L'erreur profonde de Jacques Crémer est probablement de sous-estimer de façon quasi-caricaturale la portée de la gestion des données personnelles dans l'espace numérique par rapport à ce qu'il voudrait que soit son équivalent dans le monde physique. Son analogie qui, à l'instar de beaucoup d'analogies ne vaut pas un clou, en est la parfaite illustration. Et ce pour deux raisons.

La première, c'est qu'elle n'est en rien représentative de ce qu'elle prétend illustrer. En effet, lorsqu'un vendeur observe la clientèle qui rôde autour de son rayon pour jeter son dévolu sur une proie jugée plus facile à convaincre, il ne trace pas le chaland. Il juge, à partir d'un instantané, de la possibilité de lui vendre un truc. Une fois l'acte effectué, il passe à autre chose, et en général l'oublie. Il ne va pas lui demander pleins de renseignements et les noter dans un carnet pour plus tard. De plus, sa démarche est circonscrite à son rayon, dans la magasin dans lequel il travaille, voire à sa propre personne. De fait, si vous revenez dans le même magasin trois jours plus tard, outre le fait qu'il y a de grandes chances qu'il ne fasse pas le rapprochement avec votre dernière visite, un autre vendeur ne va pas se jeter sur vous sous prétexte que vous êtes déjà passé par là. Parce que le premier n'aura pas partagé avec lui une quelconque manne d'informations.

Dans le cas de la collecte d'informations en ligne, l'affaire est totalement différente. Dans son but, dans ses moyens et dans ses dimensions, spatiales[1] et temporelles. Le but n'est pas ici de juger en quelques secondes si vous êtes un client plus enclin à vous laisser convaincre par tel ou tel produit, mais de vous construire un profil de consommation qui sera utilisé sur un périmètre et une durée illimités. On rapprochera donc plus cette pratique des informations qu'on tire d'une carte fidélité qu'on fournit au client, mais avec son consentement qu'on voudrait éclairé. Mais si la carte de fidélité vaut pour une enseigne, voire un groupe d'enseignes, les données collectées sur le net, lesquelles sont ensuite utilisées à des fins de marketing ciblé[2], sont largement réutilisées en dehors du contexte dans lequel elles ont été collectées.

C'est la seconde raison qui fait de l'analogie un mauvais exemple. Car quand bien même elle aurait une once de pertinence, elle ne rend absolument pas compte de la dimension du problème. Or c'est un point crucial, et c'est essentiellement là que Jacques Crémer se prend, à mon sens, les pieds dans le tapis. La plupart des sites font appel à des régies publicitaires, typiquement Google et son fameux AdSense, tout simplement parce qu'ils n'ont pas la portée pour l'exploiter efficacement et à fond. La régie se chargera donc de tracer les utilisateurs de tous les sites qui y font appel pour leur proposer du marketing ciblé sous forme de publicité et/ou de suggestions à travers tous les sites qui afficheront ses bandeaux. Si on voulait faire un parallèle grossier, mais cher à M. Crémer, avec le monde physique, les conséquences pourraient se matérialiser sous le fait que parce que vous vous êtes arrêté au rayon lunettes de soleil de votre hypermarché préféré, vous allez trouver de la publicité pour Afflelou ou Optic 2000 dans votre boîte aux lettres dès le lendemain matin. Ou que vous allez vous faire proposer une "bonne affaire" par la boutique Kris de la petite ville dans laquelle vous passez vos vacances. Ou que tout d'un coup, le LCD publicitaire à l'entrée de la gare du coin va vous afficher une "offre promotionnelle" en cours chez Atol juste parce que vous êtes passés devant. Déjà, ça semble un poil moins sexy tout de suite, mais ça ne s'arrête pas là...

Car ces régies publicitaires n'hésitent pas à aller relativement loin pour s'approprier ces données. Nos très respectables amis de Google analysent par exemple le contenu de votre boîte Gmail, mais de manière automatique donc tout va bien dans la meilleur des mondes ma bonne dame, pour alimenter AdSense. Ainsi, le contenu de vos conversations privées va influer sur le marketing ciblé que vous allez devoir subir par la suite. D'autres n'hésitent pas à aller encore plus loin en se s'échangeant, voire en se revendant à prix d'or, les informations qu'elles collectent, en complète violation de leurs engagements envers leurs utilisateurs, et évidemment à leur insu. Ceci au sein d'une myriade d'acteurs dont vous ne savez absolument rien. Tout ce que vous savez, c'est que vos données se baladent dans la nature. Il suffit d'avoir joué avec des adresses email personnalisées[3] pour appréhender l'étendue du phénomène. Phénomène accru par la quantité de données personnelles absolument délirante que vous êtes amenés à fournir au gré de vos pérégrinations en ligne...

Donc, s'il me fallait une justification à la réglementation sur la collecte et l'utilisation des données personnelles, ce ne serait pas une hypothétique nécessité de taper sur une minorité d'acteurs de mauvaise foi, mais bel et bien la réalité d'avoir à se protéger d'une énorme majorité d'acteurs qui usent de pratiques déloyales envers l'utilisateur, usant d'un spectre très large de techniques diverses et variées, à commencer par l'installation de logiciels espion. Techniques auprès desquelles le web bug évoqué fait figure d'outil préhistorique[4] à usage des bisounours débutant dans le métier. Une population au milieu de laquelle les acteurs de bonne foi font largement figure d'exception, voire d'espèce en voie d'extinction...


Quand bien même vivrait-on dans un monde où ces collecteurs de données seraient tous de bonne foi, il y a une autre raison qui me semble également justifier à elle seule une réglementation forte. C'est peut-être là une déformation professionnelle de ma part, mais l'incapacité d'une tonne d'acteurs à sécuriser les-dites données personnelles me semble nécessiter un encadrement fort. Il ne passe en effet pas un mois, voire une semaine, sans qu'on ne compte, çà ou là, une nouvelle fuite de données du fait de l'incompétence ou de la négligence d'un acteur de ce secteur. Et le moins qu'on puisse dire, c'est que la chronique de Jacques Crémer tombe au milieu d'une actualité particulièrement chargée en la matière. Qu'il s'agisse de l'AGE dont les données traînent sur Pastebin depuis un an ou de la triplette de Sony qui vient de placer deux fuites en quatrième et neuvième places du Top 10 de la discipline en l'espace de quelques jours[5].

Parlons-en du cas Sony puisque c'est un exemple particulièrement intéressant pour mon propos. Conforme à l'adage "Jamais deux sans trois", Sony nous a offert une première fuite de quelques 77 millions d'enregistrement incluant données personnelles et enregistrements complets de cartes de crédit suite au piratage du PlayStation Network, puis une seconde consécutive à la compromission du service Sony Online Entertainment émargeant à presque 25 millions et, ce week-end, une troisième minuscule de 2500 enregistrements pour finir. Ces incidents sont particulièrement intéressants en ce qu'ils illustrent deux tendances majeures.

Premièrement, l'absence de communication à destination du public impacté. Après avoir essayé de faire passer le problème pour une banale opération de maintenance, Sony mettra une bonne semaine avant de reconnaître le premier incident et d'informer sur son ampleur. C'est tout bonnement inacceptable pour les clients touchés dont les moyens de paiement auront pu être utilisés à loisir pendant cette période, sans parler de l'utilisation des données volées à des fins de vol d'identité ou de fraude bancaire. Deuxièmement, c'est une gestion apparemment désastreuse de la sécurité de ces données. Et ce en toute connaissance de cause ! Logiciels pas mis à jour et évidemment troués jusqu'à la moelle, absence totale de firewalling sur le PSN, on se croirait revenu dans les années 90... Le tout sous l'œil vigilant d'un organisme de certification PCI DSS, bien évidemment, où sévissent probablement quelques adeptes de positions quelques peu extrêmes, voire caricaturales, sur l'intérêt du firewalling ou du patch management...

On pourra également citer l'exemple de la société Epsilon, justement spécialisée dans le marketing ciblé, pour illustrer l'effet "myriade d'acteurs" que je mentionnais plus haut. Ces derniers proposent à pleins de sociétés commerciales de gérer leur "relation client". Résultat, les données que les clients de ces dernières leur confient se retrouvent en fait chez une tierce-partie, ici Epsilon. Et quand celle-ci se fait pirater, ce sont toutes ces données qui se retrouvent dans la nature, avec une cascade de responsabilité pas inintéressante à débobiner. Conséquences pour les victimes du deuxième rang[6], spam à gogo et phishing plus ou moins ciblé. Une nouvelle fois, on notera le silence du principal responsable qui s'est à peine fendu d'une notification laconique indiquant cependant que la fuite ne concernait que 2% de leurs clients. Sauf que ces minuscules 2% de leurs clients, ça représenterait plus d'une centaine de sociétés. Chiffre qu'il conviendra de multiplier par le nombre de clients finaux de chacune pour obtenir l'ampleur de la fuite qui reste inconnue à l'heure actuelle.

Update : la bourde de Facebook qui expose les données de ses utilisateurs à la myriade d'acteurs sus-mentionnée pour une petite séance de collecte déloyale est pas mal non plus, vous ne trouvez pas ?

Enfin, on notera l'attitude détestable de certaines sociétés qui n'hésitent pas à poursuivre ceux qui les informeraient de problèmes de sécurité qui les touchent. Heureusement, elles ont l'air peu nombreuses à faire preuve d'une telle mauvaise foi, mais ça montre bien qu'il y a là un problème auquel il va bien falloir que quelqu'un réponde pour assurer la sécurité des données personnelles des internautes...


Alors ce que j'ai envie de répondre à Jacques Crémer, c'est que je ne suis pas prêt à brader la protection de ma vie privée pour ça. Je ne suis pas prêt à offrir mes données personnelles pour que des gens se fasse de l'argent tout en se foutant aussi ouvertement de ma gueule. D'abord en violant à qui mieux mieux leurs engagements de confidentialité[7]. Ensuite en se montrant incapables d'assurer un niveau de sécurité convenable pour les données personnelles qu'ils hébergent, ou même juste de consentir aux investissements nécessaires pour le garantir. Ceci dit, dans notre beau pays, vue la ferveur avec laquelle la CNIL s'emploie à rappeler les organismes négligents à leurs obligations légales en la matière, je ne vois vraiment pas comment il pourrait en être autrement...

Bref, tout ça pour dire que tant que ces deux facteurs ne seront pas réunis, je militerai pour une application dure de la législation en vigueur dans un premier temps, et un durcissement de la réglementation dans un second avec, pour commencer, l'obligation pour les sociétés frappées de fuites de données d'en informer leurs clients impactés. Et si ça empêche les publicitaires de bosser ? Tant pis. C'est un compromis dont les conséquences qui me semblent amplement justifiées par l'enjeu...

Notes

[1] Pour peu qu'on puisse parler d'espace dans le monde numérique.

[2] On notera l'euphémisme...

[3] Ce qui est très facile dès lors qu'on sait se servir du + dans une adresse email.

[4] Ce qui n'enlève rien au côté déloyal du procédé...

[5] Et qui placerait le groupe Sony second si on les cumulait...

[6] Parce que bon, les boîtes qui ont confiés les données des autres à Epsilon n'ont pas grand chose à craindre dans l'histoire...

[7] Je serais curieux de savoir si les clients de Epsilon notifiaient leurs utilisateurs que leurs données personnelles étaient traitées par une tierce partie...