L’inflation technologique des outils d’analyse et de publicité
Ces outils ne sont plus réservés aux grandes entreprises et aux régies publicitaires. Nous connaissons tous les cookies. Quasiment toutes les entreprises ayant un site internet, se servent de solutions d’analyse telles que Google Analytics pour mesurer l’audience de leur site et de leurs campagnes publicitaires.
Google propose désormais un logiciel [1] qui permet d’interconnecter les données afin de « mieux comprendre le parcours de l’utilisateur ». Un cas d’étude mis en avant par Google témoigne de la possibilité de comprendre le comportement d’un utilisateur dans les moindres détails afin d’améliorer le ciblage d’une campagne publicitaire en fonction de l’origine ethnique ou le sexe [2] de la personne.
Certains outils d’analyse vont plus loin dans la connaissance des utilisateurs. Inspectlet, par exemple, permet d’enregistrer une vidéo du parcours de l’utilisateur sur le site [3]. Les informations sont entrées par les utilisateurs dans des zones de texte sensible et non-sensible [4].
Ces outils ne sont d’ailleurs plus réservés aux entreprises commerciales. L’analytics des comportements humains est aussi en pleine expansion dans le secteur des ressources humaines afin de mieux comprendre les besoins, les attitudes et la productivité des employées [5]. Ted Cruz—candidat pour les primaires des républicains—a fait appel à Cambridge Analytica qui crée un profil psychographique de l’individu et utilise le Big Data pour collecter plus de 5 000 données pour chaque personne ciblée [6]. Cambridge Analytica vise à créer un avenir où chacun pourra avoir une relation intime et personnelle avec ses marques et causes préférées en permettant aux organisations de connaitre ce qui motive le comportement de chacune des personnes.
Un cadre juridique basé sur le consentement préalable des utilisateurs.
A la suite de la modification de l’article 5(3) de la directive européenne 2002/58/CE dite « E-Privacy Directive » par la directive 2009/136/CE, le législateur européen a rappelé aux entreprises utilisant les cookies, terme devant s’entendre dans une acception très large, que le consentement préalable de la personne concernée était un préalable essentiel à la protection de la vie privée. C’est aussi la position des autorités européennes de protection des donnée, la CNIL [7]. Le consentement se définit par une manifestation de volonté, il doit être libre, spécifique et informé.
Les modalités d’information de la personne sont libres. En pratique, sur les sites internet, l’information se matérialise sous la forme d’un bandeau [8]. En un mot, il faut que l’utilisateur sache et comprenne comment et pour quelles finalités son parcours sur un site pourra être utilisé et qu’il soit libre de décider d’y consentir.
Un cadre pour protéger les droits et libertés des personnes
Les cookies permettent de suivre et de profiler les personnes ; ces pratiques ne sont pas sans risques pour les personnes et notamment les plus vulnérables. Elles peuvent aussi donner lieu à des pratiques discriminatoires. Ainsi en 2012, le site de voyages Orbitz à ciblé les utilisateurs de Mac afin de leur proposer des prix plus élevés [9].
Le suivi en ligne des personnes à des fins de profilage peut indirectement aboutir au traitement de données sensibles. Ce type de traitement sera clairement interdit dès l’entrée en vigueur du Règlement général sur la protection des données [10].
Mais la question prend une importance nouvelle aujourd’hui avec le développement de solutions de « tracking » en tout genre, qui utilisent les divers capteurs présents dans le mobile de la personne ou qui accèdent aux éléments contenus dans le mobile de l’individu et permettant de le singulariser via la collecte d’un identifiant unique. SilverPush, une société indienne utilise par exemple le microphone du smartphone pour collecter les logs relatifs au programme TV regardé par la personne qui est devant son écran [11].
L’innovation doit être « User centric »
Est-ce que l’utilisateur est mieux informé depuis l’introduction des bandeaux cookies sur les sites internet ? Est-ce qu’il imagine l’existence et la capacité d’outils comme Inspectlet ou Analytics 360 ? Est-il d’accord avec le traitement qui est fait des données le concernant ?
L’utilisateur devrait être au cœur de la conception de ces solutions d’analyse afin que l’ « Opt-In » traduise une réelle volonté de sa part d’être suivi et profilé.
Par exemple, le bandeau d’information doit être ergonomique [12]. En un clic et en restant sur la même page sans bloquer le contenu, l’utilisateur peut décider de donner un consentement libre et éclairé pour s’engager dans un processus d’achat.
Les acteurs du marketing et de la publicité doivent intégrer les principes de protection des données dès la conception des solutions et par défaut et replacer l’utilisateur au centre du processus de décision.
Certains acteurs se sont lancés sur ce marché de la protection de la vie privée et ont vu leurs solutions d’analytics reconnues par la CNIL [13]. AT Internet (Xiti) et Piwik proposent des outils qui peuvent être paramétrés en amont afin d’informer l’utilisateur avant le dépôt des cookies, de lui permettre de s’y opposer, d’anonymiser l’adresse IP et de restreindre la durée de conservation à 13 mois [14].
Ce type de démarche visant à concilier l’analyse des données et la protection de la vie privée devrait se multiplier avec le nouveau Règlement européen qui imposera une « protection des données dès la conception » [15].