Rubrique Juridique

LES CONDITIONS DU "PROFILING"

par Eric Barbry, avocat à la Cour, directeur du Département Internet de Alain Bensoussan - Avocats, président de l'Association Cyberlex

A l'occasion de la procédure lancée par plusieurs consommateurs américains contre la société DoubleClick, il est bon de rappeler qu'il existe en matière de "profiling", c'est-à-dire d'analyse comportementale de l'internaute, des règles du jeu à respecter. On ne saurait analyser le comportement d'un internaute et les données recueillies sur lui sans respecter les règles de droit destinées à protéger sa vie privée et son intimité. S'agissant d'abord de la collecte de l'information, il convient de rappeler que ne peuvent être utilisées que des techniques qui permettent de récupérer de l'information sans que cette collecte ne soit considérée comme une intrusion dans le système informatique de l'internaute. Aussi, toutes les techniques qui consisteraient à pénétrer le disque dur de l'internaute mais également le serveur des prestataires Internet (dans lesquels les données relatives aux internautes peuvent être récupérées) sont strictement interdites, sauf à contracter spécifiquement, pour ce faire, avec l'internaute. Il existe sur ce point des contrats dits de panelisation qui permettent, au même titre que cela existe en matière audiovisuelle, d'obtenir l'accord d'un internaute pour que puisse être récupérée et analysée toute information sur son disque dur (s'agissant de ses escapades internautes bien entendu) et permettant là de procéder une analyse approfondie de son comportement.

Plus généralement, l'analyse comportementale est réalisée lorsque l'internaute passe sur un site et qu'à l'occasion de ce passage des informations sont collectées sur lui. Ces informations lui sont soit demandées sous la forme d'un questionnaire auquel il peut décider de ne pas répondre, soit, et c'est la technique la plus utilisée, ces informations sont obtenues par l'utilisation de techniques moins décelables de type "cookies".
Là encore, il convient de rappeler que le droit pour l'internaute d'être informé est un principe fondamental. Il en est ainsi par la simple application de la loi du 6 janvier 1978 dite "Informatique et libertés". Mais au delà de l'information de l'internaute, il faut également rappeler que celui-ci doit disposer du droit d'accès et de rectification aux données qui ont été collectées sur lui, ce qui n'est pas la moindre des obligations à la charge du profiler. Enfin, il faut rappeler que les données collectées, c'est-à-dire les résultats du "profiling", doivent en tout état de cause, s'agissant de base de fichier de données nominatives ou indirectement nominatives, faire l'objet des déclarations auprès de la Commission nationale de l'informatique et des libertés (CNIL) mais aussi, on l'oublie bien souvent, de la mise en œuvre des techniques sécuritaires permettant de garantir que ces bases d'information ne seront pas exploitées par des tiers de manière indue.
Enfin, les conditions dans lesquelles les bases Profiling seront utilisées doivent respecter en tous points les déclarations déposées et/ou les engagements pris à l'égard des internautes. [E.B., avril 2000]