E-business et vie privée, liaisons dangereuses ?

Il n’y a pas que sur les réseaux sociaux que nous mettons en jeu notre vie privée. Sur Internet, les entreprises collectent et traitent nos données personnelles, parfois même elles les vendent.

Noms, numéro de téléphone, adresse e-mail : pour acheter des biens ou accéder à des services en ligne, les internautes n’ont pas d’autre choix que de livrer ces informations.

Pour Katarzyna Szymielewicz de la Fondation Panoptykon, “l’information c’est le pouvoir. Quiconque possède des informations sur vous possède aussi un pouvoir sur vous.” Katarzyna dirige en Pologne une ONG de défense des libertés sur internet. Les Polonais sont de plus en plus mobilisés sur ces questions, comme l’ont montré les récentes manifestations contre le traité ACTA sur la contrefaçon.

Katarzyna prône une législation plus stricte pour protéger le droit à la vie privée des internautes face au pouvoir des entreprises.

“Les entreprises peuvent, et elles le font, utiliser vos données pour vous manipuler, créer des désirs, des besoins que vous n’avez pas, explique Katarzyna Szymielewicz. “On peut dire que ce n’est qu’une question d’argent mais on peut aussi dire que c’est un problème de liberté.”

Pas facile de parler de la protection des données personnelles avec les entreprises. Plusieurs ont refusé nos demandes d’interviews soulignant le caractère confidentiel du sujet. Nous sommes donc allés les rencontrer directement au salon du e-marketing de Paris.

Publicités comportementales en ligne, profilage, le marketing électronique cible de plus en plus les consommateurs en fonction de leurs centres d’intérêt. Des pratiques qui usent et parfois abusent de nos données à notre insu.

Jean-Paul Lieux est directeur associé de Dolist.net, une société qui gère les services d’e-mailing pour les entreprises. Il reconnaît des dérives chez certains acteurs du e-marketing, mais estime que les choses changent.

“Nous appréhendons aujourd’hui un changement radical dans les pratiques”, explique-t-il, “alors il y aura toujours des vendeurs, des “hard sellers”, des gens qui vendront de la promo et qui mettront de la pression sur les clients. Mais sur Internet, à tout moment, l’internaute peut éteindre l‘écran, partir et changer de magasin”.

Les acteurs du commerce en ligne et du e-business soulignent leur propre intérêt à respecter un code de bonne conduite et mettent en avant l’auto-régulation.

“Trahir la confiance qu’ils m’ont donné en me donnant leurs données, et en les utilisant de manière qui est irrespectueuse de leur “privacy” comme on dit, pour moi, c’est grave pour une marque, on ne peut pas faire ça “ s’indigne Georges-Edouard Dias, directeur e-business chez L’Oréal.
“Il faut qu’il y ait un certain nombre de règles qui se mettent en place, mais il faut qu’elles soient construites avec les acteurs. Donc je pense que notre rôle comme grande entreprise c’est de participer à la construction de ces règles, que ce ne soient pas des gens qui sont externes, qui ne connaissent pas forcément le sujet qui disent “et bien voilà la règle c’est comme ça et puis on va protéger le consommateur” parce que comme ça, il faudra demander 15 signatures d’autorisation, on va mettre le consommateur dans une situation où il ne pourra plus avoir le service de la marque, car ce sera trop compliqué il faudra qu’il donne tellement d’autorisation, tellement de signatures.”

Le renforcement de la législation européenne est en cours. D’une part, la commission entend harmoniser les réglementations des 27 pays membres, ce qui faciliterait la vie des entreprises.

D’autre part, il s’agit d’améliorer la protection des données en encadrant mieux certaines pratiques comme le profilage :

“Les entreprises ne doivent plus pouvoir établir des profils comme elles le souhaitent”, affirme Katarzyna Szymielewicz. “Actuellement, c’est une sorte de zone grise. Les entreprises disent : “Nous ne traitons pas les données, nous créons juste des profils anonymes”. Mais ce qu’elles font avec ce profil nous échappe complètement. On peut imaginer que certaines personnes se voient refuser un service à cause d’un profil qui a été établi sur eux. Par exemple, les compagnies d’assurance qui refuseraient des prestations aux personnes qui présentent des risques élevés.”

Dans chaque pays, une autorité est chargée de la protection des données. Souvent méconnue du grand public, il s’agit pourtant du garant du droit à la vie privée des citoyens. En Pologne, il s’agit du Giodo. Nous avons rencontré son patron.

Avec la refonte de la législation européenne, les autorités de protection des données auront plus de pouvoir. Elles pourront notamment infliger de lourdes amendes aux entreprises – jusqu‘à 1 million d’euros ou 2 % du chiffres d’affaires -, en cas d’infraction, ce qui est loin d‘être le cas aujourd’hui.

“ Dans l’Union Européenne, toutes les autorités nationales de protection des données n’ont pas le même pouvoir”, souligne Wojciech Wiewiorowski, chef de l’autorité polonaise de protection des données. “Pour ma part, j’ai certes le droit d’interdire des pratiques, de modifier la manière dont les données sont traitées mais je n’ai pas le droit d’imposer une amende comme c’est le cas par exemple au Royaume-Uni, en Italie ou en Espagne.”

Renforcer la législation mais aussi mieux informer le public. C’est la volonté de la commission européenne à l’origine d’un clip dont le message est simple : “sur Internet, nous dévoilons plus que ce que nous pensons”.

Retour en France à la rencontre d’un autre acteur de la protection des données. Le lieutenant-colonel Eric Freyssinet dirige une unité spécialisée en cybercriminalité au sein de la gendarmerie. Il participe au projet “Signal Spam” qui associe entreprises privés et pouvoirs publics pour lutter contre les spams. Un site web permet aux internautes de signaler les courriers indésirables et parfois de mettre au jour des arnaques.

“Aujourd’hui ce qui concerne le plus les internautes, c’est tout ce qui a trait à leurs coordonnées bancaires qui peuvent être usurpées sur des sites de commerce électronique”, note Eric Freyssinet. “Là, on a deux victimes le porteur de la carte bancaire et le commerçant.
Et puis le deuxième volet ce sont toutes les escroqueries qui visent à détourner de l’argent et, de façon plus avancée, à voler des données à caractère personnelle, c’est à dire à les détourner pour permettre de commettre d’autres escroqueries. Par expemple le fait de rentrer en contact avec tous vos amis grâce à votre compte de courrier électronique, grâce à votre compte de réseau social. Et de relayer des escroqueries en se faisant passer pour vous “.

Carte bleue, adresse mail, mot de passe, les pirates sont à l’affût de toutes sortes de données personnelles. Si les entreprises doivent se prémunir face à d‘éventuelles attaques, elles doivent aussi savoir réagir en cas de fuite.

Eric Freyssinet, chef de la division de la gendarmerie française sur la cybercriminalité insiste : “Les entreprises qui traitent des données à caractère personnel, des données sensibles doivent être conscientes qu’il n’y a pas de risque zéro, il y a pas de sécurité à 100%, et donc être préparées à réagir en cas d’incident, c’est à dire être capables de le détecter et avertir leurs usagers des données qui ont été spécifiquement compromises, et puis des risques qu’ils encourent, et leur apporter des conseils précis sur la façon de se protéger, surveiller leurs comptes bancaires quand il s’agit de données bancaires, modifier leurs mots de passe quand le mot de passe a pu être compromis etc…”

Ne pas se mettre à nu quand on surfe sur le net, un pari difficile mais essentiel alors que près d’un Européen sur deux est aujourd’hui un cyberconsommateur.

Copyright © 2012 euronews