Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

Protection de la vie privée et Internet : le Parlement européen lance un débat de fond

pdf mise en ligne :13 02 2008 ( NEA say… n° 46 )

ASILE > Système d'information Schengen

Dans un contexte de faible (ou inégale) prise de conscience de l’opinion publique européenne, la commission des libertés civiles du Parlement européen a organisé le 21 janvier 2008 une audition plus directement centrée sur la fusion Google et DoubleClick, véritable bataille pour le contrôle d’un marché florissant. Le dossier est encore à l'instruction auprès des autorités européennes, tant sur le plan de l’observation des règles en matière de concurrence que sur celui du respect des règles en matière de protection des données personnelles.

La publicité sur Internet est un marché florissant : elle pèse déjà 27 milliards de dollars par an (1) et devrait doubler dans les quatre ans qui viennent. Naviguer sur le Net peut sembler anodin, pourtant derrière chaque clic, des entreprises enregistrent nos données pour mieux "profiler" et cibler leur publicité au point que le service de presse du Parlement européen a pu titrer: "Souriez quand vous surfez, vous êtes ciblés !".

Sous une apparente gratuité et des aspects ludiques, l’utilisateur paye l’abandon de ses données personnelles: le ciblage comportemental permet aux entreprises du Net de vendre notre profil à des annonceurs qui souhaitent placer des publicités ciblées. Comment un internaute peut-il savoir ce qui est fait de ces informations, comment peut-il les contrôler, les modifier, les supprimer ? Toute la question est là ! La récente rébellion d’utilisateurs du réseau social à succès Facebook a été citée comme un exemple: les usagers ont protesté contre la plateforme publicitaire Beacon, associée à Facebook qui offre aux annonceurs (moyennant finance) un accès direct aux informations concernant les membres du site, afin de les aider à mieux cibler leurs campagnes publicitaires. Face à ces critiques, Facebook propose désormais à ses utilisateurs une option de désactivation de Beacon.

Données collectées, sans information des internautes, problèmes de sécurité et de confidentialité etc…or tout cela est réglementé au niveau européen depuis 1995 ! La Charte des droits fondamentaux reprend dans son article 8 "(...) ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée (…) toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification". Quiconque viole ces règles peut donc être traduit en justice.

Pour beaucoup, la législation existante doit être étendue pour encore mieux protéger les internautes, en particulier concernant les moteurs de recherche, ce qui vise directement Google qui bénéficie d’un quasi monopole en la matière. Le député socialiste grec, Stavros Lambrinidis a pu dire qu’il n’existe "aucune législation européenne permettant de garantir que l’information sur les comportements à des fins publicitaires ne soit utilisée à d’autres fins que le but initial". Beaucoup d’intervenants se sont prononcés en faveur d’un renforcement de la législation européenne existante. Le représentant de la Commission a récemment présenté une proposition définissant les droits et devoirs pour les fournisseurs de communications électroniques ou de réseau, ainsi que des dispositions contre les communications non sollicitées (spam). Il a insisté sur le besoin d’information des utilisateurs, en particulier quand des abus sont constatés, ou en cas de pertes de données de plus en plus fréquemment signalées dans la presse, pour les cas les plus spectaculaires.

En tous cas, la sanction doit être à la hauteur des abus. Mais cela va-t-il suffire ? Sans doute pas ! Internet est un réseau mondial, qui nécessite une même législation applicable dans tous les pays du monde. Une approche commune au sein de l’UE est plus que jamais nécessaire, et même une approche commune transatlantique, comme l’a souligné la députée libérale néerlandaise, Sophie In’t Veld. Cette première audition n’est donc que la première pierre d’un vaste chantier. Mme Harbour, de la Federal Trade Commission, a reconnu que "la coopération transfrontalière est un aspect clé de la protection des consommateurs et de la vie privée, qui ne peut être confiée à un Etat". C’est pourquoi la commission des libertés publiques du Parlement européen (LIBE) vient de décider de faire un rapport d’initiative sur le "Bill of rights for the Internet", rapport confié au socialiste grec Stavros Lambrinidis. Il est probable qu'une question orale sera posée pour la plénière du mois de mars du Parlement européen.

Cette audition ne sera pas sans lendemain, et beaucoup de choses seraient à rapporter la concernant. Retenons-en deux: la déclaration de la députée Sophie In’t Veld, surtout préoccupée par la situation de quasi monopole de Google, comme moteur de recherche, qui interdit pour tout utilisateur d’aller vers le mieux offrant en matière de protection de données personnelles, et les interventions de Peter Hustinx, commissaire européen à la protection des données personnelles, pour qui l’adresse IP est incontestablement une donnée personnelle à protéger.

A l’origine de l’affaire se trouve le rachat en mai 2007 de DoubleClick par Google,  pour 3,1 milliards de dollars. En décembre 2007, la Federal Trade Commission (FTC), la plus haute autorité antitrust américaine, a annoncé qu’elle ne chercherait pas à empêcher l’opération de rachat. La Commission européenne quant à elle, a décidé d’entamer une enquête approfondie afin de vérifier les effets produits par l’opération sur les marchés de la commercialisation et la gestion des annonces publicitaires en ligne. La date-butoir pour la décision de la Commission a été fixée au 2 avril 2008. La Commission a également laissé entendre qu’elle ne prendrait pas en compte la protection des données personnelles, ce qui laisse présager un feu vert au rachat à l’issue de l’enquête. La députée Sophie In’t Veld s'en inquiète: "on ne peut pas dissocier données personnelles et concurrence, argumente-t-elle, (…) ce serait une bonne chose que la Commission réagisse, dans le cadre de la fusion entre Google et DoubleClick ou à une autre occasion".

Le second thème majeur concerne l’adresse IP : est-il possible d’être retrouvé via l’adresse IP ? Oui ! L’adresse IP est une donnée personnelle, ont répondu Peter Schar, président du Groupe article 29 (G29) qui rassemble les commissaires nationaux à la protection des données personnelles, et Peter Hustinx, comme l’a titré le Washington Post du 27 janvier 2008 dans un article bien en vue. Du point de vue américain, il n’y a aucun consensus sur ce sujet, a indiqué Pamela Harbour, représentante de la commission fédérale américaine du commerce. Il n’y a pas de réponse tranchée, l’adresse IP peut être parfois considérée comme une donnée personnelle, parfois cela dépend du contexte et des informations personnelles que cette adresse révèle, a confirmé Peter Fleischer pour Google. "J’espère que c’était le cas, mais nous allons vers le modèle IP6, pour lequel il est encore plus vrai que l’adresse IP contiendra des données personnelles permettant d’identifier l’utilisateur", a indiqué Marc Rothenberg, directeur exécutif de l’EPIC (Electronic Privacy Information Center). Des opérations commerciales telles que l’acquisition de DoubleClick par Google "soulignent la nécessité de prendre en compte la protection des données lorsque les autorités responsables revoient la fusion", a-t-il poursuivi. Le député portugais Carlos Coelho (PPE-DE) a appelé à considérer les adresses IP comme des données personnelles et a rejoint Sophie In’t Veld sur un autre point : "la relation de confiance entre l’internaute et le fournisseur de services en ligne ne peut pas exister en situation de monopole, et avec le rachat de DoubleClick par Google, on pourrait se retrouver dans un tel cas".

Autre thème du débat, l’accès des autorités gouvernementales aux données personnelles. Les députés ont demandé aux représentants des entreprises de l’internet comment elles pouvaient minimiser le risque de porter atteinte à la vie privée. "L'administration américaine a-t-elle demandé un accès aux données personnelles à des fins d’enquêtes policières ? Si tel est le cas, qui détermine si l’on a porté atteinte à la vie privée ?" s’est interrogé le député Lambrinidis. Peter Fleischer, conseiller à la protection de la vie privée pour Google, a répondu : "Si les autorités chargées de la répression introduisent une demande concrète pour, par exemple, enquêter sur la pornographie enfantine, nous y répondons favorablement (…) mais les règles diffèrent suivant les pays, c’est pourquoi nous devons répondre avec une bonne équipe d’avocats (…) Nous avons dû également faire face à une demande disproportionnée portant sur des millions d’informations et nous avons gagné devant une cour de justice américaine", cas sans précédent.

Internet et la publicité : que serait Internet sans la publicité ? Peter Fleischer s’est à nouveau défendu en déclarant "il faut savoir qui consulte quoi, sinon notre entreprise ne marcherait pas". Il a souligné que la croissance des services sur Internet est due en partie à la gratuité. Thomas Nyrup, représentant de Microsoft, a de son côté également estimé : "Internet ne serait pas ce qu’il est sans la publicité". Il a cependant appelé à veiller au respect des trois principes : "le consentement, la transparence et la sécurité (…) car le consommateur doit pouvoir contrôler la façon dont ses informations sont partagées". La publicité est-elle un plus pour le consommateur en élargissant son choix ? La représentante du Bureau européen des consommateurs (BEUC), Cornelia Kutterer, estime que la confidentialité et la sécurité des échanges sur Internet ne sont pas garantis et d’autre part elle doute que la publicité ciblée aille dans le sens d’un plus grand choix pour le consommateur. Selon elle, les services rendus ne sont pas complètement gratuits, en contre partie le consommateur abandonne une part de lui même. La députée Sophie In’t Veld a rappelé la récente révolte des utilisateurs de Facebook le poussant à changer ses pratiques : le consommateur doit pouvoir exercer ses pouvoirs; elle a dénonçé parallèlement les autorités publiques qui utilisent les données personnelles sans aucune règle et qui ne souhaitent pas que la situation change.

En conclusion, on peut retenir les propos de M. Artemi Rallo Lombarte, de l’autorité espagnole de protection des données, qui a souhaité "la définition d’un statut international de la protection de la vie privée des internautes", qui doivent être informés de l’utilisation faite de leurs données personnelles. La question ultime revient au Président de la commission des libertés civiles, Jean-Marie Cavada, qui a évoqué les analyses effectuées sur le contenu des courriels par les services de messagerie Internet. Une pratique démentie par le représentant de Microsoft, mais admise par celui de Google qui a rappelé les fins "uniquement publicitaires" de l’exercice ; il a admis également le recours à cette pratique pour "filtrer les spams et les virus". Mme Harbour a estimé que l’élément confidentialité n’est pas un élément pertinent à prendre en considération dans le rachat fait par Google. Ces dernières remarques ont fait bondir Marc Rothenberg (EPIC), qui imagine son équivalent téléphonique : "supposez que vous réserviez une table pour un excellent restaurant français et que dans la seconde qui suit, un autre restaurateur vous appelle pour essayer de vous faire annuler la réservation !".

Toute la problématique des nouvelles mesures de protection de la vie privée a été exposée au cours de cette audition. Lors de sa prochaine réunion, le 18 février 2008, le groupe de protection des données de l’article 29 se penchera sur ces questions et tentera de donner, à son niveau, une réponse susceptible d’apporter une aide précieuse aux autorités politiques de l’Union européenne.

 

(1) une étude réalisée récemment pour la France montre que le nombre d'annonceurs publicitaires sur l'Internet a augmenté en 2007 de 56%, et les investissements de 34,5% pour un montant de estimé à 2,76 milliards d'euros. Il y a deux fois plus d'annonceurs Internet qu'à la télévision et les campagnes coûtent cinq fois plus cher. Les auteurs de l'étude signalent les réticences de Google à collaborer avec les autres acteurs du marché français, ce qui rend difficile la publication de chiffres nets en matière d'investisssements.

 

 Déclaration du vice-président Frattini à l’occasion de la journée de la protection des données (FR) (EN).
Programm Public seminar (FR) (EN)
Statement on internet search engines by the spanish data protection agency (EN)
Search engines and rights of erasure and objection by Artemi Rallo Lombarte, director of the spanish DPA (EN)
Decision N° R/01046/2007 of the spanish DPA about a complaint against Google spain (EN)
Opinion 4/2007 on the concept of personnal data by the article 29 Data Protection Working Party (EN)
► Letter co-signed by BEUC, VZBV, Altroconsumo and OCU to the european commissioner N. Kroos, on the acquisition of DoubleClick (EN)
Intervention by Spyros Pappas, attorney at Law, former Director general in the european Commission (EN)
Submitted Testimony to the FTC Behavioral Advertising Town Hall by Peter P. Swire, Professor (EN)
► Report "Australia Clears Google-DoubleClick, but EEC still looking at Google's Offers" from Stifel Nicolaus, US (EN)
White paper "Google Acquisition of DoubleClick: Antitrust implications" from the antitrust Institut (EN)
Booklet at Privacy by Peter Fleischer from global privacy counsel Google (EN)
► Presentation on "How to strengthen the EU legislation, improve international cooperation and secure the growwing market of internet services" by ENISA representatives , Mr Alain Esterle, Mrs Barbara Daskala and Giles Hogben (EN)
Written comments submitted by Yahoo ! by Andrew Cecil (EN)
The pan-European trade association of digital and interactive marketing representing the National Associations (EN)
► Statement of Thomas Myrup Kristensen, EU Internet Policy Director, Microsoft Europe (EN)
► 
Microsoft Statement appendix I (EN)
Microsoft Statement appendix II (EN)
► Discussion Paper of the Federation of European Direct and interactive Marketing (EN)
► NAI announces 2008 Behavioral Advertising Principles Initiative Members to uptade Self-Regulation for online Behavioral Advertisers (EN)
Network Advertising Initiative self-regulatory principles for online preference marketing by network advertisers (EN)
Comments provided by the Network Advertising Initiative for consideration by the Committeee at its public seminar: Data Protection on the Internet Seminar: Data Protection ont the Internet (Google-DoubleClick and other case Studies) (EN)