|
  a
présentation à New York, à la fin du mois de juin dernier,
des spécifications du P3P (Platform for Privacy Preferences) a ravivé,
aux Etats-Unis, le débat relatif à la protection des données
personnelles sur le Web. Ce protocole destiné à devenir un futur
standard, et qui se veut un nouveau moyen de préservation de la vie privée,
est cependant bien loin de faire l´unanimité puisqu´il a déjà
subi des attaques virulentes de la part de plusieurs organisations de défense
des internautes.
Les spécifications
du P3P
Le P3P
est développé depuis 1997 par le W3C (World Wide Web Consortium),
l´organisme international chargé d´assurer la promotion d´Internet
et de définir ses standards. On ne s´étonnera donc pas de
retrouver parmi ses membres tous les poids lourds de l´industrie informatique
et du Web, tels que Microsoft, AT&T, IBM, AOL ou encore DoubleClick (voir
la liste complète).
Ces trois
années, marquées par nombre de tergiversations, ont finalement abouti
à la mise en place de la version 1.0 du P3P qui propose la standardisation
du vocabulaire utilisé par les sites Web pour décrire leurs pratiques
en matière de collecte et de respect des données.
On y trouve
aussi un système d´affichage de ces mêmes pratiques dès
l´instant où l´internaute pénètrera sur un site
utilisant le protocole. Dans le même temps, il lui sera possible de configurer
son navigateur en lui indiquant les renseignements qu´il ne souhaite pas
communiquer. Des pop-up devrait l´informer automatiquement des différences
entre ses propres critères et les pratiques du site. Libre alors à
lui de le quitter de continuer sa visite.
A première
vue ce protocole semble présenter de réels avantages pour les internautes
puisqu´il leur assure un droit de regard sur les circonstances du transfert
de leurs données. En fait, les problèmes qu´il pose sont nombreux,
et ils n´ont pas manqué d´attirer l´attention des associations
américaines de protection de la vie privée sur le Net.
Les avancées
dans le domaine de la protection des données personnelles
Pour l´instant
ces outils ne sont pas disponibles sur le marché. Microsoft a cependant
annoncé qu´il devrait les intégrer à la prochaine version
d´Internet Explorer. IBM, AT&T et AOL ont déclaré qu´ils
seraient rapidement introduire sur leurs sites respectifs. Celui de la Maison
Blanche (Bill Clinton a officiellement apporté son soutien au projet) et
plusieurs sites officiels de l´administration américaine devraient
aussi rapidement en être équipé.
Les défenseurs
du P3P considèrent qu´il augmentera la transparence dans le domaine
des pratiques liées au recueil de données. Il fournira un moyen
aux internautes de décider des circonstances dans lesquelles ils souhaitent
autoriser la collecte d´informations les concernant.
La standardisation
du vocabulaire le rendra sans doute bien moins ambigu et complexe qu´il
ne l´est aujourd´hui. Il ne sera également plus nécessaire
d´aller chercher ces renseignements à travers les pages d´un
site puisqu´ils s´afficheront dès votre arrivée.
Les membres
du W3C, qui affirment avec lucidité que le P3P n´est pas la panacée
en matière de respect de la vie privée, tiennent à ce qu´il
soit regardé comme une étape vers une meilleure protection et une
meilleure information des internautes. Car il est parfaitement clair qu´aujourd´hui
un nombre considérable d´entre eux n´ont pas conscience des
traces qu´ils peuvent laisser au cours de leur surf et surtout du nombre
d´informations que sont capable de récolter les sites. Le P3P pourrait,
à terme, provoquer une prise de conscience plus générale
sur tous ces problèmes.
Vu sous
cet angle on peut d´ailleurs supposer que les internautes finiront progressivement
par se tourner vers les sites qui se montreront les plus respectueux envers leurs
informations personnelles, ce qui serait susceptible de favoriser une autorégulation
plus efficace de la part des professionnels. Il importe cependant de ne pas s´emporter
trop rapidement sur les capacités du protocole, car sa mise en place risque
d´avoir des conséquences inverses de celles annoncées.
Un protocole qui
pose de sérieux problèmes éthiques
Dans un
rapport au titre explicite (« Pretty
Poor Privacy : An Assessment of P3P and Internet Privacy »), deux des
plus puissants groupements de défense de la vie privée sur le Net,
l´EPIC (Electronic Privacy
Information Center) et Junkbusters ont
présenté une critique radicale du P3P, qui permet de cerner plusieurs
de ses limites, et elles sont de taille.
Tout d´abord,
aucune instance de contrôle ne permet de vérifier que les déclarations
qui seront faites par les sites correspondent effectivement à leurs pratiques
réelles. Cette lacune est d´ailleurs parfaitement admise par le W3C.
De plus,
comme il est basé sur une démarche volontariste, il faudra qu´un
nombre suffisant de sites l´adoptent pour qu´il soit véritablement
efficace. La question est de savoir si les sites qui récoltent le plus
de renseignements sur les internautes accepteront de jouer la carte de la transparence,
et à ce sujet il est légitime d´avoir de sérieux doutes.
Il existe
aussi un risque évident de voir le P3P répéter les problèmes
posés aujourd´hui par les cookies : pour refuser qu´un cookie
soit placé dans votre machine il faut configurer votre navigateur. Si vous
ne l´avez pas fait, le cookie est déposé automatiquement sans
que vous en soyez averti. Avec le P3P, lorsque l´internaute n´aura
pas configuré son navigateur, un site pourra considérer que celui-ci
ne s´oppose pas à la collecte de ses données personnelles.
L´existence du P3P pourrait donc finalement servir de caution à certains
professionnels du Web.
Sans parler
d´une navigation qui devient forcément beaucoup moins fluide. Tous
les internautes qui ont un jour configuré leur navigateur afin d´être
averti dès qu´un cookie allait être déposé savent
à quel point cela rend la navigation pénible. Il est en effet nécessaire
de cocher une case dans la fenêtre qui s´ouvre automatiquement pour
autoriser l´arrivée du cookie, ce qui devient rapidement désagréable
vu le nombre de sites qui utilisent cette technique, voir franchement insupportable
lorsqu´un site installe des cookies sur chaque page.
Une autre
lacune : rien n´a été prévu pour ce que l´on
appelle les « tiers » (« third party »), tels que les
régies publicitaires qui posent des cookies au moment ou l´on clique
sur une bannière. En entrant sur un site, l´internaute sera t-il
prévenu des pratiques de ce tiers ? Et comment le protocole gérera
t-il le fait que le site et la régie publicitaire risquent de ne pas appliquer
les mêmes politiques ?
Enfin,
l´EPIC et Junkbusters estiment que le P3P réduira l´accès
à l´information, lorsque les préférences de l´internaute
et les pratiques du site ne se rejoindront pas. L´exemple qu´ils présentent
à l´appui de cette thèse est d´ailleurs particulièrement
parlant : si un internaute a configuré son navigateur en indiquant qu´il
ne souhaite pas communiquer son adresse personnelle, excepté dans le cas
où il achèterait un article livrable à domicile, et s´il
souhaite se connecter sur le site d´un journal qui recueille cette donnée
pour pouvoir accéder aux informations, il sera alors obligé de quitter
le site ou bien de revenir sur son choix. On objectera cependant à cet
argumentaire que cette situation est déjà tout à fait courante,
et que par conséquent le P3P, s´il ne la règle pas, ne l´aggravera
certainement pas non plus.
Autorégulation
contre législation
Simple
hasard du calendrier ? La présentation des spécifications du P3P
est intervenue tout juste un mois après que la FTC, la commission fédérale
du commerce américain ait indiqué dans un rapport
qu´il devenait urgent de faire voter des lois protégeant les données
privées des internautes, vue l´incurie qui prévaut aux Etats-Unis
en ce domaine. Cet organe qui s´était jusqu´à présent
toujours montré favorable à l´autorégulation marquait
ainsi sa détermination face à l´inertie des professionnels
de l´e-business.
Réagissant
à ce rapport, B. Clinton avait alors rejeté les conclusions de la
FTC et réaffirmé sa confiance dans l´autorégulation.
Signalons que la Maison Blanche a d´ailleurs salué le protocole comme
un autre exemple « du soutien apporté par le président et
le vice-président au leadership du secteur privé dans le commerce
électronique » (en pleine campagne pour les présidentielles
il est toujours préférable de ne pas se mettre à dos le secteur
privé).
Ce qui
provoque les réactions de l´EPIC ou de Junkbusters c´est en
fait tout autant la nécessité de dénoncer les lacunes évidentes
du projet, que la crainte de voir les professionnels continuer à régler
seuls les problèmes liés au respect de la vie privée sur
le Net. La situation existante n´étant que le résultat des
pratiques qu´ils ont organisé et qui leur ont permis de réaliser
d´importants bénéfices en revendant les informations dont
ils disposaient sur les internautes, il est légitime de s´interroger
sur le fait qu´aujourd´hui ils voudraient mettre au point un système
qui briderait leurs activités. Mais il se peut aussi que la démarche
du W3C soit dictée par la prise de conscience que le développement
du commerce électronique passe nécessairement par la mise en place
de politiques destinées à restaurer la confiance des utilisateurs
et par la crainte de voir se mettre en place un arsenal législatif beaucoup
plus restrictif, s´ils n´agissent pas suffisamment rapidement pour
montrer leurs bonnes intentions.
Le P3P
doit donc être regardé comme une pierre, certes mal taillée,
dans l´édifice en construction d´un Réseau véritablement
soucieux de la vie privée des internautes. Mais pour y parvenir il apparaît
de plus en plus clair que les Américains ne peuvent passer outre la mise
en place d´une législation efficace, comme c´est le cas en
Europe.
On rappellera
enfin qu´en matière de protection de la vie privée il existe
déjà un certain nombre d´outils pour se protéger :
logiciels de surf anonyme, contrôle et désactivation des cookies,
filtres... (pour un aperçu
de ces solutions).
FRANCK GARNIER
PROFILE FOR YOU Ltd. (www.profile4u.com)
"
Société de e-profiling - spécialiste de la mesure d'audience
et du profil comportemental sur le Net (étude dynamique
et qualitative de vos visiteurs) "
Tous
droits réservés - Reproduction même partielle interdite sans
autorisation préalable
|
