Protection des données: mieux vaudrait prévenir que guérir

Tout le monde est d'accord : il faut protéger les données recueillies sur les individus, les clients, ne pas diffuser à tort et à travers ce que l'on sait sur vous, sur moi. Soit, mais comment ? Là, les avis divergent sérieusement, en particulier entre l'Europe avec son espace de sécurité ("safe harbor") et les Etats-Unis avec leur concept d'auto réglementation ("self regulatory"). En quoi consistent les deux approches et sur quoi achoppent-elles ? L'Europe veut mettre en place toute une législation, assez contraignante il est vrai, de protection des données. Des agences gouvernementales devraient être ainsi créées pour s'assurer du respect de la réglementation (droit d'information, d'accès et d'opposition des personnes concernées), de la mise à jour de bases de données centralisées sur les traitements, demande d'approbation impérative avant d'effectuer certains traitements.

Artillerie lourde pour protection moyenne
Bref, une artillerie lourde, très lourde. De plus, une directive interdit par principe tout transfert des données à destination d'un pays tiers qui n'assure pas un niveau de protection adéquat à quelques exceptions près : si la personne concernée a donné son consentement, si le transfert est nécessaire à la conclusion d'un contrat dans l'intérêt de la personne concernée, si le transfert est nécessaire pour la sauvegarde d'un intérêt public, ou si le responsable du traitement offre des garanties suffisantes de protection des données auprès d'un Etat membre de l'Union européenne. Là, on sent déjà que pas mal de transferts vont pouvoir être autorisés et que le filet protecteur risque d'avoir quelques accrocs. De plus, tous ces contrôles peuvent être purement et simplement supprimés après négociations avec la Commission européenne !

Ainsi, après discussions serrées, un espace de sécurité a été mis en place avec les Etats-Unis, il y a précisément un an. Il permet aux entreprises américaines d'échanger librement des données, à condition de promettre de respecter les règles européennes… Des sanctions peuvent être prises si les promesses ne sont pas tenues. La procédure semble beaucoup trop centralisée, trop bureaucratique pour les Etats-Unis qui s'orientent eux vers un mélange de législation et d'auto réglementation. Les sites Web devraient offrir aux internautes la possibilité de consulter les informations les concernant et, cerise sur le gâteau, de les modifier. Si l'individu possède en outre un droit de veto sur la transmission de ses données à des tiers, le dispositif a du bon. Sans compter qu'il illustre à merveille le principe libéral par excellence : "on n'est jamais mieux que par soi-même."

Quelques milliards de dollars à la clé
Sauf que… tout cela risque de coûter quelques milliards de dollars à l'économie américaine. Sans doute pour faire réfléchir le congrès au montant des dépenses qu'il préconise pour protéger la vie privée des citoyens outre atlantique, l'ACT (Association for Competitive Technology) a sorti ses calculettes pour accoucher du chiffre considérable de… 36 milliards de dollars. Le calcul est assez simple : 360 000 sites (environ 10% du nombre total de sites opérationnels) multiplié par 100 000 dollars, coût approximatif des développements pour offrir aux internautes un accès sécurisé aux informations les concernant. Evidemment, il y a de quoi faire réfléchir même si le calcul ne prend pas en compte les économies qui pourraient être réalisées par une gestion des données plus transparente donc plus efficace.

Mais, dans cette lutte contre l'administration et les dépenses qu'elle va entraîner pour les administrateurs de sites, on semble oublier une donnée de poids : les consommateurs préfèrent naturellement - et en grande majorité - qu'on leur explique très clairement ce que l'on est susceptible de réaliser avec les informations que l'on récolte sur eux. Il est grand temps de prendre en compte cette dimension, disons sociale, dès la conception du site et d'éviter des traitements entraînant des fuites de données incontrôlées vers des partenaires peu scrupuleux. Il n'est jamais trop tard pour bien faire. Un logiciel spécialisé peut se charger d'examiner les traitements effectués. Ainsi WebPCO de l'éditeur canadien Watchfire contrôle les accumulations d'informations suspectes dans un site et analyse ce que deviennent fichiers de connexion, formulaires, cookies et autres Web bugs, qui tentent de cerner le comportement de l'internaute. Il suffirait qu'un organisme indépendant standardise un tant soit peu ce genre de fonctions et le tour serait joué. C'est précisément ce que réalise le W3C dans le cadre du projet P3P. On n'est pas près de crier victoire toutefois : selon un sondage de Zona Research, 61% des directeurs informatiques américains n'y voient aucun intérêt. Le travail de sensibilisation à la protection des données ne fait donc que commencer…