Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

Peut-on concilier la protection de la vie privée et l’« analytics » ?

Par Cody Olson, Juriste.

- lundi 21 mars 2016

L’inflation technologique des outils d’analyse et de publicité

Ces outils ne sont plus réservés aux grandes entreprises et aux régies publicitaires. Nous connaissons tous les cookies. Quasiment toutes les entreprises ayant un site internet, se servent de solutions d’analyse telles que Google Analytics pour mesurer l’audience de leur site et de leurs campagnes publicitaires.
Google propose désormais un logiciel [1] qui permet d’interconnecter les données afin de « mieux comprendre le parcours de l’utilisateur ». Un cas d’étude mis en avant par Google témoigne de la possibilité de comprendre le comportement d’un utilisateur dans les moindres détails afin d’améliorer le ciblage d’une campagne publicitaire en fonction de l’origine ethnique ou le sexe [2] de la personne.
Certains outils d’analyse vont plus loin dans la connaissance des utilisateurs. Inspectlet, par exemple, permet d’enregistrer une vidéo du parcours de l’utilisateur sur le site [3]. Les informations sont entrées par les utilisateurs dans des zones de texte sensible et non-sensible [4].

Ces outils ne sont d’ailleurs plus réservés aux entreprises commerciales. L’analytics des comportements humains est aussi en pleine expansion dans le secteur des ressources humaines afin de mieux comprendre les besoins, les attitudes et la productivité des employées [5]. Ted Cruz—candidat pour les primaires des républicains—a fait appel à Cambridge Analytica qui crée un profil psychographique de l’individu et utilise le Big Data pour collecter plus de 5 000 données pour chaque personne ciblée [6]. Cambridge Analytica vise à créer un avenir où chacun pourra avoir une relation intime et personnelle avec ses marques et causes préférées en permettant aux organisations de connaitre ce qui motive le comportement de chacune des personnes.

Un cadre juridique basé sur le consentement préalable des utilisateurs.

A la suite de la modification de l’article 5(3) de la directive européenne 2002/58/CE dite « E-Privacy Directive » par la directive 2009/136/CE, le législateur européen a rappelé aux entreprises utilisant les cookies, terme devant s’entendre dans une acception très large, que le consentement préalable de la personne concernée était un préalable essentiel à la protection de la vie privée. C’est aussi la position des autorités européennes de protection des donnée, la CNIL [7]. Le consentement se définit par une manifestation de volonté, il doit être libre, spécifique et informé.
Les modalités d’information de la personne sont libres. En pratique, sur les sites internet, l’information se matérialise sous la forme d’un bandeau [8]. En un mot, il faut que l’utilisateur sache et comprenne comment et pour quelles finalités son parcours sur un site pourra être utilisé et qu’il soit libre de décider d’y consentir.

Un cadre pour protéger les droits et libertés des personnes

Les cookies permettent de suivre et de profiler les personnes ; ces pratiques ne sont pas sans risques pour les personnes et notamment les plus vulnérables. Elles peuvent aussi donner lieu à des pratiques discriminatoires. Ainsi en 2012, le site de voyages Orbitz à ciblé les utilisateurs de Mac afin de leur proposer des prix plus élevés [9].
Le suivi en ligne des personnes à des fins de profilage peut indirectement aboutir au traitement de données sensibles. Ce type de traitement sera clairement interdit dès l’entrée en vigueur du Règlement général sur la protection des données [10].
Mais la question prend une importance nouvelle aujourd’hui avec le développement de solutions de « tracking » en tout genre, qui utilisent les divers capteurs présents dans le mobile de la personne ou qui accèdent aux éléments contenus dans le mobile de l’individu et permettant de le singulariser via la collecte d’un identifiant unique. SilverPush, une société indienne utilise par exemple le microphone du smartphone pour collecter les logs relatifs au programme TV regardé par la personne qui est devant son écran [11].

L’innovation doit être « User centric »

Est-ce que l’utilisateur est mieux informé depuis l’introduction des bandeaux cookies sur les sites internet ? Est-ce qu’il imagine l’existence et la capacité d’outils comme Inspectlet ou Analytics 360 ? Est-il d’accord avec le traitement qui est fait des données le concernant ?

L’utilisateur devrait être au cœur de la conception de ces solutions d’analyse afin que l’ « Opt-In » traduise une réelle volonté de sa part d’être suivi et profilé.
Par exemple, le bandeau d’information doit être ergonomique [12]. En un clic et en restant sur la même page sans bloquer le contenu, l’utilisateur peut décider de donner un consentement libre et éclairé pour s’engager dans un processus d’achat.
Les acteurs du marketing et de la publicité doivent intégrer les principes de protection des données dès la conception des solutions et par défaut et replacer l’utilisateur au centre du processus de décision.

Certains acteurs se sont lancés sur ce marché de la protection de la vie privée et ont vu leurs solutions d’analytics reconnues par la CNIL [13]. AT Internet (Xiti) et Piwik proposent des outils qui peuvent être paramétrés en amont afin d’informer l’utilisateur avant le dépôt des cookies, de lui permettre de s’y opposer, d’anonymiser l’adresse IP et de restreindre la durée de conservation à 13 mois [14].
Ce type de démarche visant à concilier l’analyse des données et la protection de la vie privée devrait se multiplier avec le nouveau Règlement européen qui imposera une « protection des données dès la conception » [15].

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

12 votes

Notes :

[1Analytics 360 Suite qui regroupe Attribution 360, Analytics 360 et Tag Manager 360.

[3Inspectlet, http://www.inspectlet.com/ .

[4Les zones de texte non-sensible peuvent comporter le nom, l’adresse, le téléphone, le texte libre, etc. Zones de texte sensible peuvent comporter le numéro de carte bancaire, les données biomédicales etc. Les informations sensibles sont « masquées » dans les enregistrements.

[5Clancy, Heather, « People analytics can capture rich feedback. Are managers ready ? », 14 mai 2015, Fortune, http://fortune.com/2015/05/14/culture-amp-people-analytics/

[6Kornwitz, Jason, “3Q’s : How politicians are using your data to influence your vote”, Mars 1 2016, http://www.northeastern.edu/news/2016/03/3qs-how-politicians-are-using-your-data-to-influence-your-vote/

[7G29, avis 15/2011 sur le consentement (WP187), Document de travail 02/2013 relatif aux lignes directrices sur l’obtention du consentement pour les cookies (WP208), avis 04/2012 relatif aux exemptions pour certains cookies (WP194) ; CNIL, Recommandation sur les cookies du 16 décembre 2013.

[8CNIL, Exemple de bandeau cookies, 30 décembre 2015, https://www.cnil.fr/fr/exemple-de-bandeau-cookie .

[9D. Mattioli, On Orbitz Mac Users Steered to Pricer Hotels. The Wall Street Journal, 2012.

[10Cf. Considérants 58 et 71 et l’article 20(3) du Règlement général sur al protection des données, n° 15321/15, suite à l’accord général en le Parlement européen et le Conseil.

[12Voir par exemple le bandeau du site www.kinder.fr .

[13CNIL, Solutions pour la mesure d’audience, https://www.cnil.fr/fr/solutions-pour-la-mesure-daudience .

[15Data Protection by Design ou Privacy ByDesign.