Rarement a-t-on vu se déchaîner un aussi vaste torrent de passions que celui qui accompagne le projet de réforme de la politique européenne en matière de données personnelles. D’un côté, les ONG et associations d’internautes collent des hommes à poil sur des cartes postales estampillées «citoyens à nu» (1) pour défendre la protection de la vie privée en ligne. En face, les plus puissantes industries du Web pleurnichent pour réclamer plus de «flexibilité» quand elles brassent les données privées de millions d’internautes. Au milieu, les archivistes et généalogistes agitent leur petit drapeau (lire ci-contre), craignant que le principe de droit à l’oubli ne mette en danger la mémoire collective.
la réforme à l’étude devra remplacer la directive européenne encadrant les données personnelles, votée - comme l’indique son petit nom, «95/46/CE» - en 1995. Le paysage numérique a depuis lors bien changé, rendant particulièrement obsolète la disposition sur le «consentement indubitable» des individus qui doit conditionner la collecte de leurs données. «Indubitable», qu’est-ce que ça veut dire, «indubitable» ? Le groupe de travail G29, qui rassemble des représentants de toutes les Cnil (Commission nationale de l’informatique et des libertés) européennes, a planché sur la question en 2011. Conclusion, ce mot flou «est souvent mal interprété ou simplement ignoré», permettant à peu près toutes les fantaisies imaginables par les entreprises : il peut être «une signature écrite, mais aussi une déclaration orale, ou un comportement dont on peut raisonnablement conclure qu’il implique un consentement». Le G29 donne l’exemple d’un service téléphonique donnant la météo de la ville d’où appellent ses utilisateurs - si ces derniers connaissent le principe de fonctionnement du service avant de décrocher leur combiné, et qu’ils ont tout de même souhaité appeler, on peut conclure qu’ils sont d’accord pour que la société collecte des informations sur leur localisation. C’est la même logique sur Amazon, où les internautes se voient suggérer d’acheter des «produits similaires» à ceux qu’ils ont déjà consultés sur le site : en voyant ces suggestions, ils sont censés comprendre que leur historique de navigation est enregistré, et s’ils restent sur Amazon.com, c’est bien qu’ils n’y voient pas d’objection. Le «consentement» des internautes s’est peu à peu transformé en «absence de refus».
pop-up. La réforme complète de la directive a donc été pensée pour rendre aux citoyens un contrôle effectif de leurs données. D’abord en consacrant enfin le principe de «droit à l’oubli» tant réclamé ces dernières années. Ensuite et surtout en organisant le grand retour du mot «explicite» à côté du terme «consentement». Un mot tout petit, mais qui a beaucoup d’ennemis. Déjà envisagé puis supprimé en 1995, il revient sur la table pour caractériser la façon dont une «personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement». Dans la pratique, il pourrait s’agir d’une petite infobulle comme en affichent déjà les navigateurs Firefox et Chrome, quand on visite un site ayant besoin de nous géolocaliser. On peut alors choisir d’autoriser le site à recueillir cette information pour la seule visite en cours, pour toutes les visites futures ou… pas-du-tout-jamais-de-la-vie. On imagine YouTube afficher une pop-up pour demander la permission de piocher dans notre historique de navigation avant de nous proposer des vidéos de chatons mignons. On imagine Facebook nous avertir que ce numéro de téléphone portable, qu’on vient de leur confier pour «renforcer la sécurité de [notre] compte», pourra être transmis aux développeurs de Farmville. On rêve de bannières de pub bloquées sur «pause» en attendant notre autorisation d’être ciblés par tranche d’âge, sexe, ville de résidence et marques favorites de maillots de bain.
Horreur ! Tant de pop-ups «inonderaient» et finiraient par embrouiller les internautes, s’exclament Facebook, Amazon, Microsoft, Google et eBay, qui craignent que ce consentement explicite systématique, «excessivement formalisant et rigide», freine leur capacité à «innover» (ne peuvent-ils pas innover avec l’accord de leurs clients ?). La joyeuse bande a demandé avec tant d’insistance aux députés de renoncer au consentement explicite que le texte voté par la commission «libertés civiles» du parlement européen, le 29 mai, intégrait moult amendements parfois copiés mot pour mot sur les propositions des lobbies…
La pression de l’industrie, si intense que 18 ONG américaines ont fini par demander solennellement que les Etats-Unis cessent d’intervenir dans la législation européenne, a bien sûr des motivations économiques. «Les géants d’Internet redoutent qu’un plus grand contrôle donné aux utilisateurs amoindrisse les quantités de données qu’ils traitent», analyse l’association française la Quadrature du Net. Et leurs arguments sont entendus. Estimant que le projet est trop pénalisant pour les PME (et trop flou, et trop sensible, par ailleurs), les députés européens viennent de retoquer le texte, repoussant la poursuite du débat à 2014. D’ici là, les géants du Web auront le temps d’en collecter un sacré paquet, de données personnelles.