Du bon usage des données personnelles

Tracer, traquer ou harceler. Relation client oblige, le consommateur se voit disséqué dans ses goûts et ses habitudes sans presque rien en savoir. Avec Internet toutefois, les technologies de marketing relationnel se généralisent. « Les frontières entre marketing commercial et surveillance gouvernementale s'estompent et l'Internet en vient même à bouleverser les règles traditionnelles sur la séparation entre l'espace privé et l'espace public », résume Arnaud Belleil, dans son livre intitulé E-privacy*. D'où un nombre croissant d'affaires.

Etienne Drouard (Cabinet Gide Loyrette Nouel)

: "Ma préférence va au mode de consentement : c'est plus facile à gérer et l'on garde une trace à l'intérieur des bases de données de cette acceptation."



Telle, celle qui oppose, en avril 2000, le portail français Voila à la société américaine eGroups qui gérait ses listes de diffusion. Lors de la fusion d'egroups avec oneList.com, le site de France Télécom se trouve dans l'incapacité de rapatrier les données de ses 250 000 membres. Un rien fâcheux pour l'image de marque : France Télécom s'était engagé à ne vendre ni partager "les adresses e-mails des utilisateurs à aucune tierce personne ou organisation sans la permission expresse de l'utilisateur".

Concentration

Méga fusions et autres giga acquisitions, toutes mettent au coeur de leur stratégie, la détention de fichiers clients. Ainsi de la fusion Vivendi - Universal dont l'un des enjeux concerne la base de données des abonnés de Canal +. L'idée ? "Séquestrer" ses clients sous un lacis de promotions croisées. Même topo, en plus monstrueux, du côté d'AOL et de Time Warner aux Etats-Unis. D'un côté, 30 millions d'abonnés internet, de l'autre 12 millions de foyers câblés et 100 millions de lecteurs. « AOL est l'un des rares supports publicitaires, en cette période de tension sur le marché, qui améliore ses recettes grâce à l'apport des multiples filiales du groupe qui constituent, pour lui, autant d'annonceurs captifs (80 % des ventes d'espace au cours du mois de juillet 2001). Time Warner de son côté a engrangé, grâce à ses campagnes ciblées sur AOL, une progression de plus de 10 % de son chiffre d'affaires. Time a gagné ainsi 100 000 nouveaux abonnés par mois au cours de la période récente, principalement drainés par AOL », rappelle Serge Gauthronet, consultant du cabinet Arete, spécialiste des nouvelles technologies et des enjeux de société. Parfois toutefois, le consommateur se rebiffe : c'est le cas notamment d'America On Line qui s'était engagé à ne pas partager les données collectées. AOL ayant annoncé la vente de ses fichiers clients pour du marketing téléphonique, son site a été boycotté au point de mettre sa viabilité en danger.

Maîtriser son portefeuille client

Le marché des données personnelles est en pleine explosion. Pour preuve, le site de loterie Bananalotto, vitrine internet de la société de marketing Netarget, qui fonde son modèle financier sur la vente des coordonnées de ses joueurs. Un fichier d'1,2 million d'adresses récentes qualifiées qui rapportent, aux dires de son directeur général, Christophe Cousin « des dizaines de millions de francs, soit deux tiers de notre chiffre d'affaires ». Depuis 1997, la Commission nationale de l'informatique et des libertés (Cnil) tire la sonnette d'alarme. Dans son rapport d'activité datée de 1998, ses commissaires s'interrogaient sur la gratuité du service qui conduit l'internaute à délivrer, en échange, des informations sur sa vie privée : "Ces pratiques préfigurent peut-être une tendance à l'abandon pur et simple de droits garantis en Europe par la loi, au profit d'avantages financiers". En clair, on passe ici d'un droit inaliénable de la personne, garanti par la déclaration universelle des droits de l'homme de 1948 dans son article 12 ("Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée") à celui du code de la propriété. Dans l'un des rares ouvrages français consacré au marché des données personnelles, Arnaud Belleil fustige ce qu'il appelle « le pacte faustien de la gratuité » sur Internet : « Du point de vue du client, la question n'est plus de savoir s'il est possible de protéger ou non les données qui le concernent mais de déterminer le prix auquel il convient de les céder. »

Protection de la vie privée

Reste à savoir, pour le consommateur, à quel niveau se place la préservation de sa vie privée. La circulation de données aussi sensibles que l'appartenance ethnique, les opinions politiques, les croyances philosophiques ou religieuses, la santé ou la vie sexuelle sont-elles monnayables ? La Cnil, dans une recommandation, prise en décembre 1998, relative aux outils de scoring - techniques statistiques utilisées par les établissements financiers dans l'octroi des crédits - jugeait, par exemple, le critère de la nationalité comme discriminant : "On ne saurait admettre sans péril pour la démocratie ou les droits de l'homme (...) que nul ne saurait être réduit à un profil statistique". Le Conseil d'Etat lui inflige, aujourd'hui, un camouflet en donnant raison au lobbying bancaire : "La prise en compte de la nationalité d'un demandeur de prêt comme élément d'appréciation d'éventuelles difficultés de recouvrement des créances correspond à la finalité d'un tel traitement". Pour Etienne Drouard, avocat au cabinet Gide Loyrette Nouel et conseiller juridique de la Cnil, « c'est donner la possibilité d'une préférence nationale. Surtout lorsque l'on sait que ces statistiques ne sont corrigées que dans 0,004 % des cas ». Exemple isolé ? Pas vraiment. Aux Etats-Unis, la consultation à distance, via des sites médicaux, pose le problème de la propriété et de la circulation de l'information. Lorsqu'un individu révèle ses antécédents médicaux, la question du secret médical et de la transmission non maîtrisée d'informations confidentielles prend un relief particulier.

Manque de confiance sur Internet

En ligne de mire : les fanatiques de cookies et autres spammeurs fous. Quand la Toile grouille de données nominatives, quand les sociétés découvrent leurs valeurs commerciales, la nécessité de fixer un garde-fou juridique devient urgente. « L'information échappe désormais au contrôle de l'individu. Son accumulation finit par construire une identité virtuelle dans laquelle il n'est pas certain qu'on se reconnaisse ni qu'on veuille donner cette image de soi même », explique Serge Gauthronet. Le concept anglo-saxon de "privacy", du droit donc à la protection de la vie privée et des données personnelles, devient un enjeu mondial : Européens et Américains en tête savent, désormais, que la suspicion relative aux traitements des informations collectées fonctionne comme un frein au e-commerce. Dans son étude, La confiance, principal défi pour le commerce électronique**, l'Association pour le commerce et les services en ligne (ACSEL) affirme qu'une telle défiance coûte cher : "92 % des internautes américains pensent que les cyber-commerçants vont faire usage de leurs données personnelles quel que soit l'engagement contraire qu'ils auront pris. 78 % des Américains ayant déjà acheté sur l'Internet ont également abandonné un site dont la politique en matière de protection de la vie privée ne leur paraissait pas claire, 42 % sont devenus plus réticents à fournir des informations aux sites commerciaux et 19 % ont réduit leurs achats du fait des pratiques des sites. 31 % des internautes américains ne fournissent jamais d'informations aux sites web et 11 % mentent." Du coup, la protection de la vie privée n'est plus la lutte de quelques activistes gauchisants, elle devient aussi un avantage concurrentiel. Une plus-value à mettre au même rang que les notions d'éthique sociale ou environnementale pour l'entreprise. C'est ainsi, du moins, que la perçoit Stephen Lau, commissaire à la protection des données à Hong-Kong. Dans son intervention, lors de la 23e conférence internationale des commissaires à la protection des données, il constate : « Non seulement cette différenciation [la réputation de l'entreprise comme porteuse de protection, ndlr] ajoute à la valeur des marques et à leur positionnement, mais elle offre aussi aux entreprises un autre moyen de prendre l'avantage sur leurs concurrents. »

Débat opt-in/opt-out, pourquoi ?

« Impossible de comparer les mailings postaux avec les courriers électroniques, rappelle Cécile Alvergnat, commissaire de la Cnil, tout simplement parce que le coût de la communication est du côté, cette fois, du consommateur. » Un prix qu'un rapport de la Commission des communications européennes*** estime, en moyenne, à 30 € par an et par internaute. Soit une dépense globale de 10 milliards d'euros, à la charge du consommateur. Jérôme Stioui, P-dg de DirectiNet, pense qu'il existe « une différence de fond entre l'adresse postale, ouverte sur le monde, et l'e-mail, beaucoup plus privatif ». Impossible, selon lui, d'appliquer à l'e-mailing les mêmes règles qu'au mailing postal. Démonstration sur son site Lotree.com : « Pour la prospection en ligne : opt-in avec une case à cocher et la possibilité de se désabonner via un lien. En plus, chacune de nos campagnes affiche un "Lotree vous recommande" de façon à ce que l'internaute connaisse la provenance du mail en même temps que l'annonceur. Côté courrier postal en revanche : opt-out avec la mention classique de la Cnil. » Franck Devignes, responsable marketing du canal internet de BNP Paribas confirme : « Entre un consentement forcé, une case précochée, un accord réel et une case à cocher, les niveaux de rendement varient de 1 à 10. Ce que les loueurs gagnent en recrutement, ils le perdent sur la réactivité de leurs fichiers. » La différence se joue dans le niveau de recommandation : « Sur Internet, il y a un lien entre la marque à qui l'on a confié son adresse et l'internaute. C'est lorsque l'on utilise ce niveau de recommandation que l'on a les meilleurs rendements », affirme-t-il. Paradoxe, si les professionnels de l'e-mailing penchent pour le consentement préalable, la réglementation française s'oriente, elle, vers l'opt-out (voir encadré).

Les prémices d'un co-régulation

Mais l'idée d'assimiler le courrier électronique à l'automate d'appels et donc de rendre l'autorisation préalable obligatoire fait son chemin. Valérie Papaud, directrice générale de Wanadoo Data, milite ainsi au sein du Syndicat national de la communication direct, le SNCD, pour « une collecte loyale et transparente, garante d'un modèle sûr et rentable ». A contrario, Bernard Siouffi, délégué général de la Fédération des entreprises de vente à distance (Fevad), bataille, lui, pour un « opt-out exigeant ». Et de surenchérir : « Le permission marketing est un mauvais concept parce qu'il suggère que c'est le client qui choisit. Or, c'est toujours l'offre qui crée la demande et non l'inverse. » D'où l'idée de recenser sur une liste repoussoir tous les consommateurs qui ne souhaitent pas se voir démarcher. L'entreprise n'a plus alors qu'à vérifier si les adresses e-mails figurent ou non sur ce registre d'opposition. La Fevad a, d'ailleurs, institué la liste e-Robinson, calquée sur le modèle de Robinson Stop Mailing pour les mailings postaux. Depuis son ouverture, en 1999, quelque 1 500 internautes s'y sont inscrits... Le hic ? Celui de n'être qu'un registre national. Et, face à un réseau mondial, ce type de contrôle a peu de chance de prouver son efficacité. D'autant que la délocalisation des bases de données vers des Etats qui possèdent une législation plus flexible s'avère, d'ores et déjà, à l'ordre du jour. Au sein d'ailleurs de la Commission pour l'économie numérique, mise en place à l'instigation du ministère de l'Economie et des Finances (mission Guillaume), si l'on a d'abord penché pour le registre d'opposition, les difficultés de sa mise en place l'ont vite remisé au rang de pur fantasme. Et, selon une source proche de la mission Guillaume, les participants au groupe de réflexion sur l'opt-in et l'opt-out préconisent désormais le mode de l'opt-in « simplement, parce que d'un point de vue pragmatique, c'est plus réalisable ». E-Robinson se rattache à une politique de labellisation. La Fevad a, en effet, crée son propre label, L@belsite qui regroupe, pour l'heure, dix huit sites marchands. « C'est une norme ISO », affirme Bernard Siouffi, reconductible d'une année sur l'autre. Un code de déontologie auquel s'astreignent les sociétés affiliées. Mais la foire aux labels ne s'arrête pas à l'exemple français. Aux Etats-Unis, où il n'existe pas de loi particulière sur les données personnelles, si ce n'est un texte relatif à la protection des mineurs, deux labels TRUSTe et BBBOnline, accaparent l'éthique de la "privacy." Certaines sociétés françaises se sont ralliées à leur panache, persuadées que l'autorégulation est une marque forte de confiance. C'est le cas de la société de marketing direct e-DMS qui a été la première entreprise française à obtenir la certification internationale BBBOnLine privacy. « Suite à des vagues successives de spams, les annonceurs se sont rendus compte qu'ils perdaient tout le bénéfice potentiel de leur campagne. Ils ont mis en place la politique du "permission marketing" mais cela ne suffisait pas à éradiquer l'envoi massif de courriers non sollicités », explique la directrice générale d'e-DMS, Claudine Richon. D'où la volonté de mettre en avant le respect de la vie privée via un label aux conditions d'octroi drastiques. Dont l'un des leitmotivs tient dans l'interdiction d'échanges de fichiers d'adresses. L'audit auquel s'est ainsi plié e-DMS a duré plus de dix mois. Sur la partie logiciel et routage, la mise aux normes leur a coûté quelque 91 469 €. « Notre but : prouver qu'e-DMS respecte les informations que lui fournissent les consommateurs. Si nous les manipulons, nous les perdons », insiste Claudine Richon. Pas de bonus dans ce cas, ni de techniques d'appâts : « Nous n'offrons rien en échange. L'internaute vient s'inscrire de la même manière que sur un moteur : il recherche certaines informations sur des domaines précis ? Nous lui offrons la possibilité d'inscrire sa quête dans la continuité. »

Des outils pour protéger la confidentialité

Autre tentative de régulation, l'apparition de "directeurs d'intimité", traduction française de l'énigmatique fonction de Chief Privacy Officers (CPO.) C'est le cas, par exemple, de Doubleclick : en rachetant le fichier marketing d'Abacus Direct (90 millions de foyers américains), la régie publicitaire en ligne, pourtant labellisé TRUSTe, voulait relier ces données nominatives aux cookies. Or, si les cookies tracent une machine et non un individu, une fois reliés à des données personnelles, ils deviennent de véritables mouchards. Devant le tollé médiatique, la société a fait machine arrière et nommé ces directeurs de (bonne) conscience. Avec Amanda Chandler comme directrice protection des données pour l'Europe, la société escompte ainsi se refaire une virginité. Elle a d'abord travaillé au sein de la commission britannique de la protection des données, l'équivalent de la Cnil française. Son job ? « S'assurer que les clients de Doubleclick respectent toutes les lois européennes. » S'ajoutent à ces dispositions à forte portée symbolique, des outils ou des logiciels de sécurisation de la vie privée. Le standard P3P (Platform for Privacy Project), élaboré par le World Wide Web, un organisme de promotion du Web créé en 1994, figure parmi les plus connus. Censé être "une plate-forme de préférences pour la confidentialité", basé sur le langage XML, ce protocole entérine les choix de l'internaute en matière de confidentialité. En France, Profile for you, société dédiée à la valorisation des sites internet via la pose de cookies, censés être anonymes, a ainsi intégré la norme P3P. « C'est, pour nous, la reconnaissance de notre éthique », précise Bénédicte Sanson, responsable marketing. Mais nombre de personnalités émettent des doutes sur cette démarche qui n'est, de fait, soumise à aucun organisme de contrôle indépendant. Autre solution, plus simple a priori, la clef électronique portable développée par Cecurity. A l'instar d'une carte à puce, cette clef à mémoire qui se branche sur le port USB de l'ordinateur permet de stocker des informations personnelles avec un haut niveau de sécurité. Contenues dans la clef, les informations ne sont donc pas stockées sur l'ordinateur. Mais si Cecurity a cru, au départ, généraliser sa solution auprès du grand public, la société s'est vite tournée vers les grands comptes. Seuls à même de payer pour sécuriser les informations en partage sur leur réseaux informatique. Protéger sa vie privée sur le réseau réclame une vigie de tous les instants. Mais la réponse des professionnels manque de cohérence. Foire d'empoigne ou lutte de tranchées, le débat entre tenants de l'opt-in et de l'opt-out s'enlise dans des arguties sans fin. Pourtant le thème de la "privacy" devient central dans l'opinion publique. Aux Etats-Unis, les sondages montrent qu'il est l'un des freins principaux au développement du commerce électronique. D'où l'urgence, en France, d'une loi sur la société de l'information. Une loi qui, pourtant, continue de jouer les belles arlésiennes. * E-privacy, Le marché des données personnelles : protection de la vie privée à l'âge d'Internet. Arnaud Belleil. Editions Dunod, 2001. ** La confiance, principal défi pour le commerce électronique. ACSEL, juin 2001. *** Communications non sollicitées et protection des données. Cabinet Arete, janvier 2001.

Des ratés au démarrage

Société : option-evasion.com Broker : planeteclient.com Ethique affichée : opt-in (case précochée.) Lien de désabonnement. Constat : sentiment de spamming Le directeur d'Option-evasion, société spécialisée dans l'offre voyagiste B to B, avoue ne pas s'être préoccupé des implications légales. Or, son nom se cache derrière celui d'un hébergeur grand public, ifrance pour, au moins, l'une de ses cinq campagnes d'e-mailing. Côté éthique, ses fichiers ont tous été loués, officiellement, en opt-in. Planeteclient.com, utilisé pour deux campagnes, ne s'explique pas pourquoi certaines personnes figurant dans son fichier assurent, elles, n'avoir jamais demandé à être prospectées... Sur ce site, l'autorisation est obtenue lors du téléchargement de documents (case précochée). L'internaute a aussi la possibilité de se désabonner de la base de données en laissant son adresse e-mail.

Le projet de loi sur la société d'information

Il aura fallu six ans pour que la France s'attelle à la transposition de la directive européenne 95/46/CE du 24 octobre 1995 sur la protection des données personnelles. Mais la loi sur la société de l'information (LSI) verra-t-elle jamais le jour ? Aux dires de certains proches du dossier, peu probable, en effet, qu'elle soit promulguée avant les prochaines élections présidentielles. Parmi les mesures phares de la LSI en matière de commerce en ligne : la procédure de "double clic", de double manipulation pour conclure un contrat avec un consommateur afin d'éviter toutes erreurs. Concernant la publicité, la LSI pose "le principe d'identification de la communication publicitaire et d'identification de la personne physique ou morale pour le compte de laquelle cette communication est réalisée". Favorable à l'opt-out, elle interdit le "spamming", l'envoi massif de courriers non sollicités : "La LSI interdit d'adresser des publicités non sollicitées aux utilisateurs qui ne souhaitent pas en recevoir et qui se seront inscrits, à cet effet, sur des registres d'opposition". Les modalités de ce registre d'opposition ne sont, toutefois, toujours pas réglées. Autre mini révolution, la Cnil, qui jusqu'alors se contentait d'adresser des recommandations sans portée juridique, devrait pouvoir prononcer des sanctions pécuniaires. Le code de la consommation vient également d'être modifié (JO, 25/08/2001). L'ordonnance entérine le principe de l'opt-out en autorisant la prospection directe, dès lors que "le consommateur n'a pas manifesté son opposition" (art. L. 121-20-5). Les conditions relatives à l'expression de ce refus, via toujours ces registres d'opposition, devant être fixées, à une date ultérieure, par décret en Conseil d'Etat.

Pas très Net

Société : Mondus Broker : Impact Net Ethique affichée : opt-in (désabonnement via lien internet). Constat : spamming. Aucune mention du nom du broker et du routeur. François Monin, directeur marketing de la société Mondus, sait que certains consommateurs se sentent spammés : « L'e-mailing est un métier récent. Pas forcément très sérieux. » Le problème ? Pour lui, la qualité des bases en général : doublons, achat de fichiers à la volée ou manque total de déontologie. Les plaintes sont récurrentes : « soit que les adresses collectées ne l'aient pas été qualitativement, soit que la possibilité de se désabonner ne fonctionne pas, soit que le loueur ne réagisse pas assez vite... mais nos services commerciaux traitent des appels de gens effectivement furieux. » Du côté du broker Impact Net, son fondateur, Sohrab Heshmati, assure qu'avec plus de 380 critères possibles pour un même individu (sic), les risques d'envois non sollicités sont quasi nuls. Et affirme devoir gérer un taux de désabonnement de 0,5 % en moyenne sur ses campagnes. Un discours pourtant démenti par un sentiment de spamming constaté.

Les contradictions de l'Union européenne

Cogitations intenses du côté des institutions européennes. Dernière trouvaille du Parlement, un amendement qui impose à tout émetteur de cookies de recueillir "le consentement préalable explicite de l'abonné ou de l'utilisateur concerné". Que les éditeurs de sites se rassurent toutefois : les ministres européens ont, eux, calmé le jeu. L'internaute devrait simplement pouvoir manifester son désaccord s'il refuse que ces données soient enregistrées. Autre surprise, pour endiguer le spamming, les ministres des télécommunications des Quinze ont décidé non pas de l'interdire... mais de l'autoriser après la réalisation d'une première transaction commerciale entre une entreprise et un internaute. Ladite société pourra alors adresser à son client des e-mails publicitaires sauf si celui-ci s'y oppose expressément. Si le Parlement européen laissait les états membres rendre ou non obligatoire le consentement préalable, le Conseil des ministres, lui, a décidé d'entériner le régime de l'opt-in. Autant de contradictions qui retardent la mise en place effective de la directive sur la protection des données personnelles.

Net et sans bavure

Société : Club du Livre de France Loisirs Broker : DirectiNet/LoTree Ethique affichée : double opt-in (case à cocher et possibilité de se désabonner) Constat : taux de transformation de l'ordre de 10 à 20 % France Loisirs a testé différents fichiers, notamment opt-out : les chiffres de ces derniers indiquent une baisse de rendement de l'ordre de 50 %. D'où le choix d'une campagne opt-in. L'e-mail est cobrandé avec le loueur DirectiNet : l'internaute connaît ainsi sa provenance. En fin de message, plusieurs liens. Le premier : le web call center de France Loisirs. Le deuxième : la possibilité de refuser toute nouvelle prospection du Club du Livre (adresses intégrées dans une liste d'opposition interne). Le dernier enfin : le désabonnement du fichier DirectiNet. Pour Mathieu Dargere, responsable des campagnes chez France Loisirs, l'opt-in, est un « garde-fou pour se préserver de bases récoltées de manière frauduleuse ». Laisser une chance à l'opt-out ? Pourquoi pas si celui-ci « respecte la vie privée des gens et la transparence de la collecte ».

Des définitions pour y voir plus clair

Données personnelles : toute donnée qui permet d'identifier directement ou indirectement une personne physique est considérée comme "donnée personnelle." Opt-in : trois critères pour le théoricien du "Permission marketing", Seth Godin : l'autorisation préalable de l'internaute avant toutes propositions commerciales, la possibilité de sortir à tout moment et le non partage de l'autorisation entre entités juridiques distinctes. Cette dernière règle étant peu mis en pratique. Plusieurs niveaux de consentement. L'opt-in "de complaisance" : la case précochée ; l'opt-in "confirmé" : la case à cocher ; le "double opt-in" : la case à cocher associée à un e-mail de confirmation que le destinataire est obligé de renvoyer. Opt-out : Possibilité a posteriori de refuser d'être prospecté en s'inscrivant sur une liste d'opposition. Spam : Dans sa définition stricte, c'est l'envoi d'e-mails non sollicités. Mais le spam, c'est aussi la collecte frauduleuse d'adresses (à l'insu des personnes concernées, sans information sur leur droit d'accès, de rectification, ou d'opposition à l'utilisation par un tiers) ; l'absence d'identification précise de l'origine du mail (pas d'expéditeur ou de routeur) et surtout l'absence de lien fonctionnant pour se désabonner.

C'est pas un cadeau

Société : leboncadeau.com Broker : base interne Ethique affichée : opt-in (case précochée) Constat : spam. Aucun lien de désabonnement. « Notre base a été élaborée à partir des mails des internautes venus consulter notre site et acceptant de recevoir des informations ultérieures », explique la directrice marketing de ce site. Que certaines adresses y figurent sans consentement ? D'après elle, impossible. Pourtant... Manque également le lien possible de désabonnement. A son sens : « Un simple oubli ». Quant à l'absence des mentions légales (le nom de la société émettrice), la directrice marketing avoue ne pas « être une technicienne ». Dommage pour elle, puisque sa société devient, du même coup, passible d'amendes.