Quel sort pour les données personnelles dans une faillite de start-up internet ?
Publié le 06/01/2001 par Guillaume Desgens-Pasanau, Anne Sendra
L’actuelle restructuration s’opérant dans le secteur des NTIC pourrait bien être lourde de conséquences s’agissant du sort réservé aux données personnelles des internautes. A l’heure où le marché s’apure d’entreprises dont le modèle économique n’a pas fait ses preuves, celles-ci se trouvent devant une étrange contradiction : au bord de l’asphyxie financière, victimes de leur…
L’actuelle restructuration s’opérant dans le secteur des NTIC pourrait bien être lourde de conséquences s’agissant du sort réservé aux données personnelles des internautes. A l’heure où le marché s’apure d’entreprises dont le modèle économique n’a pas fait ses preuves, celles-ci se trouvent devant une étrange contradiction : au bord de l’asphyxie financière, victimes de leur «burn rate» , elles disposent de gigantesques fichiers clientèle constitués au rythme de l’afflux et de l’intérêt que les internautes ont pu manifester pour leur site.
Or la valeur marchande de ces fichiers est incontestable, et les déboires de certaines starts-up ne peuvent que faire le bonheur d’autres entreprises, trop contentes de pouvoir ainsi racheter à « prix cassés » leur ticket d’entrée dans les sphères marketing de la nouvelle économie.
De quoi faire tourner la tête de l’internaute voyant ainsi circuler les informations les plus intimes le concernant (nom, adresse, habitudes de consommation, etc.) au gré des faillites et autres acquisitions ou fusions. Broadcast.com, Boo.com, Toysmart ou encore plus récemment Foodline, les exemples sont nombreux de ces sociétés en faillite dont le principal actif cédé était constitué d’un fichier client. Et les entreprises n’hésitent pas à vendre cet actif, qu’elles considèrent comme un de leurs rares retours sur investissements.
La prise de conscience de l’opinion est réelle, à en juger par l’augmentation du nombre de plaintes déposées auprès de la CNIL . Avec un nombre total de saisines s’élevant à 5995 en 1999 contre 3614 en 1998, l’opinion publique semble prendre la mesure du risque qui se dessine et ainsi témoigner de son souci de transparence dans les procédures de collecte et de revente de données personnelles sur Internet.
Face à de telles pratiques, force est de constater que les moyens de défense de l’internaute sont relativement réduits…
Une protection juridique insuffisante
Que dit la loi française ? La loi dite Informatique et Libertés du 6 janvier 1978, applicable en la matière, dispose dans son article 27 que « les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées des personnes physiques ou morales destinataires des informations ». En d’autres termes, lors de la constitution d’un fichier, l’entreprise devra avertir l’internaute de la possibilité de voir ses données cédées à des tiers à des fins de prospection commerciale. Elle devra également lui permettre de s’opposer à une telle cession, en vertu de l’article 26 de la loi. On notera à ce sujet que ce droit d’opposition ne revêt aucun caractère automatique, la personne fichée devant faire valoir des « raisons légitimes » à l’appui de sa demande.
La CNIL a en particulier décidé dans une délibération en date du 18 février 1997 relative au marketing direct: « que les personnes intéressées soient informées, en tête du questionnaire, qu’elles peuvent répondre aux questions tout en s’opposant, notamment par l’apposition d’une case à cocher, à la cession de leurs données à des tiers et des conséquences à leur égard d’un refus de cession ».
Le principe est donc simple : si l’internaute n’a pas manifesté son opposition, l’entreprise est libre de céder les données comme bon lui semble. Au delà de cette obligation d’information a priori, il n’existe aucune obligation a posteriori. La protection de l’internaute fiché n’est pas la règle, elle est l’exception (système dit de « l’opt out » dans lequel l’internaute est présumé consentir à la pratique des cessions de fichiers).
La jurisprudence a d’ailleurs mis l’accent sur cette absence d’obligation a posteriori dans un arrêt de la Cour de cassation en date du 25 octobre 1995 : « la loi du 6 janvier 1978 ne fait nulle obligation au responsable du fichier, qui recueille auprès des tiers des informations nominatives aux fins de traitement, d’en avertir la personne concernée ». En d’autres termes, la loi n’oblige nullement le tiers à qui l’entreprise a vendu les données personnelles de l’internaute à avertir celui-ci de la cession. Dès lors, ignorant la situation de faillite et la cession consécutive du fichier, l’internaute ne fera pas valoir son droit d’opposition, ce qui limite singulièrement la portée effective de ce droit.
On notera toutefois qu’une directive européenne en date du 24 octobre 1995 et qui devrait être transposée en droit français dans les mois à venir à l’occasion de la discussion sur la loi dite « société de l’information » (LSI), augure de certaines améliorations au profit de la personne fichée.
Ce texte dispose en particulier dans son article 14 que la personne fichée devra être informée avant que les données ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection. Il consacre de plus un nouveau droit d’opposition dont la mise en oeuvre sera plus efficace. A la différence de la loi de 1978 en effet, ce droit est gratuit et n’a plus à être motivé pour les demandes concernant des fichiers établis à des fins de prospection commerciale.
Reste à savoir de quelle façon et dans quelle mesure ces nouvelles dispositions seront intégrées dans la loi française…
Des chartes et des labels aux effets limités
Au-delà des textes officiels, les entreprises tentent par tous les moyens de rassurer les internautes en élaborant des chartes, en se ralliant à des labels ou encore en nommant des CPO (Chief Privacy Officer). Ces pratiques sont d’ailleurs encouragées tant par la directive précitée que par la CNIL. Qu’en est-il de l’efficacité de telles mesures ?
On indiquera tout d’abord que les chartes, quel qu’en soit le contenu, ne constituent que de simples engagements moraux. La récente modification de la charte de données personnelles du site Amazon.com le 31 août dernier est sur ce point exemplaire : celle-ci indique en effet qu’en cas de rachat par une autre société, les données personnelles des clients feront partie de la vente, et seront cédées comme tout autre actif de la société. Cette entreprise n’a donc pas hésité à modifier sa charte de façon unilatérale dans un but plus conforme à ses propres intérêts. De surcroit, cette démarche autodéclarative reste issue un processus d’autorégulation qui, par conséquent, n’est pas encadré par la loi.
D’autre part, on peut douter de la crédibilité des organismes de labellisation de sites de commerce électronique, même si une telle activité est régie par le Code de la consommation, qui règlemente l’activité de certification de produits et de services (loi. Ces dispositions mettent à la charge de l’organisme certificateur un minimum d’obligations légales (déclaration auprès d’une autorité administrative, impartialité, transparence, mention au JO), mais l’efficacité de celles-ci est toute relative.
On rappellera que l’objet de tels organismes est de fixer à l’intention des entreprises adhérentes des règles communes protectrices du consommateur. Si l’existence de tels labels nous semble intéressante, il reste nécessaire que des autorités indépendantes, telles que la CNIL en France, puissent assurer un certain contrôle s’agissant de leur transparence. L’organisme français a d’ailleurs engagé une réflexion avec ses homologues européens sur la création d’un label dit « EUP » (European Union Privacy) et plaide dans son dernier rapport d’activité pour la mise en place européenne d’un mécanisme de contrôle de qualité de ces labels.
Les récents événements relatifs au programme TrustE illustrent parfaitement ce besoin : en août dernier on apprenait que ce programme aurait failli à ses propres règles de conduite en laissant installer des cookies sur son site, sans que les visiteurs en soient informés…
L’actuelle restructuration dans le secteur de la nouvelle économie ne doit pas se faire au détriment de la vie privée des internautes. Comment serait-il d’ailleurs possible d’établir un réel climat de sécurité et de confiance économique sans passer par une moralisation préalable des conduites ?
Plus d’infos en consultant le moteur de recherche sur « données personnelles » ou en consultant notre actualité du 5 juillet 2000.