Protection des données personnelles ? Le paradoxe des Etats-Unis

Cet article est paru dans Globaliznow le 31 mai 2015

Une nouvelle étude du PEW Research Center révèle une certaine insécurité numérique chez les Américains. Le scandale NSA et des cyberattaques aussi spectaculaires que récentes leur ont ouvert les yeux quant à la protection des données personnelles.

Pour tout pro du marketing arrivant de France, travailler aux Etats-Unis, c’est presque le paradis. Il y a peu de restriction quand à l’utilisation des données personnelles. Les nouvelles technologies sont très bien implantées et le premier amendement garantit la liberté d’expression et de la presse. Son interprétation est beaucoup plus large qu’en Europe et les Américains ne s’en formalisent pas.

Alors qu’il est commun de voir nom et photo des suspects dans les journaux, les Américains sont en revanche beaucoup plus frileux quand il s’agit de tracer leurs activités dans lnternet. Le phénomène est d’autant plus surprenant qu’ils acceptent sans broncher l’utilisation de leur adresse email ou téléphone à des fins promotionnelles.

La nouvelle donne selon le PEW Research Center

Le Pew Research Center publiait en mai les résultats d’une enquête intitulée “Americans’ Attitudes About Privacy, Security and Surveillance”. Dans cette étude 93% disaient qu’il leur était important de maîtriser qui avait accès aux informations les concernant. 90% rapportaient que le type d’information collectée aussi était important.

Au quotidien, la situation parle une autre langue. Pour les besoins de cet article, je me suis amusée à faire une recherche sur Expedia : aller-retour Washington-Paris au mois de juillet pour 2 personnes. J’ai laissé mon navigateur en mode “Public”. La meilleure offre en vol direct coûtait 1.521 $.

J’ai ensuite modifié mon point de départ et reçu une notification m’encourageant à sauvegarder mes recherches afin de me tenir informée des changements de prix. Achetant tous mes vols intérieur sur Expedia, mes recherches ont toujours été enregistrées automatiquement sur le “scratchpad” et ce sans me demander d’autorisation. Dans le cas présent, j’ai dénié à Expedia le droit d’enregistrer ma recherche. Curieusement elle le fût tout de même.

Quel droit à l’information ?

88% des Américains disent qu’il est important qu’ils ne soient pas surveillés sans permission. Mais seulement 34% trouvent que l’anonymat en public est très important. Le droit à l’information est l’un des fondements de la société américaine et le premier amendement détermine la liberté d’expression et de la presse. A l’époque, il s’agissait d’une réaction au fort contrôle exercé par les Britanniques sur les informations circulant dans leur colonie américaine. Cet amendement signifie aujourd’hui que n’importe qui, sans aucune considération sociale, politique ou religieuse, peut exprimer et publier tout ce qu’il veut.

Il n’existe pas aux Etats-Unis de législation fédérale règlementant la question de la vie privée, celle-ci n’est pas un droit constitutionnel. Celle de la question du traitement des données à caractère personnel ne l’est donc pas non plus. Seulement quelques secteurs, la santé et les banques par exemple, disposent d’une législation propre à ce sujet.

Le Safe Harbor, un accord peu connu du public

Un accord, le Safe Harbor, a néanmoins été passé entre le United States Department of Commerce et la Commission Européenne. Les entreprises américaines ayant adhéré à cet accord s’engagent à respecter les mêmes obligations en matière de traitement des données personnelles que celles à la charge des entreprises européennes pour les données collectées en Europe et transférées aux Etats-Unis. L’accord couvre entre autre le consentement, le droit d’accès et de modification des informations, la durée de conservation limitée et l’usage des données limité au but consenti par l’utilisateur.

J’ai consulté la liste des entreprises ayant adopté le Safe Harbor et y ai trouvé Expedia Inc. Expedia m’a bien demandé mon autorisation pour sauvegarder ma recherche, mais n’a pas tenu compte de ma réponse. Tous mes essais ensuite pour trouver un vol moins cher ont échoué, Expedia réutilisant toujours mon “scratchpad” avec les données Washington DC-Paris. Après avoir fermé mon navigateur, je l’ai réouvert et me suis en mode “privé”. Mon “scratchpad” a donc disparu. Le même vol aux mêmes dates ne coûtait plus que 1.311 $, soit une économie de 200 $ !

Snowden, la cause d’une nouvelle insécurité numérique ?

Pew Research Center titre dans son article sur les données concernant la vie privée : Les Américains ont peu confiance en la confidentialité de leurs informations. Depuis juin 2013 et la révélation des activités de la NSA par Edward Snowden, les Américains ont été témoin de nombreux déficits dans la protection des données personnelles de grosses sociétés américaines. Le tout a contribué à établir un sentiment d’insécurité numérique. Ainsi 76% des Américains n’ont pas ou pas du tout confiance dans les annonceurs de publicité sur la toile quant à la protection de leurs données, 69% pour les données communiquées sur les sites des réseaux sociaux et 66% pour les moteurs de recherche.

Un Américain a l’habitude de trouver en ligne des informations de l’ordre privé comme adresse, situation maritale, prix d’achat de la maison, casier judiciaire etc. Le scandale NSA et les cyber-attaques répétées sur des marques connues leur ont certes ouvert les yeux mais peu de changement sont à attendre, ni dans la législation, ni dans leur comportement.

Comparaison avec la France

Contrairement aux Etats-Unis, la protection des données à caractère personnelle est bien cadrée juridiquement en France.

La directive 95/46/CE constitue le texte de référence des données à caractère personnel. La loi informatique et libertés de 1978 a été modifiée en 2004 et complétée par plusieurs décrets qui anticipent certains points d’un projet européen. Ce dernier prévoit l’harmonisation des législations pays.

Première des obligations pour un entreprise avec site internet: renseigner dans les mentions légales sur son nom, son siège social ainsi que donner le nom de la personne responsable du site et de celle responsable du traitement des données collectées par l’intermédiaire du site.

Quand une entreprise veut collecter des données auprès de ses internautes pour constituer un « ficher client » notamment, elle a plusieurs obligations :

– l’internaute doit accepter expressément que les données renseignées soient utilisées dans un but promotionnel

– elle doit déclarer son ficher ou demander une autorisation auprès de la Commission Nationale de l’Informatique et Liberté

– La durée pendant laquelle l’entreprise est autorisée conserver les données dépend du but dans lequel ses données ont été collectées. La déclaration doit donc être renouvelée périodiquement ou une nouvelle autorisation doit être sollicitée.

– Les personnes dont les données ont été collectées ont un droit d’accès et le droit de faire actualiser ou modifier les données qu’elles ont renseignées.

– Lorsque le but poursuivi de la collecte est modifié, la personne dont les données ont été recueillies doit renouveler son consentement à ce nouveau traitement de ses données.

La France protégerait-elle mieux les données que les Etats-Unis? A débattre…

Ces posts pourraient vous intéresser “Les nouvelles technologies au service du Time is Money” ou “Mais où est le Made in France ?”