Matthias Dobbelaere-Welvaert
Lettre ouverte adressée à Proximus (et à la Commission vie privée)
Cher Proximus,
Chère Commission vie privée,
Le respect de la vie privée n’est plus dissociable de la scène quotidienne. Je n’ai cessé de témoigner à ce propos avec un succès mitigé à la clé. Jusqu’il y a quelques années, la respect de la vie privée n’était guère une priorité, étant donné que le monde n’avait d’yeux que pour la nouvelle technologie qui, même si elle prenait souvent à la légère les droits élémentaires en la matière, allait transformer notre économie en l’économie de partage qu’elle est devenue aujourd’hui. Les services doivent être gratuits car nous ne voulons plus puiser dans notre portefeuille.
Les données personnelles qu’un opérateur collecte, ne doivent pas être jetées en pâture pour quelques rentrées supplémentaires
Alors que l’on pouvait précédemment déjà être ‘contents’ avec quelques affaires intéressantes par an en matière de ‘privacy’, je n’ai à présent que l’embarras du choix. C’est le moindre mal qui ressort donc de mes témoignages car je pourrais me lamenter sans cesse de la façon dont la protection de notre vie privée est organisée dans notre société. L’aspect positif ici, c’est que Monsieur Tout-le-Monde commence à prendre conscience que la protection de sa vie privée mérite la considération nécessaire.
Le respect de la vie privée est un principe évolutif, entends-je souvent. ‘C’en est fini du respect de la vie privée‘, s’écrient les ‘techies’ et les vendeurs, qui considèrent les données personnelles comme le nouveau… moyen de paiement. Des services tels Facebook, Twitter et Google en sont l’incarnation virtuelle.
L’on apprend que Proximus va se mettre à vendre des ‘données d’emplacement anonymes’ et ce, pour pas moins de 700 euros le pack. Des questions éthiques, juridiques et commerciales surgissent aussitôt, dont la plus regrettable est probablement que notre Commission vie privée, qui doit quand même prendre ses responsabilités, peut décider en quelques heures que cela n’enfreint pas la loi sur le respect de la vie privée. Sans être gênée par quelque connaissance technique que ce soit.
Proximus affirme qu’il s’agit de données d’emplacement anonymes. C’est bien beau, mais est-ce bien le cas? Dans le cadre d’une étude réputée du MIT & de la K.U. Leuven intitulée ‘Unique in the Crowd: The Privacy bounds of human mobility‘, des chercheurs ont suivi pendant 15 mois plus d’un million et demi d’utilisateurs individuels. Les circonstances étaient étonnamment similaires: une fois par heure, le téléphone de la personne se connectait à la centrale. Le téléphone envoyait un signal d’emplacement. Que constata-t-on? Que quatre de ces points d’emplacement suffisaient pour identifier 95 pour cent des 1,5 million d’utilisateurs. Quatre points d’emplacement, vous imaginez?
Au moment d’écrire ces lignes, je ne sais pas précisément quel procédé technique Proximus utilise (ou va utiliser) pour rendre ses données anonymes. La transparence et une ‘opt-out’ (option de retrait) ne sont pas de mise. Qui va donc rendre les données anonymes? Où et comment ces données vont-elles être stockées et sécurisées? Quelles précautions Proximus va-t-il prendre pour les protéger des pirates (hackers)? Quelles assurances aurons-nous vous et moi que la mesure envisagée ne sera pas étendue à l’avenir et que nos droits ne seront pas un peu plus encore bafoués?
Nulle part dans le contrat, on ne parle de commercialiser des données à des fins de rentrées supplémentaires. C’est non seulement répréhensible du point de vue éthique, mais ce n’est pas correct non plus sur le plan commercial.
Abordons à présent les objections juridiques. Selon la Commission vie privée, cela n’est pas grave. Comment cela? Dans l’article 1 de la loi sur le respect de la vie privée, on peut lire que ‘tout ce qui peut renvoyer à une personne, est une donnée personnelle‘. Et donc les adresses IP tombent sans la moindre discussion sous le coup de cette loi et ce, même si chaque adresse IP ne renvoie pas toujours à une personne (pensons ici à un PC de bibliothèque, au smartphone d’un ami,…). Or s’il apparaît de l’étude que 95 pour cent des utilisateurs peuvent être identifiés sur base de quatre points d’emplacement, il est très clair que ces données peuvent devenir des données personnelles, et ne peuvent donc être commercialisées sans l’autorisation explicite de la personne concernée.
A propos des objections éthiques et commerciales, je serai bref. Les données personnelles (même si elles sont rendues anonymes et provisoirement limitées) collectées par un opérateur ne doivent pas être jetées en pâture à des fins de rentrées supplémentaires. Chez Facebook ou Twitter, il est possible de choisir tout simplement de ne pas créer de compte ou à tout le moins de le paramétrer de manière à ce que le degré de perte de respect de la vie privée soit limité à un minimum absolu. Chez un opérateur, c’est une autre affaire. Il n’y en a que quatre (sans compter les MVNO), et les trois autres sont à présent probablement en train de voir ce qui va se passer. Du reste, si j’étais le marketing manager d’un opérateur concurrent, j’aurais préparé depuis longtemps déjà une campagne des plus solides.
En Belgique, l’on est en outre gratifié d’une des formules d’abonnement les plus chères au monde. Nous payons donc largement assez la téléphonie et l’internet mobile. C’est ainsi que chaque consommateur a conclu un contrat avec son opérateur. Ce contrat est constitué de deux conditions: un ‘montant x’ pour pouvoir être accessible en mobile. Nulle part dans le contrat, on ne parle de commercialiser des données à des fins de rentrées supplémentaires. C’est non seulement répréhensible du point de vue éthique, mais ce n’est pas correct non plus sur le plan commercial.
A Proximus: vous êtes un excellent opérateur. Vous dépensez des millions dans la publicité comme pour Tuttimus (même si les réactions sont partagées), vous investissez dans des connexions meilleures et plus rapides et vous disposez déjà d’une assistance au top. Vous n’avez donc pas besoin de cela. Non seulement le leader de marché que vous êtes, a une responsabilité morale à assumer, mais cette initiative entrouvrirait aussi la porte à des tendances plus profondes et dangereuses faisant fi du respect de notre vie privée.
Si vous souhaitez néanmoins persister dans votre… mauvais choix, offrez à tout le moins à vos clients ce à quoi ils ont droit: une option de retrait (opt-out) à part entière et transparente, conjointement avec les informations nécessaires à propos de la manière dont ces données seront traitées. Ce n’est pas là une demande, mais un droit que possède chacun de vos clients-consommateurs.
A la Commission vie privée: nous nous sommes dans le passé déjà souvent affrontés. Je vous considère comme un institut apathique dépassé. Vous disposez du temps et des moyens pour intenter des procès inutiles (mais médiatisés) contre Facebook, alors que cet argent dépensé dans des bureaux d’avocats coûteux aurait pu être utilisé pour élaborer et dispenser des conseils appropriés et rapides (vous souvenez-vous de la loi sur les cookies, à propos de laquelle les développeurs ont dû attendre vos conseils plus de deux années durant?), et investir dans des incitants positifs et dans la formation en matière de respect de la vie privée pour les entreprises.
Vous n’assumez pas votre rôle aujourd’hui. Vous êtes probablement gênée par une surabondance de requêtes. Je vous demande instamment de reconsidérer votre fonction dans le paysage belge. Vous possédez un nouveau commissaire d’Etat (vous savez bien, l’ancien s’est taillé une réputation dans l’affaire Facebook, à tel point qu’il est devenu vice-président au sein du gouvernement flamand) et avez donc une nouvelle opportunité d’utiliser du personnel et des moyens financiers de manière plus utile. Je suis impatient de voir ce que cela va donner.
Cette opinion a été rédigée par Matthias Dobbelaere-Welvaert, managing partner auprès de theJurists Europe, ayant des bureaux à Gand, Bruxelles, Amsterdam & Paris. Matthias est spécialisé dans le droit numérique et le respect de la vie privée. Cette opinion, il l’a écrite à titre personnel.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici