Lors du sommet européen de la consommation qui se tenait à Bruxelles, les 1 er et 2 avril 2009, la commissaire européenne à la protection des consommateurs, Meglena Kuneva, n´a pas manqué de s´inquiéter de l´usage des données personnelles à des fins commerciales.

Meglena Kuneva réclame plus de transparence et de l´autorégulation. Si les pratiques n‘étaient pas revues dès 2010, Bruxelles pourrait décider de légiférer.

Sont visés les réseaux sociaux, les moteurs de recherche ou encore les sites de commerce en ligne. La commissaire s´inquiète de ce que « Échanger des données personnelles contre la gratuité d´un service sur Internet tend à devenir une règle sur laquelle de nombreuses entreprises basent leur modèle économique ».

 Evolution de la nature des « informations à caractère personnel »

La protection des données à caractère personnel a été envisagée sous l´angle de la protection des individus face à des entreprises ou un État avides de données, dans un contexte où les “fichiers” sont des bases de données structurées, issues de formulaires.

Tout cela change profondément. On assiste aujourd´hui à une multiplication de données à caractère personnel d´une nature beaucoup plus informelle : messages, contacts, relations et liens, commentaires, images, rumeurs, traces de passage ou d´usage. Elles sont parfois même incluses sans indication particulière dans un texte ou une image … Autant d´éléments d´information à première vue difficilement exploitables, mais dont la forme numérique permet désormais de faire plus aisément usage, grâce aux moteurs de recherche, aux systèmes d´analyse sémantique, aux logiciels de reconnaissance des formes etc.

Il ne faut pas perdre de vue que c´est cet apport d´informations qui justifie la gratuité des sites internet de réseau sociaux si prisés. C´est en réalité en vendant une part de sa vie privée que l´internaute rémunère la société qui met ce site à sa disposition.

Recoupement d´informations

La multiplicité d´informations disponibles permet, à force de recoupement, de dresser un portrait très précis d´un individu. Ainsi, les détectives privés avouent désormais utiliser bien plus internet que la traditionnelle filature.

Cependant, il n´est pas nécessaire de faire soi-même ces recherches. Certains, sites, tel le moteur 123People.com, partent à la chasse des profils disponibles sur internet pour ensuite les regrouper en fiches individuelles. Adresse e-mail, photos, vidéos, numéro de téléphone, informations issues de réseaux sociaux (MySpace, Twitter, Facebook, Wikipedia et autres) sont ainsi regroupée sur une même page, constituant ainsi un profil complet de l´internaute.

Détournement de ces informations à des fins illicites

Si cette manne d´informations est en premier lieu utilisée à des fins commerciales, pour adresser à l´internaute des publicités encore plus ciblées par rapport à sa façon de consommer, cette disponibilité des informations engendre également une nouvelle criminalité, dénommée « usurpation d´identité ».

En effet, le recoupement des données, telles que date de naissance, l´état civil etc. permet à n´importe qui remplir un formulaire à la place de la personne concernée afin d´en tirer profit, ou encore utiliser les services bancaires en ligne au nom d´une autre personne.

Suite à la croissance de ce phénomène, l´OCDE a publié le 17 mars 2009 un rapport très complet sur le vol d´identité en ligne, intitulé Online Identity Theft ( http://www.oecdbookshop.org/oecd/display.asp?CID=b_world_water_forum&LANG=fr&SF1=DI&ST1=5KZ9LKXXRV6D ). Ce rapport ne contient toutefois que des recommandations pour endiguer le phénomène, mais ne complète pas l´arsenal juridique disponible.

Des personnes mal intentionnées peuvent aussi feindre avoir oublié le mot de passe d´un compte qui n´est pas le leur. Il leur suffit alors de répondre à la place de l´intéressé aux questions habituellement posées dans cette hypothèse, telles que « Quel est le nom de jeune fille de votre mère ? » ou encore « Quel est le nom de votre animal de compagnie ? ». Dès lors qu´il suffit de parcourir un profil Facebook pour trouver la réponse à ces questions, ce type de questions ne garantit plus que la personne qui y répond est bien la personne autorisée.

Une autre technique pour obtenir des renseignements a fait son apparition : une personne malveillante crée une adresse e-mail en utilisant le nom d´un des amis de sa « cible », amis qui ont été repérés via un site de réseau social. La personne concernée ne fait alors preuve d´aucune méfiance lorsqu´elle reçoit un e-mail émanant de cette nouvelle adresse.

Conclusion  

Bien que des armes juridiques existent déjà, il paraît clair que l´ampleur prise par l´utilisation, licite ou non, des données personnelles disponibles sur la toile appelle une nouvelle réflexion de la part du législateur européen, afin d´augmenter l´efficacité du contrôle que l´internaute doit avoir de ses données à caractère personnel.

L´on peut donc se réjouir des intentions affichées par la Commission européenne à cet égard.

Nous ne manquerons évidemment pas de revenir dans une prochaine newsletter sur la concrétisation de ces intentions.