles on arrive avant de pouvoir accéder à certains sites ? Il y a différents types d’interfaces avec des « Accepter » ou « Refuser », des listes assez longues, à cocher ou décocher, avec toujours le « Accepter » qui est présélectionné…
Oui, en effet, il y a des biais là aussi… On va vers une normalisation dans le sens où la plupart des sites internet ne sont pas créés par des informaticiens ou des spécialistes du web. La plupart des créateurs de sites utilisent des générateurs de pages, qui contiennent eux-mêmes des générateurs de cookies et de « bannières cookies ». Techniquement, quand on fait un site, en fonction du système qu’on utilise pour le créer, on sélectionne aussi un type de bannière. Avant, on avait juste une bannière qui disait: « Si vous restez sur le site, vous acceptez que… ». Depuis une petite année, on voit des choses plus carrées, plus correctes. Par exemple, il y a encore un an, on voyait très rarement la mention « Tout Refuser ». Maintenant, il existe l’obligation de la faire figurer si la mention « Tout Accepter » est présente. Donc en un sens, on va vers une standardisation. Je pense qu’elle ne sera jamais imposée mais les bonnes pratiques sont en cours de rédaction.
À côté du R.G.P.D., un autre règlement, le règlement ePrivacy, date de 2002. Il s’agit d’une réglementation qui concerne plus spécifiquement l’installation des cookies techniques, c’est-à-dire pour que le site internet fonctionne sur votre équipement. Normalement cette réglementation aurait dû être mise à jour avec l’instauration du R.G.P.D., mais pour des raisons de lobbying, ça n’a pas été fait. En effet, les opérateurs du web craignent que trop de réglementation concernant ces cookies techniques posent des soucis aux utilisateurs, ce qui engendrerait une baisse de leurs revenus. Au final, la révision de ce règlement n’a toujours pas été adoptée.
D’ailleurs, dans une des premières versions du règlement ePrivacy (un règlement complémentaire au R.G.P.D.), qui a été abandonnée, il y avait l’idée que ce soient les navigateurs web qui servent d’interface pour la gestion des cookies. Dans ce schéma, l’usager règle une bonne fois pour toutes ses critères d’acceptation sans devoir perpétuellement les ré-encoder. Suite à cela, il y a eu des discussions, sans doute une forme de lobbying et ça a été abandonné.
La pratique du take it or leave it est-elle légale ? Les sites web ont-ils le droit de refuser leur accès si l’utilisateur ne souhaite pas que les cookies de traçage soient installés ?
On force le consentement c’est sûr, eu égard au modèle économique derrière. Si celui-ci est transparent, il pourrait être validé. En clair, si on refuse les cookies de traçage, le modèle publicitaire est en difficulté, et donc le modèle économique du site web. Ceci devrait être plus explicite, que le site affiche mieux le cadre de ses échanges avec l’internaute, qui doivent être bien conscients des parties de cet échange.
Si les cookies de traçage sont refusés, alors la question sera d’imposer ou pas l’obligation de mettre en place une alternative monétaire: accepter les cookies, et donc le traçage, ou payer quelques centimes pour accéder à l’information. C’est logique que le site internet doive gagner de l’argent, donc si l’internaute veut à la fois profiter du site et protéger sa vie privée, peut-être devra-t-il payer. On ne peut pas exiger la gratuité du site.
La conscientisation publique aux dangers de la collecte des données est très lente. La plupart du temps, les internautes acceptent des usages intrusifs. Selon vous, à part la fainéantise déjà évoquée, qu’est-ce qui fait que l’internaute cède aussi facilement ses droits ?
Je pense que globalement ceux qui utilisent le web sont conscients des enjeux. Les personnes habituées au numérique savent très bien qu’en tapant « Vacances, soleil, Djerba » sur Google, elles risquent d’avoir des publicités corrélées. C’est vrai que les internautes ont du mal à voir les enjeux problématiques. Ils se demandent si c’est vraiment grave, certains ont accepté le principe. De temps en temps, il y a des procédés qui sont flous et malhonnêtes, c’est vrai ça peut arriver : des zones de flou pour certains sites ou des biais dans la présentation pour faciliter le consentement…
L’idée de la protection des données relatives à la vie privée, c’est que les sites doivent informer et être transparents sur l’utilisation qui sera faite de ces données. Il faut donner des informations assez sommaires mais assez claires, pour qu’on comprenne vite les enjeux. En plus, si éventuellement vous voulez plus de détails, alors là il y a un document de 4 ou 5 pages, le règlement Cookies, plus détaillé. Si les internautes ont les informations, normalement, c’est à eux de voir ce qu’ils veulent faire de leurs données, s’ils sont d’accord de rentrer dans des modèles de surveillance ou pas. Si les gens sont informés, ils sont assez intelligents pour consentir tout en restant en accord avec leurs intérêts. Mais on sait bien, même en économie, que les gens ne sont pas si rationnels que ça !
Que voulez-vous dire par là ?
La loi part du principe que le consommateur, s’il a toutes les informations, va agir de manière raisonnée. Pour prendre un exemple très bateau, s’il voit un produit trois fois plus cher qu’un autre juste parce qu’il est d’une couleur ou une forme différente, le consommateur dira: « Non, je ne vais pas mettre trois fois le prix pour ça, ce n’est pas raisonnable ». Mais en fait, ça arrive ! Les consommateurs, par confort ou fainéantise, acceptent parfois certaines choses alors qu’ils savent bien que de manière raisonnable économiquement, ils ne devraient pas le faire. L’humain a plein de biais, plein de failles psychologiques, qui font qu’il n’agit pas toujours de manière intelligente et raisonnée. Et parfois bien sûr, les sites jouent sur ces biais psychologiques de manière intentionnelle.
Au-delà de l’aspect publicitaire et donc économique, pensez-vous que les internautes soient au fait des utilisations plus problématiques, en termes éthiques, qui peuvent être faites de leurs données ? Je pense notamment aux communications des données de santé ou encore aux données bancaires…
Il y a une partie non négligeable de fantasme sur ce qui peut légalement être fait avec ces données-là. En Europe (à l’exception du Royaume-Uni vu qu’ils ont quitté l’U.E. et s’en désolidarisent sur ces questions-là) on ne peut pas faire n’importe quoi. Dans la grande majorité des cas, les informations que je mets sur facebook ne vont pas aller chez un assureur, jamais. Vu le cadre légal, ce n’est pas possible. La législation en matière de protection des données fait qu’il y a une transparence imposée. Au Royaume-Uni ça arrive beaucoup plus, il y a beaucoup plus cette porosité.
Le public, peut-être ne le sait pas, mais a beaucoup de droits, peut faire beaucoup de choses avec ses données. Il peut savoir quelles données a telle ou telle entreprise sur sa personne, les modifier, les transférer… Derrière, il y a des juges, des régulateurs, des contrôles, la police…
Vous voulez dire qu’un scandale comme celui de Cambridge Analytica ne pourrait pas subvenir en Europe ?
Si puisque là il y avait de l’illégalité ! En tous cas ce serait illégal en Europe et c’était déjà peut-être illégal aux U.S.A.. Normalement, ce qu’on fait sur facebook ne peut pas être utilisé par des partis politiques. On parle d’une époque pré-RGPD, dans laquelle il y avait déjà moins de contrôles, moins d’argent pour contrôler, plus de laxisme, des règles moins claires. Maintenant on a resserré les vis. En France, pays qui surveille beaucoup, ils ont bien clarifié que ce n’était pas possible. Il y a eu des débuts de ce genre de campagnes de récolte d’informations sur les réseaux sociaux, destinées à orienter ensuite un discours politique. Ce qui est drôle c’est que ce n’était pas très légal mais beaucoup plus transparent !
Les instances juridiques de lutte contre les violations du RGPD, sont-elles performantes, sont-elles connues ? Et qui dépose des plaintes au nom du RGPD ?
Les plaintes auprès de l’A.P.D. ça n’existe que depuis deux ans en Belgique. Avant cela, les acteurs privés n’avaient pas beaucoup de moyens d’opposition (procédures peu adaptées) et les citoyens n’étaient pas très conscients de tout cela. Ces derniers temps, ça s’améliore de manière vraiment rapide. Google en Belgique a été condamné à payer 600.000€, en France ça a été 50 millions. En Belgique il y a des amendes, des sites internet qui ont pris 10.000€ d’amende sur des questions de cookies, ceci pour un site web qui n’était pas un énorme acteur, après quatre avertissements, qui n’était toujours pas conforme…
En ce qui concerne les particuliers, concernant les sites internet, c’est rare qu’ils se disent: « J’ai vu quelque chose, je vais aller me plaindre ». Par contre, s’ils voient que leur administration a envoyé une information, par exemple à cause d’une erreur de la commune, là il y a plus souvent de dépôts de plainte. C’est beaucoup plus direct. Par rapport aux sites web, on est plus dans la dénonciation, c’est assez rare. Les contrôles existent mais il y a un manque de moyens financiers. Ce n’est pas de la mauvaise volonté, il suffit d’imaginer le nombre de sites web à contrôler… Il y a des actions sectorielles de temps en temps et quand il y a de grosses amendes, le secteur concerné fait attention, mais jamais un contrôle absolu ne sera possible.
On oublie souvent qu’en effet, le R.G.P.D. concerne aussi l’utilisation par le site des données personnelles que l’on laisse. Ce que le site va faire de notre adresse mail, de notre numéro de téléphone, de compte en banque… Ce que vous rappelez, c’est que si on constate une fuite à cet endroit-là, on peut porter plainte ?
Oui d’ailleurs, si le site respecte la loi, il doit même vous rappeler que vous pouvez le faire. Si on regarde en détails les conditions des sites, à la fin généralement de la page qui y est dévolue, il est écrit: « Vous avez le droit d’agir en justice devant l’A.P.D. dont voici l’adresse… » et en général un hyperlien vous amène au site de l’A.P.D. sur le formulaire de plainte idoine. Il y a un idéal sur la préservation de sa vie privée, mais au quotidien, soyons clairs, c’est un peu laborieux.
Pour le moment, ce qu’il se passe c’est que si on veut avoir accès à une information sur un site, on a une page qui s’affiche demandant le consentement de l’internaute. Souvent, celui-ci fait au plus vite pour accéder à son information – c’est humain, et donc pas toujours raisonnable. Y a-t-il d’autres systèmes qu’un simple clic qui sont à l’étude ? Un compteur par exemple ? Un temps minimum de lecture pour pouvoir accéder au site ?
Pour empêcher que les gens ne cliquent trop facilement, il y a certains sites internet qui mettent en place une obligation de scroller, ou une obligation d’ouvrir une page avant d’accepter, certains ont aussi des timers. Mais tout cela n’est pas obligatoire et ralentit le processus. Ca décourage les internautes, donc ce n’est pas très intéressant pour les sites web… Eux sont plus dans l’idée : qu’est-ce que je suis légalement obligé de faire ? Y a-t-il déjà une unité de contrôle qui a infligé une amende à un site qui n’avait pas tel ou tel dispositif ? Certes il existe des bonnes pratiques, mais elles ne sont pas imposées.
Il y a quelques temps, il y avait par exemple des cases pré-cochées, maintenant c’est interdit, vous devez cocher vous-même. Désormais si l’internaute peut accepter de manière très facile, il doit aussi pouvoir refuser de manière très facile… Il y a quelques règles mais après sur les différents processus à part ces quelques exemples qu’on voit souvent, il n’y en a pas trop… Dans le cas de Google par exemple, ils mettent en place ce genre de choses car ils savent bien qu’ils sont fortement contrôlés.
Il faut aussi bien penser que le public utilise de plus en plus son smartphone. Sur les écrans d’ordinateurs on peut faire apparaître plus d’infos, l’interface est plus facile… Sur écran de GSM, il faut être plus efficace dans l’ergonomie, plus accessible, plus fluide… On essaie de faire que ce soit toujours plus facile. Progressivement sur des points législatifs, les applications se différencient de plus en plus des sites web.
Récemment les médias ont traité l’actu concernant les nouvelles fonctionnalités de WhatsApp. Pour vous c’est un signal positif d’une conscientisation en cours ?
Bien sûr. Plus encore même. C’est important qu’il y ait une éducation à cela. Pour le moment l’éducation aux médias et aux nouvelles technologies laisse à désirer. On explique aux enfants ce qu’ils ne peuvent pas faire dans la rue, on ne leur explique pas ce qu’ils ne peuvent pas faire sur internet. D’abord, il faut apprendre progressivement à avoir un comportement respectueux en ligne, mais ensuite viennent les questions de vie privée. Il faut apprendre à se poser la question : « Qu’est-ce qui va être fait de mes informations? ». Il faut éduquer les enfants, et que les parents comprennent qu’ils doivent « avoir un œil » sur les activités « online » de leurs enfants. C’est important que les médias conscientisent à tout ça, informant les parents de certaines pratiques. Certains parents, aujourd’hui, ne comprennent pas les enjeux de WhatsApp, sans parler de TikTok… Donc c’est important que les médias tiennent à jour tout le monde sur ces questions. On va vers ça, mais ça prend du temps.
Mais selon vous, l’application du RGPD est rapide ?
On veut toujours que ça aille plus vite… En tous cas il y a une grosse conscientisation des acteurs de terrain, privés et publics. Beaucoup accusent un manque de moyens ou un manque de clarté du règlement… Mais soyons clairs, toutes les entreprises le savent, parfois ce n’est juste pas la priorité, surtout d’un point de vue financier. Sachant que les amendes sont rares et qu’en général elles sont précédées de deux avertissements, une mise aux normes assez onéreuse pour une P.M.E. n’est souvent pas une priorité.
Plus spécifiquement sur les cookies, les informaticiens, les développeurs commencent à savoir ce qu’ils peuvent faire ou pas légalement, même dans l’interface, dans le design. Dans les formations actuelles en informatique, ils ont notamment des bases en droit sur ces thématiques. De nouveau, il faut le temps d’éduquer les personnes non spécialistes à ce genre d’enjeux. Tester et affiner les limites, en droit, ça prend du temps. Il faut un certain nombre de condamnations avant que la règle soit bien claire et bien précise.
Il y a peu de condamnations sur le design pour le moment mais par exemple Google a été condamné. Si vous vouliez tout comprendre à ce que faisait Google, vous deviez vous balader sur 4 à 5 pages différentes. Il y a eu plaintes sur cette interface trop compliquée pour les utilisateurs. Donc voilà, on attaque doucement l’interface, mais on est encore aux balbutiements. En droit, dans la théorie, on commence à bien affiner les règles, en pratique ça commence seulement à être appliqué.
Propos recueillis et mis en forme par Olivier Grinnaert.