Alors que les géants du Web changent leur politique de confidentialité, pas toujours pour le meilleur, et qu’ils s’accusent les uns les autres de ne pas respecter notre vie privée, la FTC, Federal Trade Commission vient de publier la version définitive de son rapport (PDF), intitulé Protecting Consumer Privacy in an Era of Rapid Change, sur les mesures à mettre en place pour protéger les données privées des utilisateurs de services commerciaux en ligne.
Longue réflexion
Ce document est le fruit d’un long travail de consultation – plus de 450 commentaires ont été pris en compte – qui avait déjà émergé fin 2010 sous la forme d’un premier brouillon. La FTC a depuis amendé son travail pour l’adapter aux évolutions technologiques et s’assurer que ses recommandations ne porteront pas atteinte au bon fonctionnement des services en ligne de petite taille. Les sociétés qui gèrent moins de 5 000 clients par an sont ainsi dispensées d’une partie des obligations concernant le stockage et la préservation des données personnelles.
Un constat inquiétant
Cette période de travail a également été l’occasion pour Jon Leibowitz, président de la FTC, de constater que « l’autorégulation est insuffisante » dans le monde numérique.
Sans pour autant recommander la mise en place d’une nouvelle législation, la FTC demande à pouvoir punir les sociétés ou personnes qui ne respecteraient pas les règles établies sur la gestion des données en ligne. Car la Commission fédérale remarque que de plus en plus d’acteurs traquent, sans vergogne, les utilisateurs pour obtenir des informations très précieuses et établir des profils, afin de vendre de la publicité ou des services ciblés.
De nouvelles armes et recommandations
La FTC apporte par ailleurs son soutien à des initiatives comme le Do Not Track, sans demander que le Congrès en fasse une loi. Sans doute parce que « l’autorégulation et les mécanismes des navigateurs Web qui implémentent les solutions Do Not Track » sont « loin d’être parfaits » et « ne le seront peut-être même jamais, malgré les efforts pour créer un standard via le W3C », indique J. Thomas Rosch, un des commissaires dans une position contradictoire incluse dans le rapport.
Pour autant, selon la Commission, ces mesures techniques semblent en voie d’être adoptées par les acteurs les plus importants du secteur. En effet, en février dernier, la Digital Advertising Alliance, consortium de sociétés impliquées dans la publicité en ligne, dont Google, déclarait leur soutien au Do Not Track. Google annonçait d’ailleurs qu’il intégrerait bientôt cette fonction à Chrome.
L’Electronic Frontier Foundation (EFF) se réjouit en tout cas de l’appui de la FTC concernant ce mécanisme de protection de la vie privée, qui peut être implémenté aussi bien dans le navigateur que du côté du service en ligne.
Malgré ses précautions, la FTC soutient les efforts du W3C, l’entité chargée du développement du Web, dans sa mise en place de standards qui permettront d’éviter le traçage indésiré des internautes. Le « groupe de travail du W3C a réalisé des progrès substantiels vers la mise en place d’un standard fonctionnel sur les appareils mobiles et de bureau », indique ainsi le rapport, précisant que le groupe « a pour objectif d’aboutir à un standard consensuel dans les prochains mois ».
Le rapport insiste également sur la nécessité de s’assurer que sera favorisée une politique de Do Not Track plutôt que de Do Not Target. En effet, dans le premier cas, aucune information sur un utilisateur n’est prélevée et enregistrée, alors que dans le second cas, il ne lui est pas servi de publicité, mais ses données de navigation et autres informations personnelles sont malgré tout enregistrées. Certaines sociétés, qui prônent l’autorégulation, ayant généralement une préférence pour la seconde.
Dans un même esprit, J. Thomas Rosch précise l’importance de la mise en place de l’« opt-in » pour les structures « qui ont plusieurs axes d’activité qui leur permettent de récolter des données dans différents contextes » ou qui « utilisent des cookies ou des plug-in, des applications ou d’autres mécanismes pour traquer les utilisateurs », comme Facebook ou Google.
Des acteurs, dont la FTC, saluent par ailleurs les efforts pour améliorer les mécanismes d’authentification et protéger ainsi les mots de passe des utilisateurs. La FTC cite également HTTPS Everywhere, la solution développée conjointement par l’EFF et le projet TOR pour sécuriser les connexions au Web.
Un autre chantier de taille
Bref, entre durcissement des mécanismes et méthodes à mettre en place, renforcement des pouvoirs coercitifs contre les exploiteurs de données personnelles et encouragement au développement d’outils facilement utilisables, la FTC semble vouloir s’assurer que le public sera préservé.
La question est désormais de savoir si son rapport et ses recommandations seront suivis pour qu’enfin les institutions législatives ou de standardisation rattrapent leur retard sur les services commerciaux en ligne qui constituent, en toute impunité (ou presque), et sans rien dire, des bases de données qualifiées à partir de vos données, qui valent potentiellement des millions de dollars.
La Commission fédérale du commerce a, par ailleurs, enfin annoncé qu’elle allait rencontrer prochainement les développeurs d’applications mobiles et d’autres sociétés technologiques, qui ne travaillent pas dans la publicité en ligne, afin de travailler à une réforme profonde de la vie privée… Cela afin, sans doute, d’éviter de nouveaux dérapages, comme ceux observés récemment avec Path et autres applications mobiles. Un combat qui aura forcément des répercussions sur nos vies d’internautes et de mobinautes européens.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.