Vous débarquez un beau matin de vacances dans un village qui, malgré qu’il vous soit familier, se présente sous un jour nouveau. Vous aimez tellement la façon dont ces villageois réinventent à chaque jour des habitudes devenues chez vous banales et routinières, que vous ne pouvez vous résoudre à quitter ce lieu. Vous prolongez votre séjour, vous vous y aménagez un pied à terre, et cherchez à y installez votre commerce. Vous ne cessez de le parcourir, à tous les jours, visitant boutiques, bibliothèques, cinémas, ... Tout y est nouveau! Le paradis existe! Vous l’avez trouvé!
Mais un jour, vous apprenez que tout ce que vous faites, ou avez fait, dans ce Nirvana est épié, répertorié, fiché. Même que des dossiers très détaillés sont constitués sur vous à votre insu, et font l’objet d’un commerce florissant. Vous n’êtes plus un inconnu dans la foule. Vous ne l’avez jamais été. Vous êtes un habitant type, connu sous toutes ses coutures, et peut-être même identifié par son nom. Il ne vous manque qu’un code à barres au front...
Fin de la métaphore? Pas vraiment. Car elle représente, malgré ce que plusieurs peuvent penser, allégorie en moins la situation qui prévaut sur Internet. Car un ordinateur, au contraire d’un humain, n’oublie jamais rien. Il ne faut cependant pas conclure pour autant que le Web est une créature diabolique, un piège conçu et géré par des suppôts de Satan pour attirer de pauvres innocents, leur soutirer de précieuses informations les concernant et les utiliser contre eux. Comme j’aime à le dire, oubliez un peu Big Brother, Little Brother est plus inquiétant.
Il faut comprendre que toute communication informatique requiert l’implantation de certains modes techniques d’identification pour avoir lieu. Tout comme vous devez connaître le numéro de téléphone de la personne que vous voulez contacter, les ordinateurs doivent connaître leurs coordonnées réciproques afin de se retrouver sur le réseau et d’échanger des informations. Autre conséquence du caractère ouvert d’Internet, les demandes d’informations et les réponses des serveurs seront scindées en paquets d’informations qui seront appelés à circuler par des chemins différents pour arriver à destination. Il en découle l’impossibilité pour un ordinateur de suivre un de ses visiteurs pendant son parcours d’un site donné. Cette caractéristique[i], essentielle pour la sécurité d’un réseau informatique né de la guerre froide, empêchait cependant les sites Web commerciaux de prendre note des différentes commandes formulées par un usager à divers moments de sa visite.
Jacquot ne veut pas de biscuit!
La réponse technique à ce problème, le « cookie » ou « témoin »[ii] enregistré sur le disque dur de l’usager, est venu régler ce problème en fournissant un point de repère à l’ordinateur distant afin d’identifier un visiteur donné, sans nécessairement pouvoir le nommer. Mais le concept a été récupéré à d’autres fins, ouvrant du coup la porte à de nombreux excès, à une florissante industrie du renseignement, et à une problématique de vie privée tout à fait inconnue dans le monde dit “réel”. Le « cookie » a ainsi pu servir à la constitution de dossiers extrêmement complets et précis sur des internautes. Il était maintenant possible de centraliser dans une banque les données relatives à toutes les activités d’un usager du Web, pas seulement celles réalisées sur un site en particulier. Des empires du renseignement cybernétique, par exemple celui de Doubleclick.com, ont ainsi pu voir le jour.
Mais quel genre d’information recueille-t-on au juste? Nous pouvons en isoler deux grandes catégories. Tout d’abord, les informations statiques. Bien qu’ils ne sont pas toujours conscients des conséquences de leur acte, ce sont les usagers eux-mêmes qui fourniront ces informations. Il s’agira d’un nom, d’une adresse, ou d’un numéro de téléphone que l’opérateur du site visité ne pourra deviner autrement. Ce type d’informations correspond généralement aux informations protégées par nos lois sur les renseignements personnels.
L’autre catégorie est formée des informations dynamiques recueillies à l’insu du visiteur, au fil de ses navigations. Quelles pages a-t-il visitées, quelles commandes a-t-il placées, quelles recherches a-t-il menées... Ces informations, lorsque jumelées à un cookie et aux informations statiques qui y sont associées, peuvent permettre de dresser des profils dangereusement précis des usagers du réseau. Ces banque de données deviennent alors souvent un actif de valeur et un objet de convoitise.
Dis-moi où tu cliques, je te dirai qui tu es...
Le plus gros joueur dans le domaine de la constitution de tels profils est sans nul doute Doubleclick[iii]. Cette entreprise de marketing Internet fournit les bannières publicitaires sur de nombreux sites comme AltaVista et collige les informations recueillies sur les internautes qui suivent les liens qu’elles fournissent. Le but de l’exercice étant de dresser et revendre des profils d’internautes qui serviront à la préparation de campagnes publicitaires. De telles initiatives ont fait prendre conscience à plusieurs commerçants de la valeur rattachée aux listes de clients qu’ils ont accumulées au fil des années. Le message passe particulièrement bien lorsque leurs affaires commencent à péricliter. Par exemple les liquidateurs de Toysmart.com, cybermarchand de jouets, décidaient d’offrir en vente libre les données qu’ils détenaient sur les clients du site afin d’éponger une partie des pertes de l’entreprise. Il fallut l’intervention des tribunaux, suite à une plainte du Federal Trade Commission (FTC), pour que l’entreprise recule et accepte de détruire les informations.
Le silence est d’or
Le Web doit faire face à cette problématique dont la résolution pourrait bien être cruciale à son développement. Les craintes du consommateur de voir son intimité violée par de tels stratagèmes et de voir ses coordonnées financières stockées et réutilisées sans son consentement sont perçues comme un frein au véritable déblocage du commerce électronique. Et ce, même si les mêmes consommateurs n’hésitent pas à donner leur numéro de carte de crédit par téléphone ou à la confier à un serveur de restaurant pendant de longues minutes avant d’en revoir la couleur! Il faut croire que l’ordinateur fait encore peur, probablement parce qu’il a la mémoire longue. Les principaux sites commerciaux ont donc, pour la plupart, emprunté la voie de l’auto-régulation en choisissant d’afficher des politiques en matière de protection de la vie privée et de renseignements personnels. L’effet recherché étant bien entendu de rassurer leurs clients sur l’usage qu’ils feront des informations recueillies sur eux.
C’est un peu aussi par peur d’une intervention étatique que les principaux tenants du Web ont privilégié cette approche, afin de pouvoir montrer patte blanche aux politiciens et leur prouver qu’ils peuvent mettre eux-mêmes un peu d’ordre dans leur cour. Mais les effets de ces actions n’ont pas vraiment été éclatants, aussi il ne faut pas se surprendre de constater l’adoption de lois relatives à la vie privée sur Internet un peu partout dans le monde.
Le Québec passe pour précurseur, en Amérique du Nord du moins, puisque nous disposons depuis déjà longtemps d’une loi régissant les interactions dans ce domaine. Le Québec aura une fois de plus suivi l’exemple européen plutôt que celui de son cousin américain. Le gouvernement fédéral emboîtait le pas en adoptant à l’automne 1999 la loi C-6 qui cherche à normaliser le secteur et à fournir aux provinces qui en sont dénuées, un cadre juridique minimum dans le domaine. Vous aurez remarqué avec quelle adresse j’évite la question de la constitutionnalité de cet exercice... Attention, terrain glissant, et nouveaux dédoublements en vue. Quoi qu’il en soit la différence d’approche entre européens et américains, les premiers favorisant l’encadrement législatif et les seconds l’auto-régulation, s’est avéré être le nœud du problème. La recherche d’un compromis entre ces deux positions apparemment irréconciliables a pris la forme des politiques de Safe Harbo[iv]r. Cadre auto-réglementaire américain accepté par les autorités européennes, ses principes prévoient l’engagement volontaire d’entreprises américaines à respecter des règles acceptables selon les lois européennes, leur permettant d’échanger des renseignements personnels avec des entreprises européennes. Le temps nous dira si cette structure tiendra la route.
Les objectifs des lois sur la protection des renseignements personnels sont généralement les mêmes : pas de collecte d’informations sans consentement préalable et dévoilement de la finalité recherchée, libre accès de l’individu à son dossier, droit de demander des corrections, pas de conservation des informations une fois la finalité d’origine atteinte. Ces principes de base, paradoxalement, semblent plus faciles à respecter quand tous les intervenants se rencontrent dans le cyberespace que lorsqu’ils évoluent dans le monde physique. L’échange des consentements, des demandes d’informations, du contenu des dossiers et des demandes de corrections pouvant s’échanger plus rapidement et avec plus de facilité. Leur application est pourtant loin de faire l’unanimité.
Vous voyez un peu le portrait? Je ne voudrais surtout pas dramatiser la situation outre mesure, mais je ne voudrais pas non plus vous laisser sous l’impression que tout va pour le mieux pour la vie privée sur le Web. Le sujet est fertile en rebondissements, et au cœur de l’actualité du réseau. Nous aurons donc l’occasion d’y revenir.
N’hésitez pas à me contacter pour toute question ou commentaire. Il me fait toujours plaisir de vous lire. Vous connaissez l’adresse, bertrand@cybernotes.info. À la prochaine.
[i] On dit que le Web est « stateless », qu’il ne fait pas de liens entre les différentes demandes d’informations formulées par un visiteur donné.
[ii] Selon l’Office de la langue française DANS son site Web au http://www.olf.gouv.qc.ca/ressources/internet/fiches/2075216.htm Certains utilisent aussi le terme « mouchard »., qui me semble plus éloquent que le bizarre « témoin ».
[iii] www.doubleclick.com
[iv] http://www.export.gov/safeharbor/
Aucun commentaire:
Enregistrer un commentaire