…c’est avec l’accord de la CNIL!
Les gesticulations médiatiques des gouvernants de tous bords, protestant contre les multinationales américaines qui collectent vos données pour de vils motifs commerciaux, n’y feront rien : en France, l’Etat et les entreprises publiques font exactement pareil.
Avant tout, un point méthodologique. Tout formulaire collectant vos données doit offrir à un endroit ou un autre une possibilité de donner ou retirer son consentement quant à l’utilisation de ses données, et notamment sa communication à des tiers. C’est la Loi (notamment l’article 32 section II de la Loi 78-17 du 6 janvier 1978).
Il existe deux types de question (« opt-in » ou acceptation, et « opt-out » ou refus) et deux modes de réponse (« actif » et « passif »), ce qui génère quatre formats différents de recueil du consentement (cf. tableau ci-dessous), et ajoute à la confusion.
Le mode de réponse « passif » n’est a priori ni répandu, ni recommandé en France (même s’il n’est pas interdit, à ma connaissance), mais est courant sur les sites américains. Dans ce cas, la case correspondant à la question est déjà cochée, et la réponse de l’utilisateur est enregistrée par défaut. Pour choisir une autre réponse, il faut décocher la case (quand on la trouve…). Bien évidemment, c’est un mode qui ne peut être utilisé qu’en ligne.
Pour les formulaires papier, on doit se concentrer sur le mode « actif », c’est-à-dire quand il faut cocher une case. Evaluons les deux modalités restantes:
- « opt-in » actif = l’utilisateur accepte, en cochant une ou plusieurs cases, que ses données personnelles soient stockées, utilisées, transmises à des tiers, etc… C’est le mode le plus respectueux de l’utilisateur, car c’est le seul qui garantisse que celui-ci ait fait volontairement le choix de partager ses données. Mais ce n’est pas la norme…
- « opt-out » actif = l’utilisateur refuse que ses données personnelles soient utilisées, toujours en cochant. C’est ce mode qui est la norme en France, et que la CNIL endosse implicitement. En effet, dans la rubrique « questions-réponses » de son site, notamment sous le thème « marketing », la CNIL indique que l’utilisateur d’un service peut « s’opposer » à la transmission des données ou « refuser » leur communication, et donc privilégie le mode « opt-out ».
Evidemment, la conséquence est qu’une majorité d’utilisateurs oublient de cocher les cases (ou pire, ne les trouvent pas), et se retrouvent donc dans de nombreux fichiers commerciaux. Dans le cas d’entreprises privées, dont l’activité dépend de fichiers clients, on peut le comprendre, mais quand il s’agit d’entreprises publiques ou de l’Etat, le mode « opt-out » est beaucoup plus discutable. Deux exemples récents (issus de mon entourage proche):
Exemple 1 : une procuration à la Banque Postale. Ci-joint une partie du formulaire en question.
Après 13 lignes juridiquement obligatoires (et que personne ne lit, bien sûr), juste avant les signatures, on trouve la case à cocher pour refuser « que mes données personnelles soient utilisées à des fins de prospection commerciale« . Ou comment récupérer les informations relatives aux proches d’une personne âgée qui leur donne procuration… La photo est trompeuse, du fait du zoom sur le texte, je ne suis pas sûr que dans le document complet, l’utilisateur visualise aussi bien la case à cocher (ni d’ailleurs que les conseillers financiers n’attirent son attention sur cette case…).
Exemple 2 : un formulaire de demande de modification d’un permis de construire existant, CERFA 13411*03. Ci-joint, le petit libellé, toujours en « opt-out », tout en bas de la page 5 d’un document qui en compte 7, non compris la notice explicative…
Encore plus discret que pour la Banque Postale, la case à cocher étant bien moins visible. Et compte tenu des informations très détaillées qui sont demandées (et qui sont obligatoires!), il est clair que l’usager doit s’opposer à ce que « les informations nominatives comprises dans ce formulaire soient utilisées à des fins commerciales« . Non mais!
L’Etat collecte donc – et surtout revend – les données personnelles de ses administrés, tout en reprochant à Google, Amazon ou Facebook de faire de même… Vous dites contradiction? Je dis opportunisme.
Pour une véritable protection des données personnelles, il faut d’autres outils de ciblage! On parle de « fingerprinting », d’identifiant unique, mais il y a aussi une option non-intrusive, fondée sur le comportement en ligne de l’utilisateur. J’y travaille… Envie d’en savoir davantage? Rendez-vous la semaine prochaine sur ce blog!
Data Elicitation 