Article mis en ligne le 25 juillet 2007

Dans le domaine de la propriété intellectuelle, à tort ou à raison, les choses sont claires : Microsoft est « le » méchant qui cristallise toutes les oppositions. En matière de protection de la vie privée sur le web, ce rôle semble désormais dévolu à un autre acteur, en l’occurrence Google. Dans les deux cas les critiques sociétales (opposition au partage de la connaissance d’une part et menaces sur la vie privée d’autre part) constituent une forme de réponse à une situation économique de position dominante, voire de quasi-monopole.

Le projet d’acquisition de DoubleClick (leader de la publicité en ligne) par Google (leader de la recherche sur Internet) a sans doute été le déclencheur de cette prise de conscience. Elle a suscité de vives réactions de la part des défenseurs de la vie privée qui ne sont pas sans rappeler celles occasionnée par le projet d’acquisition de la société de marketing direct Abascus par DoubleClick en 2000. Google a bien pris quelques initiatives en matière d’anonymisation des données ou de durée de vie des cookies pour tenter de circonscrire la polémique mais la barre reste difficile à redresser. En premier lieu, Google a été la seule des grandes institutions du web à écoper de la pire des appréciations décernée par l’ONG britannique Privacy International. En second lieu, quand Peter Fleischer, le monsieur Privacy de Google, prétend que les autorités de protection des données à caractère personnel comme la Cnil ne sont pas compétentes pour aborder la question de la durée de conservation, on peut se demander s’il rend vraiment service à sa compagnie.

Si le statut peu enviable du « méchant » de la protection de la vie privée risque bien d’être accolé à Google, Microsoft doit-il pour autant bénéficier dans ce domaine de celui de « gentil » ? Force est de reconnaître que Microsoft va faire de la protection de la vie privée un axe de campagne pour tenter de reprendre la main sur un marché qui lui a échappé. La diffusion mondiale, le 22 juillet 2007, des cinq grands principes qui constituent le socle de sa politique privacy en matière de recherche sur Internet et de publicité en ligne participent de cette politique.

La défense de la privacy est-elle pour Microsoft un gadget marketing instrumentalisé ou une véritable conviction ? Ceux qui sont habitués à voir Microsoft en « méchant » du progiciel propriétaire resteront certainement circonspects. Il faut tout de même, pour être équilibré, souligner que Microsoft a officiellement pris position pour la mise en place aux Etats-Unis d’une réglementation informatique et libertés au niveau fédéral sur le modèle de ce qui existe en Europe. Les sceptiques souligneront qu’il est de l’intérêt d’un éditeur de travailler sur la conformité à une législation unique plutôt qu’à un patchwork de réglementations au niveau des Etats, mais les mêmes sceptiques auraient sans doute été encore plus virulents si Microsoft avait pris une position opposée.

Dans un autre domaine, l’autorité de protection des données personnelles (ULD) du Land allemand du Schleswig-Holstein a décerné cette année à Microsoft un label protection des données personnelles (Privacy Seal) pour ses services de mise à jour des logiciels. Le directeur de l’ULD (Unabhängigen Landeszentrum für Datenschutz), l’équivalent de la Cnil pour le Land, avait à l’occasion indiqué que la protection de la vie privée devait être considérée comme un élément de différenciation concurrentielle. C’est justement ce à quoi semble s’employer Microsoft dans la compétition avec Google.

Avec la diffusion de grands principes estampillés Microsoft, le numéro un du progiciel franchit une nouvelle étape et prend pour l’occasion le risque de s’exposer à deux critiques opposées : ne pas innover ou trop innover. « Pourquoi prétendre redécouvrir les grands principes de protection de la vie privée qui ont été formalisés à la fin des années 70 ? » railleront les uns ; « pourquoi inventer de nouveaux principes si ce n’est pour mieux enterrer les principes traditionnels » s’alarmeront les autres. Il semblait donc intéressant de comparer les nouveaux privacy principles de Microsoft aux grands principes informatique et libertés classiquement défendus par la Cnil.

Dans un article de ZDNet du 17 juillet 2007, consacré au Correspondant Informatique et Libertés, Ines Rogic de la Cnil résume ce que sont les cinq grands principes à faire respecter :

• Finalité du traitement
• Proportionnalité du traitement
• Durée de conservation
• Sécurité
• Information des personnes

D’autre mode de présentation sont envisageables par exemple en distinguant l’information préalable des personnes (loyauté de la collecte) et le droit d’accès et de rectification qui semblent ici regroupés dans la même catégorie « information des personnes ». Cependant, la simultanéité des 5 principes Microsoft et des 5 principes de la Cnil incite à poursuivre la comparaison.

Les cinq principes de Microsoft pour la recherche sur Internet et la publicité en ligne sont les suivants :
• User Notice (l’information de l’utilisateur).
• User Control (le contrôle par l’utilisateur).
• Search Data Anonymization (anonymisation des données de recherche).
• Minimizing Privacy Impact and Protecting Data (Accroître la confidentialité et la protection des données).
• Legal Requirement and Industry Best Practices (obligations légales et bonnes pratiques).

Il y a bien une adéquation apparente entre les principes d’information (user notice) et de sécurité (protecting data). L’absence du principe de finalité (purpose) chez Microsoft peut troubler mais comme les principes s’appliquent uniquement aux domaines de la recherche sur Internet et du ciblage publicitaire sur Internet, on peut aussi en déduire que la finalité est naturellement celle associée à la pratique de ces deux métiers.

Deux particularités méritent d’être soulignées. La durée de conservation est ici abordée sous l’angle de l’anonymisation des données et non par l’approche plus classique de la destruction des données. Dans les deux cas, il n’y a plus, au terme du processus, de données à caractère personnel conservées. Encore faudra-t-il être attentif sur le caractère robuste des processus d’anonymisation mis en œuvre.

En matière de proportionnalité du traitement, c’est l’utilisateur lui-même (user control) qui semble devoir en définir le niveau souhaité. Il y a là une forme de rupture avec le modèle classique de protection des données où il incombe au responsable du traitement de veiller à la proportionnalité. Ici, c’est l’utilisateur qui arbitre sur le niveau d’intrusion (en général associé à un niveau de service personnalisé) qu’il est prêt à accepter. Il ne faut pas y voir une approche prétendument anglo-saxonne qui serait étrangère à la culture de l’Europe continentale mais plutôt le reflet d’une pratique désormais répandue sur Internet, y compris pour les services de la e-administration. En la matière, le point à surveiller sera celui du niveau de protection proposé par défaut sachant qu’en pratique, il ne sera pas modifié très souvent par les utilisateurs.

Enfin, et c’est sans doute l’essentiel, il semble clair que l’un des cinq principes retenu par Microsoft est celui de respecter … les grands principes. Il est expressément fait référence aux privacy guidelines de l’OCDE de 1980 ou aux dispositions du Safe Harbor. Dans les deux cas, cela revient globalement à s’engager à respecter les mêmes principes que ceux défendus par la Cnil.

Ni trop novateur, ni trop recopiés, les privacy principles de Microsoft passe plutôt honorablement l’épreuve écrite. Reste maintenant à faire vivre ces valeurs et c’est là que le rôle des utilisateurs sera véritablement déterminant. A eux de se saisir de tous les services proposés par Microsoft – ou ses concurrents – quitte à en souligner ensuite les limites ou les insuffisances. En l’absence d’une telle appropriation, les règles de Microsoft ne seront qu’un bout de papier supplémentaire et Google un « méchant » durable de l’économie numérique.

Arnaud Belleil