Réponse à Jacques Crémer sur sa conception de la protection de la vie privée

vie privéeJ’en suis tombé de ma chaise. Dans un billet publié sur le site les Echos, Jacques Crémer se lance dans un incroyable plaidoyer anti protection de la vie privée. Pas au bénéfice de la sécurité du territoire, de la lutte anti-terroriste ou de la protection de l’enfance… mais au nom du droit, pour certains publicitaires, à faire plus de profit avec votre vie privée et vos données personnelles. Incroyable ! J’ai du mal à m’en remettre tellement cet article m’a choqué de par son manque d’inspiration et de maîtrise du sujet. Les Échos ne m’avaient pas habitué à ça. Ne pouvant rester sans réponse face à une telle démonstration par l’absurde, je me permets d’y répondre sous forme de tribune, en m’adressant à vous monsieur Crémer.

Quelques bases juridiques

Avant de rentrer dans de la prospective législative sur d’éventuelles transpositions de directives européennes, nous allons simplement nous attacher à relire ce que dit la loi française :

* Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Journal Officiel du 7 janvier 1978 ). Article 34« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

* Article 226-17 du Code Pénal:« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende. »

Voilà pour l’état du droit français sur la protection des données personnelles. Examinons maintenant les faits.

L’autorité administrative en charge de ces questions, la CNIL, n’a, à ma connaissance, jamais entamé de poursuites à l’encontre d’entreprises qui font souvent n’importe quoi avec les données personnelles de leurs clients. Je vous mets au défi de trouver une entreprise du Net, en France, qui a été condamnée pour un défaut de sécurisation des données personnelles de ses clients.

Notez au passage que l’HADOPI, elle, automatise le processus de riposte graduée incluant  un système de surveillance (monitoré par une société privée), d’avertissements, de contraventions, allant jusqu’à la sanction consistant en la coupure de l’accès à Internet… et pour les particuliers ! Il en découle donc pour le particulier une obligation de sécuriser son accès à Internet.

Et pendant ce temps, d’autres ne se pressent pas… je vais être plus précis, ne répondent même pas aux mails qu’on leur envoie pour leur signifier une vulnérabilité sur leur site… et une fuite des données personnelles de leurs clients.

Un peu de pratique

Dans l’exemple du lien précédent, les données personnelles des clients ont été rendues publiques depuis bientôt un an. Il va de soi que les clients en question n’ont pas été prévenus, ceci veut dire qu’à l’heure où je rédige ces lignes, c’est toute leur vie qui est disponible en quelques clics puisque leurs mots de passe n’ont probablement pas été changés. Je vous laisse imaginer le coût de ce manquement pour nos pauvres amis des banques et autres assurances.

Pire, et c’est bien là tout le sens d’un durcissement de la législation, cette attitude irresponsable met en danger d’autres entreprises et des administrations publiques. Regardez bien cette liste, vous allez par exemple y trouver une adresse email du ministère des finances… ça ne vous rappelle rien d’ailleurs Bercy ? Un accès à une boite mail professionnelle et c’est dans 90% des cas tout le système d’information de l’organisation qui s’ouvre à des tiers.

Et la CNIL alors ?

On peut légitimement s’interroger sur le rôle de la CNIL, Kitetoa ne se gêne pas pour le faire et j’ai tendance à croire qu’il sait de quoi il parle. Pourquoi n’agit-elle pas ? Quelques dossiers transmis au procureur ces 20 dernières années, quelques sanctions financières d’un montant ridicule. Nous l’avons vu très récemment à l’encontre de Google, condamné à 7 minutes d’amende pour la captation illicite de données sur des réseaux sans fils du monde entier. Pourtant, les dossiers de fuites de données personnelles se multiplient. La CNIL promet maintenant de s’intéresser au cas de Sony, multirécidiviste de la compromission de données personnelles, et en plus ce n’est pas nouveau. On est curieux de voir ce que cette recherche donnera.

Étrangement, pour la CNIL, rien concernant des entreprises françaises… On est vraiment si forts que ça à votre avis ?

Et maintenant le plat de résistance : de la vie privée sur Internet

Monsieur Crémer, vous semblez dire qu’un durcissement de la loi dans le sens de la préservation de nos données personnelles, dont je me permets de préciser de manière non exhaustive quelques formes :

  • captation par des tiers non habilités,
  • constitution de bases de données,
  • revente des données collectées à des tiers, sans en avertir les concernés,
  • fuites de ces données toujours sans en avertir les concernés…

… serait un frein au développement du chiffres d’affaire de Google AdSense (faut-il rappeler que le géant américain est en situation de quasi monopole mondial dans ce secteur et qu’un polémique est toujours ouverte sur le lieu paradisiaque où il est imposé ?). Ceci justifierait donc selon vous des lois plus laxistes.

Quand on parle de vie privée sur Internet, il faut déjà commencer par la base, c’est à dire savoir de quoi on parle. La protection de la vie privée comprend plusieurs notions. La première, intelligible de tous, correspond à ce que nous appelons la sphère privée et la sphère publique. La protection de la sphère privée fait appel à deux autres notions :

  • la protection du contenu,
  • la protection du contexte.

C’est un sujet que j’avais plus largement développé dans ce billet exposant les notions de base, puis dans celui ci, un peu plus technique. Pour résumer, on dira que l’on protège un contenu par le biais de techniques de chiffrement et que l’on protège le contexte par un ensemble de mesures techniques adaptées, dont la première est l’anonymisation des flux.

Maintenant que nous savons de quoi nous parlons, nous allons pouvoir nous concentrer sur le déroulé du reste de votre argumentaire. Une première phrase me pique les yeux :

« ces restrictions rendent très difficiles l’utilisation de ces techniques et limitent fortement les possibilités de collecte de données sur leurs utilisateurs par les sites Internet ».

Cette affirmation mérite qu’on lève le voile sur un volet purement technique, je vous prie de bien vouloir m’en excuser, mais il est capital pour la bonne compréhension de la suite.

  • Premier point : les publicitaires sérieux utilisent des techniques d’anonymisation des données collectées (et donc des flux). Ce point invalide à lui seul une bonne partie de votre argumentaire.
  • Second point :  si la Commission Européenne a décidé d’agir sur le sujet de la protection de la vie privée, ce n’est pas pour  empêcher les publicitaires de faire leur travail. C’est avant tout pour éviter que des mésaventures comme celle(s) qu’a connu Sony ces derniers jours ne pourrissent la vie à des millions d’européens (5 millions rien que pour la France et 100 millions à travers le monde dans le cas du piratage de Sony). Car pour qui sait où et comment chercher, ces données volées sont parfaitement publiques et exploitables par des tiers mal intentionnés.
  • Troisième point : l’analyse faite dans votre article ne prend en compte qu’une considération. La considération économique d’une corporation sur Internet, celle des publicitaires. Sans même sûrement savoir que les outils qui sont utilisés par les publicitaires sont les mêmes que ceux qui servent à certains régimes pour surveiller, censurer, et réprimer des populations. Ça s’appelle du Deep Packet Inspection et c’est ce genre d’outils qui permet, entre autres, aux publicitaires de vous proposer des promotions sur des packs séjours en Tunisie quand vous annoncez à vos proches que vous partez prochainement en vacances.

Le Deep Packet Inspection, ou l’analyse en profondeur de paquets (c’est à dire de TOUTES vos communications qui transitent en IP) a une faculté assez spéciale que vous n’accepteriez surement pas dans la vie réelle. Cette faculté, c’est celle de lire le « payload ». Pour comprendre ce que je viens de vous exposer, imaginez que la Poste :

  • ouvre votre courrier,
  • lise ce courrier,
  • constitue une base de données de vos correspondances et de vos contacts,
  • transmette ces données (le contenu de vos mails, votre nom et votre adresse, ainsi que ceux de l’expéditeur) à ses partenaires commerciaux pour que ces derniers soient en mesure de remplir quotidiennement votre boite aux lettres de courriers indésirables.

Dans la vie réelle, si on suit cet exemple, votre femme recevrait, à votre domicile, de la publicité personnalisée émanant d’un sex shop sous prétexte que vous êtes passés devant (et j’exagère à peine dans le cas de la revente de données à des tiers).

Vous apprécieriez ? Même au nom du droit des entreprises de publipostage à faire plus de profit ?

Maintenant que vous avez connaissance de ces outils et du caractère intrusif qu’ils peuvent revêtir entre certaines mains, vous comprendrez que la technique évoquée dans votre billet, celle des pixels invisibles, est anachronique et incomplète. Elle omet par exemple tout le processus de traitement en aval (constitution de base de données, traitement et revente) qui est pourtant le problème de fond. En outre vous seriez surement surpris des informations que l’on peut collecter avec un pixel invisible, un cookie et un peu de corrélation de logs (journaux de connexion).

Très vite, à la lecture de votre billet, je me demandais sur quoi reposait votre analyse (quelle mouche a bien pu vous piquer ?)… et voici le chiffre : 65% … sans lien sur l’étude en question, sans contexte… juste un chiffre sorti du chapeau :

« Dans un document de travail récent, Avi Goldfarb de l’université de Toronto et Catherine Tucker du MIT ont mesuré l’effet des restrictions imposées aux sites européens. Grâce à des données collectées par une agence spécialisée, ils montrent que la directive de 2002 a fait diminuer l’efficacité de la publicité en ligne de 65 % ! »

Donc je ne suis pas spécialement doué en statistiques, mais vu d’ici, ce chiffre ne veut rien dire :

  • on parle de taux de clic ?
  • on parle de taux de clic sans rebond  ?
  • on parle d’acte d’achat ?
  • Qui est cette mystérieuse agence spécialisée ?
  • Quels outils et techniques a-t-elle utilisés pour cibler son panel ?

En outre, il me semble qu’en 2002, nous étions bien moins nombreux sur Internet et que la publicité en ligne était de fait plus ciblée, ce, même avec des moyens technologiques que l’on juge aujourd’hui dépassés. Dans mon souvenir, sur Internet en 2002, on ne voyait pas de publicité pour le dernier disque de René la Taupe ou pour des pilules bleues destinées aux hommes victimes de troubles de l’érection. Les annonceurs étaient (un peu encore) des geeks, qui vendaient à d’autres geeks.

La loi du marché sur Internet, c’est Internet avant le marché, sinon il n’y a plus de marché

Allons plus loin dans nos comparaisons de mauvais goût :

  • « les mines anti-personnelles ça fait vivre des familles »,
  • « le trafic de cocaïne ça fait vivre des villages entiers ».

… Je pense qu’il n’est pas nécessaire de développer plus avant ces deux derniers exemples pour démontrer qu’une analyse exclusivement « wallet centric » mène à des énormités. Nous pouvons certes spéculer sur les effets de transpositions de directives européennes sur le marché de la publicité en France, mais j’espère vous avoir convaincu sur le fait que ceci est bien secondaire face aux enjeux de cette problématique.

Internet est un espace public qui a été créé par des gens qui ne se sont jamais posés de questions de business model. Vous devriez les en remercier, les comprendre, écouter leurs mises en gardes sur ces concepts dont ils ont une vision globale… et vous rappeler que sans eux, les entreprises que vous défendez (et ça c’est tout à votre honneur), n’existeraient même pas.

La transposition dans notre droit des directives européennes allant dans le sens de la protection de la vie privée est non seulement nécessaire, mais elle devra également être accompagnée de mesures visant à (re)doter la CNIL des outils juridiques nécessaires à l’accomplissement de sa mission.

Sans protection de la vie privée, le marché que vous défendez maladroitement dans votre article n’existerait même pas. Et pour ça, l’équation est particulièrement simple :

Si l’internaute à confiance, il achète, s’il achète, c’est qu’il y a un marché, s’il y a un marché, il y a de la concurrence et inexorablement, s’il y a de la concurrence, il y a, ou aura, un marché de la publicité.

Privez l’internaute de cette confiance et vous condamnez de fait le marché à une mort certaine.

Monsieur Crémer, nous ne nous connaissons pas, vous fabriquez de l’économie, je fabrique de l’Internet. Mon monde à moi survivra à tous les krachs boursiers, pas le vôtre.

Si vous voulez que l’on construise un écosystème qui tienne la route, je vous invite à commencer par lire l’ouvrage de Jean Marc Manach intitulé La vie privée, un problème de vieux cons ? N’y voyez pas de malice, il s’agit là d’une lecture incontournable. Ne vous dispensez pas non plus de la lecture de ce billet de Cédric Blancher qui ajoutera quelques importants éclairages à ces questions que l’on ne peut aborder avec autant de légèreté.

Internet est bien trop précieux pour notre économie pour être laissé entre les mains d’économistes. N’évitez pas sa complexité en vous accrochant à des raisonnements simplistes, vous aurez tout à y gagner… nos enfants surtout.

Rappelons-nous enfin que si on ne transige pas avec le droit à la protection de la vie privée, c’est qu’il est garant de l’ensemble de nos libertés fondamentales.

Twitter Facebook Google Plus email

28 thoughts on “Réponse à Jacques Crémer sur sa conception de la protection de la vie privée”

  1. « •transmette ces données (le contenu de vos mails, votre nom et votre adresse, ainsi que ceux de l’expéditeur) à ses partenaires commerciaux pour que ces derniers soient en mesure de remplir quotidiennement votre boite aux lettres de courriers indésirables. »

    >>>>

    avec un compte gmail, il doit y avoir une analyse contextuelle du texte des mails

      1. De mon côté, plus aucune pub dans Gmail depuis que je n’utilise plus (ou exceptionnelement) google comme moteur de recherche et que j’ai déclaré les scripts google comme non fiables dans NoScript…

        C’est déjà ça même si les mails reçus et envoyés doivent être analysés quelque part.

  2. On appréciera le parallèle entre le magasin et l’intervention du vendeur, et le net. Outre le fait que passer autant de fois que je veux dans un rayon de n’importe quelle superette, supermarché ou hypermarché ne déclenchera même pas un lever de sourcil du moindre employé, et qu’il en va de même pour toute enseigne de taille appréciable (FNAC, Virgin, magasins de fringues, etc.), c’est une analogie à la con. Si je fais mon shopping dans un magasin, je n’y lis pas mon courrier. Par exemple…
    De toute manière, les analogies entre les monde numérique et le monde réel sont toutes à chier. Comme les généralités ;)

    http://sid.rstack.org/blog/index.php/194-de-l-utilite-des-analogies

    1. Bien, nous ne devons pas fréquenter les mêmes boutiques que monsieur Crémer, perso quand j’hésite entre des Panzanni et les pâtes leader price, les vendeurs ne se ruent pas sur moi pour m’éclairer de leurs lumières.
      Quand aux lumières à la Fnac, les seuls « conseils » sont de tenter de te vendre une garantie à la con ou le produit sur lequel leur commission sera la plus importante.
      La valeur informative de la publicité, comme la valeur des conseils de vendeurs, c’est souvent une vaste blague, sauf peut-être dans des commerces que nous ne fréquentons pas.

      Pour les analogies je crois que celle qui m’énerve le plus est celle du code de la route appliqué à Internet :)

  3. merci bluetouff pour ce beau billet explicatif, sans t’énerver toussa :)
    juste je me demande si le monsieur va le trouver, voire même si il va pas être obligé de l’imprimer pour le comprendre…
    tu nous dis si tu a une réponse ou un retour hein ??

    1. Roh, petit coquin, j’ai tellement crié comme un putois hier que j’ai prévenu la personne des echos qui a first tweeté l’article que ce dernier était ahurissant et que j’entendais bien y répondre. Il m’a signifié qu’il transmettrait la réponse.
      Maintenant d’expérience, quand on marque un désaccord si affirmé avec une personne, celle ci répond rarement. Et puis les Echos, c’est l’économie d’en haut… reflets c’est plutôt les Internets d’en bas.

      1. Moi j’ai répondu directement, et oublié de mettre un lien vers ton article. J’étais un peu trop énervé pour ça. Riguidel, Cremer, comment les journaux peuvent être aveugles à ce point de publier des articles si… mauvais et hors du coup ? En effet, c’est comme les pubs corporate, c’est diffusé pour tous, mais ciblé sur un public très précis.
        Pour le DPI, je suis tout de même assez circonspect. Où feraient-ils une analyse des paquets ? Je ne vois pas du tout le concept. Je vois bien l’outil de DPI chez mon FAI, en sortie de ma ligne, mais où se placerait une boite de market pour faire ce travail ? Et en tirerait-elle des infos suffisamment précises pour relier cela à un consommateur ?

  4. Chers Bluetouff et autres participants au débat,

    Merci de vous être intéressés à ma chronique. Cela vous étonnera peut-être, mais je suis d’accord avec beaucoup de ce que vous dites et je pense que la protection des données personnelles est important.

    Ceci dit, je ne crois pas que je me sois lancé dans un plaidoyer contre la vie privée. L’objectif de ma chronique a été mieux comprise par Sid (http://bit.ly/ipxPfN): je voulais montrer que la protection avait un coût en attirant l’attention sur un article remarquable (pour ceux d’entre vous que cela intéresse, vous pouvez le trouver à http://bit.ly/in5ODp avec les transparents que Catherine Tucker a utilisé quand elle l’a présenté à Toulouse: http://bit.ly/lBvEKR).

    Comme il y a un coût, il me semble important d’essayer de voir si on peut le réduire, et c’est tout ce que je demande dans la conclusion de la chronique:

    « Bien sûr, il n’est pas question de réclamer la suppression de toute règlementation sur l’utilisation des données personnelles. Maîs il est important de
    se rendre compte que ces réglementations ont des coûts, que la course a toujours plus de restrictions est contreproductive et on peut se demander si
    l’identification de pratiques autorisées ne permettiait pas de concilier la protection contre les abus les plus criants avec plus d’efficacité. »

    Je ne suis pas assez compétent techniquement pour savoir si la réponse à cette dernière question est positive ou non, mais j’ai été choqué de voir que peu de gens se la sont posée. Le genre de choses que j’avais en tête est que l’on pourrait peut-être autoriser les « web bugs » à condition que les données qui sont acquises de cette façon soient effacées dans les 24 heures. Je ne sais pas si ce serait utile, mais il faudrait au moins tester ce genre d’idées.

    Encore une fois merci de m’avoir lu.

    Jacques Crémer

    1. Oops, avec beaucoup de retard (j’étais en déplacement, rentré hier soir tard et je crois qu’il y a eu des soucis avec les commentaires).
      Merci déjà d’avoir pris le temps de me répondre. Vous comprenez bien que ma réaction quasi épidermique était principalement due à des erreurs que je pense très factuelles dans la manière de poser le problème.
      Je me doute évidemment que cet article ne peut résumer le fond de votre pensée. Mais imaginez l’impact de ce dernier sur des économistes en herbe, de jeunes diplômés qui montent leur startup dans la pub en ligne, ou même sur notre représentation nationale qui a du mal à aborder la complexité de la chose Internet.

      Économiquement, il est faux de dire que publicité porte l’économie d’Internet. internet est payé par ses utilisateurs sous forme d’abonnements, qui permettent aux FAI de déployer de l’infrastructure. Je ne connais pas d’infra financées par la pub.

      Techniquement maintenant, les « web bugs » sont autorisés, les cookies de tracking le sont aussi. La loi est bien plus permissive que vous ne le pensez à mon sens. Nous devrions _obliger_ les publicitaires à anonymiser les données qu’ils manipulent (là c’est le diplômé d’école de commerce qui parle). Nous sommes en train de créer des bombes à retardement.

      La question de la vie privée sur Internet est complexe, il y a surement des moyens de faire cohabiter l’intelligence économique et le respect de la vie privée, mais les concessions, nous ne pouvons pas les faire sur un droit fondamental. Les effets seraient vraiment désastreux pour tout le monde.

  5. Chers Bluetouff et autres lecteurs,
    Merci de vous être intéressés à ma chronique et merci pour vos commentaires (que j’ai lus sans les imprimer !). Je suis d’accord avec beaucoup de ce que vous dites (sauf, peut-être sur le fait que j’ai écrit des énormités), mais je crois que beaucoup de ce vous présentez comme des désaccord viennent du fait que j’ai dû mal m’exprimer et donc que j’ai été mal compris.

    D’un point de vue analyse économique, mon objectif principal était de dire qu’il y avait des coûts à la réglementation européenne telle qu’elle est en train de changer, et de montrer que ces coûts pouvaient être mesurés comme l’ont fait les auteurs de l’article remarquable que j’ai cité (que vous pouvez trouver à http://bit.ly/in5ODp – vous pouvez trouver les transparents dont Catherine Tucker s’est servi pour le présenter à Toulouse à http://bit.ly/lBvEKR). Sid, dans son commentaire sur son blog (http://bit.ly/ipxPfN) a bien compris ce point.

    D’un point de vue de politique économique, j’ai juste voulu dire que comme il y a des coûts, il faut les identifier et qu’il aurait été intelligent d’essayer de trouver des façons de les limiter. Comme le montre bien le dernier paragraphe de la chronique, je n’ai absolument pas fait de plaidoyer contre la protection des données personnelles : « Bien sûr, il n’est pas question de réclamer la suppression de toute réglementation sur l’utilisation des données personnelles. Mais il est important de se rendre compte que ces réglementations ont des coûts, que la course à toujours plus de restrictions est contre-productive, et on peut se demander si l’identification de pratiques autorisées ne permettraient pas de concilier la protection contre les abus les plus criants avec plus d’efficacité. »

    Le genre de pratiques autorisées auxquelles je pensais serait par exemple de permettre l’autorisation des « web bugs » mais d’empêcher que les données qu’elles génèrent soient conservées plus que 24 heures. Je ne suis assez compétent ni en technique Internet ni en Marketing pour savoir s’il y a effectivement des choses intéressantes à faire dans cette direction. Je pose la question, et je prétends que le législateur européen aurait dû se la poser.

    En tout cas, merci encore de m’avoir lu et d’avoir pris le temps de répondre.

    1. Amis lecteurs, Ami Jacques Crémer, ce commentaire a été approuvé par le grand manitou du coin (après avoir été repêché dans le spam où il avait fini pour je ne sais quelle raison). C’est à dire, moi.

      Je ne peux confirmer qu’il émane bien de l’auteur prétendu.

      En clair, l’IP (une donnée personnelle…) du supposé Jacques Crémer le situe géographiquement, mais n’est pas celle du CNRS. Donc je peux pas dire que c’est bien lui l’auteur. Chacun prendra le commentaire avec les pincettes qu’il souhaite.

      K.

  6. S’il faut encore convaincre les ploutocrates de l’Internet, nous avons perdu la guerre de la vie privée. Prenons plutôt au quotidien les mesures qui préviennent au maximum la fuite de nos données personnelles vers de grandes corporations.
    L’argumentation du coût ne tient pas la route. Et puis, le coût, il est porté par les consommateurs, comme toujours, ou les contribuables …e etpour nous emm. avec de la pub à 2 balles, non merci !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *