Des données personnelles qui valent de l’or

mercredi 10 septembre 2003, par Sylvie Dewambrechies

Cartes de fidélité qui donnent droit à des avantages, abonnement à une newsletter sur Internet, achat de produits sur un site Web… Que ce soit sur papier ou sur écran, il nous est souvent demandé, avant de pouvoir bénéficier de tels services, de remplir un questionnaire reprenant un certain nombre de données personnelles : nom, prénom, âge, adresse, composition du ménage, etc. On le fait la plupart du temps sans y penser. Pourtant, ces différentes informations valent de l’or pour des entreprises qui, sous prétexte de mieux servir le consommateur, constituent des bases de données très lucratives.

Le phénomène ne date pas d’hier. Qui n’a jamais reçu une enveloppe publicitaire d’un organisme de crédit inconnu jusqu’alors, ou un coup de téléphone dont l’objectif est de vanter les qualités d’un superbe lave-vaisselle ? La généralisation d’Internet n’a fait que moderniser les choses et la publicité a fait son apparition dans les boîtes mail [1]. Mais comment des sociétés ayant recours au marketing direct, car c’est de cela qu’il s’agit, réussissent-elles à se procurer les coordonnées de consommateurs potentiels ? L’Association belge de marketing direct (ABMD) souligne que les entreprises tiennent avec grand soin les fichiers de leurs clients, sur base des données fournies directement par ces derniers (informations inscrites sur un coupon-réponse, participation à une enquête, commande par téléphone, etc).

: Les cartes de paiement électronique font partie de nos habitudes de consommation mais à quel prix pour notre vie privée ?©AFP Photo/Laura Boushnak

Certaines firmes jugent néanmoins nécessaire de contacter une catégorie bien précise de la population. Exemple : tous les couples de moins de 40 ans disposant d’un jardin et ayant au moins un enfant en bas âge. Elles feront alors appel à des sociétés spécialisées qui leur fourniront les coordonnées des personnes correspondant au profil recherché [2]. Des coordonnées obtenues auprès d’autres entreprises, ou extraites de bases de données constitués à partir de questionnaires et d’études de marché.
En toute légalité
Tout cela n’est bien entendu pas gratuit et, on l’aura compris, les informations permettant d’établir le profil d’un consommateur valent de l’or. En Belgique, la collecte des données personnelles à des fins de prospection commerciale est tout à fait légale, pour autant que les procédures utilisées respectent scrupuleusement la loi sur la protection de la vie privée [3]. Et c’est là où le bât blesse, aussi bien dans le ’monde réel’ que dans l’univers virtuel d’Internet. « Ces données peuvent être cédées, louées ou vendues, à condition que les personnes concernées donnent leur accord », explique-t-on à la Commission de la protection de la vie privée [4]. « Mais certaines sociétés n’informent pas assez les gens ». La législation prévoit pourtant que les consommateurs doivent être mis au courant, de manière claire et compréhensible. Ils doivent savoir qui collecte leurs données personnelles et dans quel but (si c’est à des fins de marketing direct, cela doit être mentionné). Le fait qu’ils peuvent avoir accès aux données les concernant, qu’ils peuvent les rectifier et, éventuellement, s’opposer à leur traitement (cession, location et vente), doit en outre être indiqué [5].

Cela dit, seuls les consommateurs les mieux avertis prendront la peine de lire avec attention une telle clause d’information. Ainsi, pour obtenir une des cartes de fidélité valables dans diverses enseignes de la grande distribution, il faut remplir un très long formulaire… au bas duquel il est inscrit, en toutes petites lettres, que les données récoltées sont susceptibles d’être communiquées à des sociétés partenaires ou à des tiers. Autant dire que personne n’y prend garde… Et sur les sites Internet, qui a déjà lu jusqu’à la fin les clauses d’information concernant la vie privée ou la protection des données personnelles ? Les consommateurs devraient pourtant ouvrir l’oeil, car les possibilités techniques offertes par l’explosion du Web ont décuplé les possibilités de ’ciblage’ à leur égard. « Jusqu’à présent, les collecteurs de données personnelles disposaient d’outils efficaces, mais sans commune mesure avec les potentialités introduites par Internet », souligne Arnaud Belleil dans son livre ’E-privacy’ [6]. Les cookies (ces fichiers ’déposés’ dans le disque dur de votre ordinateur par les serveurs auxquels vous vous connectez) permettent à tel ou tel site Web de retrouver, par la suite, des informations sur votre passage. D’autres outils informatiques, comme le ’click-stream tracking’, aident à reconstituer le cheminement des internautes parmi les pages et les liens qui leur sont proposés. Leurs centres d’intérêt ou leurs comportements d’achat seront ainsi enregistrés sans qu’ils s’en rendent compte. Et quand ils se connecteront sur un site commercial qu’ils ont déjà visité, l’offre de produits et les publicités apparaissant sur leur écran seront adaptées en fonction des données déjà recueillies à leur sujet [7]. On en arrive donc à une forme de marketing ultrapersonnalisé qui, sur base du profil du consommateur, en vient à devancer les envies et les besoins de celui-ci, en prétendant vouloir « mieux le servir ».
Fausse gratuité
L’intérêt de posséder de multiples renseignements sur les internautes (coordonnées ’classiques’, mais aussi adresses e-mail, sites favoris…) n’a pas échappé aux différentes sociétés actives sur la Toile. Fournisseurs d’accès, moteurs de recherche ou entreprises commerciales présentes sur le Net peuvent, après analyse des infos recueillies, se retrouver en possession d’importantes bases de données recensant les profils de milliers, voire de millions de personnes. « Rentabiliser la masse d’informations collectées sur Internet en la commercialisant à des tiers peut s’avérer extrêmement tentant », observe Thierry Leonard, sur le site Web de l’asbl Droit et Nouvelles technologies [8]. Et de poursuivre : « La vente de données à caractère personnel apparaît dès lors comme une source de financement propre inespérée ».
Il ne faut donc plus s’étonner si toutes sortes de services gratuits ont fleuri sur Internet ces dernières années. Cette gratuité, certes bien réelle, n’en a pas moins permis d’attirer des internautes qui ont bien volontiers révélé des infos à leur sujet. Un exemple tiré du livre ’E-privacy’ d’Arnaud Belleil est éclairant. En effet, un site français de jeux en ligne a permis de constituer un fichier d’environ un million de noms. Selon l’auteur, la revente des coordonnées des joueurs a généré, en 2000, près d’un tiers du chiffre d’affaires de la société à l’origine de la création de ce site.
Certains e-commerçants font d’ailleurs de la fourniture des données personnelles une condition d’accès aux services proposés. Enfin, l’internaute ne doit pas oublier que, s’il surfe sur un site établi dans un pays extérieur à l’Union européenne, les règles de protection de la vie privée ne seront plus forcément les mêmes. L’Union européenne juge par exemple insuffisant le niveau de protection existant aux états-Unis, sauf en ce qui concerne les entreprises américaines ayant adopté des mesures complémentaires, dans le cadre du ’Safe Harbor Principle’ [9].
En Belgique, comme dans les autres pays de l’Union européens, une législation protégeant la vie privée a le mérite d’exister. Mais encore faut-il qu’elle soit connue du grand public et appliquée. Sans craindre l’émergence d’un Big Brother qui saurait tout et verrait tout, il revient à chacun de faire respecter ses droits en la matière, sur papier ou sur écran…

Notes

[1] Depuis mars dernier, la loi belge interdit d’envoyer du courrier électronique publicitaire sans consentement préalable du destinataire. Il faut donc d’abord demander à celui-ci s’il est d’accord pour recevoir des messages publicitaires via e-mail.

[2] Les personnes qui ne veulent pas être contactées dans un but commercial peuvent s’inscrire sur la liste Robinson de l’ABMD (www.robinson.be).

[3] Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, modifiée en décembre 1998 pour transposer une directive européenne.

[4] Voir Commission de la protection de la vie privée, ministère de la Justice (www.privacy.fgov.be).

[5] A noter que, pour recueillir des données à caractère ’sensible’ (origine raciale, opinions politiques, convictions religieuses ou philosophiques, orientation sexuelle), le consentement écrit de la personne concernée est exigé.

[6] Arnaud Belleil, ’E-privacy, Le marché des données personnelles : protection de la vie privée à l’âge d’Internet’, Dunod, septembre 2001.

[7] Ibid.

[8] Thierry Léonard, ’E-marketing et protection des données à caractère personnel’, www.droit-technologie.org, 23 mai 2000.

[9] Les données personnelles ne peuvent être transférées vers des pays situés hors de l’Union Européenne que si ceux-ci offrent un niveau de protection suffisant. Des négociations baptisées ’Safe Harbor’ ont dès lors été menées entre l’UE et les USA. Le ’Safe Harbor Principle’ rassemble une série de mesures qui assurent une protection jugée ’adéquate’ de ces données. Seules les entreprises américaines qui acceptent de s’y plier peuvent obtenir des données personnelles en provenance de l’UE.

Répondre à cet article