Navigation path

Left navigation

Additional tools

Other available languages: EN DE

European Commission

Neelie Kroes

Vice-présidente de la Commission européenne chargée de la stratégie numérique

Vie privée en ligne et commerce électronique: un état de la situation sur «Do Not Track»

Centre d'études de la politique européenne (CEPS), Bruxelles,

11 octobre 2012

Je vous remercie de m’avoir invitée aujourd’hui.

La vie privée en ligne et l’entreprise en ligne ne sont pas dissociables l’un de l’autre. Le respect de la vie privée est un droit fondamental. Un entrepreneur qui ne respecte pas ce droit n’ira pas loin. Parce que les utilisateurs n’utilisent pas ce en quoi ils n’ont pas confiance. Et qu’ils cessent très vite d’utiliser ce dont ils méfient. Pour une entreprise en ligne, perdre la confiance de ses utilisateurs, c’est gaspiller d’immenses opportunités de développement commercial.

Il nous faut une culture d’entreprise qui respecte les clients et leur vie privée. Nous avons besoin de transparence, de sensibiliser tous les citoyens aux enjeux, et aux outils qu’ils peuvent utiliser. Je veux donc dire à tous ceux qui ont participé au projet d’autorégulation sur la publicité comportementale en ligne, ici en Europe: bravo pour avoir franchi cette nouvelle étape et lancé cette semaine l’entité juridique qui va contribuer à définir votre programme. Les signataires méritent d’être félicités et encouragés pour ce pas effectué dans la bonne direction. Vous avez travaillé dur, et obtenu de bons résultats.

Bien entendu, il nous faut également une culture d’entreprise qui respecte le droit à la vie privée au-delà de la seule question de la transparence. Les nouvelles dispositions de la directive ePrivacy, les «règles sur les cookies», obligent à recueillir le consentement éclairé de l’utilisateur avant tout stockage ou toute lecture d’informations sur l’appareil d’un utilisateur, son ordinateur ou son smartphone. Cela concerne aussi le stockage et la lecture de cookies à des fins publicitaires ou autres. Tous les prestataires doivent respecter ces règles et les mettre en œuvre.

Il y a plus d’un an, j’ai dessiné les contours de ce que devraient être les responsabilités des entreprises à cet égard. À l’époque, on commençait tout juste à prendre conscience du problème. Maintenant, ces règles sont en vigueur dans presque tous les États membres.

La stratégie numérique vise à aider les entreprises en ligne à se développer. Elle vise aussi à créer un internet ouvert où l’innovation peut continuer à changer notre monde. Aussi la manière dont le secteur met en œuvre les règles sur les cookies ne nous est pas indifférente, puisqu’elle est déterminante pour atteindre nos objectifs. Pour cette raison, j’avais demandé en juin dernier à toutes les parties concernées de prendre part au travail de normalisation et de se mettre d’accord sur une norme «Do Not Track» ou «DNT». Une norme qui permette aux internautes de demander simplement «don’t track me», «ne me suivez pas, SVP», et qui décrive les conséquences de ce choix pour les sites web.

L’intérêt d’une telle norme est manifeste pour faire avancer la question des cookies, mais aussi dans le contexte plus général de la stratégie numérique. En effet, le DNT peut devenir un mécanisme universel permettant de signaler le consentement ou l’absence de consentement de l’utilisateur. Il devrait s’appliquer lorsque l’utilisateur est suivi au moyen de cookies, mais aussi par d’autres moyens. Il devrait s’appliquer à tous les appareils et à toutes les applications en réseau, quel que soit l’objet de ce suivi. Il devrait fonctionner sur le web, pouvoir être déployé de manière universelle et respecter le principe du «bout en bout».

C’était là le défi que j’avais lancé au secteur. Un peu plus d’un an s'est écoulé depuis. Il est temps de faire un bilan.

Le nouveau mécanisme DNT a été rapidement intégré dans plusieurs des principaux navigateurs, ce qui est un point positif.

Mais je dois être franche: la normalisation ne se déroule pas comme prévu. En fait, je suis de plus en inquiète. Inquiète des retards, et inquiète de la tournure que prennent les discussions au sein du W3C. Je crois que vous connaissez la situation. Et je sais que mes collègues du FTC, de l’autre côté de l’Atlantique, partagent mes préoccupations.

Quel est le problème? D’abord et surtout, le risque que la norme soit vidée de sa substance.

Je l’ai dit en juin, je l’ai dit en janvier, mais pour que les choses soient bien claires, je vais le répéter aujourd’hui: la norme DNT doit avoir suffisamment de substance pour avoir un effet réel, pour protéger effectivement la vie privée.

Le mécanisme doit être basé sur le principe du consentement éclairé pour que les utilisateurs puissent contrôler l’information qui les concerne.

Et il doit, à l’évidence, permettre aux utilisateurs de choisir de ne pas être suivis, comme son nom l’indique: do NOT track.

Voyons donc quelles sont plus précisément mes préoccupations.

Premièrement, il y a la manière dont les utilisateurs sont informés des réglages par défaut de leurs logiciels et de leurs appareils. C’est un aspect crucial: l’option par défaut est-elle d’autoriser le suivi, ou de refuser le consentement? Les services de la Commission ont été très clairs sur ce point dans leur lettre au W3C: lors de l’installation ou de la première utilisation, les utilisateurs doivent être informés de l’importance de leur choix en matière de DNT. Lorsqu’il existe un réglage par défaut, ils doivent en être informés, et ils doivent être invités à choisir de garder ce réglage ou d’en changer. Sans cela, la plupart des utilisateurs ne seront pas en mesure de faire un choix éclairé.

Deuxièmement, la norme DNT ne devrait pas laisser la possibilité aux sites web de préjuger du choix de l’utilisateur ou de l’ignorer. J’ai récemment été informée qu’un des principaux logiciels de serveur web avait introduit une fonction passant outre le signal «DNT». Cela revient à faire fi de la volonté de l’utilisateur. C’est une évolution inquiétante et qui n’est pas souhaitable.

Troisièmement, en l’absence de consentement, les sites ne devraient pouvoir utiliser que de manière limitée les informations de l’utilisateur, et uniquement conformément à l’objectif général de la norme. Or les exceptions proposées semblent aller très très loin. Jon Leibowitz, le président du FTC, les a décrites comme «une faille suffisamment grande pour qu’on puisse y faire passer un camion virtuel». Pour comprendre pourquoi, il suffit de se pencher sur l’exception pour «étude de marché». Il faut être plus clair, beaucoup plus clair, sur ce qu’est réellement cette exception, et quelles en sont les limites. Bien entendu, l’anonymisation et d’autres moyens tels qu’une limitation de la durée de conservation des données pourraient s’avérer utiles ici. Mais pour autant, une clause de ce type ne doit pas rendre possible tout et n’importe quoi.

Les inquiétudes sont donc nombreuses. Le temps travaille contre nous. Je voudrais donc dire aujourd’hui à tous ceux qui participent à ces discussions: il faut arriver à un bon compromis, et vite.

Ne croyez pas que je sois naïve. Vu l’évolution des débats, je ne crois pas que la norme DNT, à elle seule, permettra d’arriver à des dispositions légales satisfaisantes en ce qui concerne les cookies. Ne serait-ce que parce que dans le consensus qui se dégage, les «cookies d’origine» semblent exclus de la norme.

Mais le mécanisme DNT n’en reste pas moins utile.

Le fait est que nous avons besoin d’un mécanisme simple et uniforme qui permette de traiter la question de la vie privée en ligne, quel que soit le fournisseur et quelle que soit la méthode de suivi. Pourquoi chaque fournisseur devrait-il réinventer la roue sur cette question?

À l’évidence, il serait plus utile d’aller jusqu’au bout que de s’arrêter à mi-chemin. Mais mieux vaut quand même aller jusqu’à mi-chemin ensemble que de laisser chacun se débrouiller dans son coin. Parce qu’il s’agit d’une approche commune, ouverte et créative, adaptée à un web qui est mondial.

Mais si le DNT s’arrête à mi-chemin, les fournisseurs auront des obligations légales de conformité allant au-delà de ce mécanisme. Il y aura un delta, des choses que les fournisseurs devront faire pour obtenir le consentement à l’utilisation des cookies, en plus de la mise en œuvre du DNT.

Il devrait donc y avoir une discussion dans les États membres de l’UE pour déterminer en quoi consiste ce delta, compte tenu des exigences légales et de l’état d’aboutissement de la norme, avec les fournisseurs, qui auront besoin de réponses à la question, et avec les pouvoirs publics compétents, qui devront définir leur position.

Ne serait-ce que parce que le mécanisme DNT est déjà là. Il est intégré à la plupart des navigateurs, et utilisé par de nombreux Européens. Aujourd’hui, en Europe, le fait d’envoyer le message «Do Not Track» fait d’ores et déjà une différence. Estimez-vous que les entreprises devraient pouvoir se dédouaner en disant qu’elles «ne comprennent pas le message», parce que le DNT n’est pas encore normalisé, et continuer à utiliser des cookies de suivi sans le consentement des utilisateurs? Moi non.

Vous ne serez donc pas surpris d’apprendre que les pouvoirs publics compétents des pays de l’Union sont en train d’étudier la manière de mettre en œuvre ces règles sur la vie privée en ligne. Ce sera l’un des points que je mettrai à l’ordre du jour de la prochaine réunion du groupe de travail «article 29», qui aura lieu avant la fin de l’année.

En résumé, personne, en Europe, n’a intérêt à ce que la normalisation du DNT s’enlise ou s’arrête. Les règles sur le consentement donné aux cookies seront mises en œuvre, et les fournisseurs devront les respecter. Personne ne souhaite que les utilisateurs se défient du web; personne ne souhaite devoir mettre en place des solutions personnalisées coûteuses; personne ne souhaite être poursuivi pour atteinte à la vie privée.

Quand je parle de l’intérêt de tous, c’est bien de tous qu’il s’agit. Y compris les entreprises américaines. Parce que ceux qui souhaitent suivre les citoyens européens doivent également respecter les règles européennes. Notre nouveau cadre sur la protection des données est très explicite sur ce point. Et les entreprises en ligne sont également concernées. À long terme, l’économie en ligne cessera de croître si elle va à contresens de la pente, si elle va à l’encontre des souhaits des utilisateurs, si elle ne respecte pas leur besoin de confiance. Et c’est vrai pour tous les services en ligne, y compris les services «freemium».

Ma conviction est simple: le respect de la vie privée en ligne et le commerce en ligne font plus qu’aller de pair: ils sont indispensables l’un pour l’autre. La vie privée en ligne doit être vue comme un véritable marché en soi. Un marché qui repose sur un cadre juridique respecté. Un marché qui a besoin de transparence. Un marché qui va se spécialiser au fur et à mesure qu’il mûrit.

Qu’est-ce à dire? Demandez-vous simplement s’il est utile pour toute entreprise de devenir une spécialiste du «big data», d’être capable de traiter de grands volumes de donnés pour déterminer ce qu’aiment, veulent et pensent leurs utilisateurs d’après leurs traces numériques. Demandez-vous si toutes les entreprises en ligne ont intérêt à suivre elles-mêmes leurs utilisateurs passés, présent et futurs. Une telle approche serait-elle la plus économique? Pas nécessairement. C’est pour cette raison que je pense que de nouveaux modèles économiques d’entreprise vont voir le jour. Par exemple, des services qui assurent un suivi et un profilage de l’utilisateur à sa demande, et sous son contrôle; des services qui rendent l’information disponible aux annonceurs et à d’autres avec le consentement de l’utilisateur et, pourquoi pas, contre paiement.

L’industrie publicitaire nous l’a elle-même appris: les consommateurs ne sont pas rétifs à la publicité, même lorsqu’elle est relativement ciblée. Ce qu’ils n’acceptent pas, en revanche, c’est la prolifération de profils les concernant. Donnez-leur la connaissance, et donnez-leur le contrôle, et tout devient possible.

En résumé:

Si une norme DNT solide est établie, elle jouera un rôle majeur et positif. Je n’ai aucun doute à ce sujet.

Mais à l’heure actuelle, il n’est pas certain que la norme finalement retenue soit d’une telle qualité, et je m’inquiète aussi de la lenteur des progrès. En cas d’échec, nous serions tous perdants. Les utilisateurs seraient privés d’un moyen simple de protéger leur vie privée; les sites web seraient privés d’un moyen simple de se conformer aux exigences en matière de consentement. Et en dernier ressort, les annonceurs seraient perdants, eux aussi.

Il faut donc éviter d’en arriver là. Je reste convaincue qu’une norme substantielle reste possible. Une norme qui évite les écueils que j’ai décrits. Il y faudra sans doute quelques mois supplémentaires, mais aujourd’hui, une telle norme reste la meilleure solution pour tout le monde.

Mais le temps nous est compté, et il sera bientôt trop tard. Il faut donc agir vite pour que tous les internautes aient accès au DNT.

Nous pourrons ensuite focaliser notre attention, ensemble, sur la croissance de l’économie en ligne et sur les questions de vie privée en ligne. Ensemble avec les utilisateurs, et non contre les utilisateurs.


Side Bar

My account

Manage your searches and email notifications


Help us improve our website