Rencontres Cnil : Comment protéger la vie privée ?
Les outils de protection de la vie privée viennent combler la brèche laissée ouverte par les nouvelles technologies. Mais est-ce bien au marché de remplir ce rôle, quitte à se substituer au droit ? Les créateurs de standards ne devraient-ils prendre plus en considération ces questions et les éditeurs les adopter ? Chacun apporte sa contribution au débat.
On a vu petit à petit apparaître des outils permettant de préserver sa vie privée : surf anonyme, cryptage, gestion des cookies, etc. (voir notamment nos éditions du 8 août et du 14 septembre 2001). La rencontre intitulée « Les technologies pour la protection de la vie privée », dans le cadre de la 23e conférence internationale des commissaires à la vie privée organisée à Paris par la Cnil, cherche à apporter des éléments de réponse à la question suivante : « Les technologies de la vie privée peuvent-elles utilement contribuer à la mise en oeuvre des législations de protection, voire s’y substituer ? » Présidant la table ronde, Joël Reidenberg, professeur de droit à l’université Fordham aux Etats-Unis, a livré une contribution dans laquelle il souligne « l’interdépendance du droit, de la technologie et de l’autorégulation ». « La réglementation juridique partage le pouvoir régulateur avec les normes et protocoles technologiques », note-t-il. Pour le traitement des informations personnelles, la réglementation la plus directe du traitement de l’information vient plutôt des règles technologiques incorporées dans les infrastructures des réseaux par les acteurs économiques que de la loi elle-même. »
Le premier intervenant est informaticien expert auprès de la Commission belge de la protection de la vie privée et enseigne à l’université de Namur. Jean-Marc Dinant souligne rapidement qu’« actuellement en Europe, la production et l’exportation ou l’importation de matériels, logiciels ou protocoles Internet ne sont pas soumises, en tant que tel, à une réglementation légale ». Il s’est penché de près sur ce qu’il nomme les « aspects ‘privacides’ de la technologie Internet ». Afin d’illustrer son propos, il s’intéresse aux bannières publicitaires. Une bannière ne provient pas du site visité, « mais d’un site tiers », surtout « avec elle arrive un GUID [numéro d’identification] unique au monde », souligne-t-il. Au moyen d’un serveur proxy, Jean-Marc Dinant démontre que le site qui envoie la bannière est renseigné « sur la marque et la version du navigateur, l’OS de l’ordinateur, et même le titre de la page sur laquelle va s’afficher la publicité ». S’il faut une permission pour la première bannière afin d’installer un cookie, « la seconde en placera directement un » souligne-t-il, en précisant qu’il sera « valable jusque 2035 ! » Le même internaute qui effectuera une requête sur un moteur de recherche verra s’afficher une bannière en rapport avec sa demande. « La technologie fait le lien » explique-t-il.
L’industrie de la gratuité montrée du doigt
Dès lors, Jean-Marc Dinant pose « une question naïve » : « Les ingénieurs qui ont normalisé HTTP [le protocole utilisé sur Internet] n’auraient-ils pas pu réfléchir ? » Sa réponse est catégorique : « Ils l’ont fait et pas qu’un peu. » Pour preuve, « la protection de la vie privée est évoquée 18 fois en 150 pages. » Quel est alors le problème ? « Aucune protection n’a été implémentée par l’industrie informatique », accuse l’informaticien qui considère par ailleurs qu’il est faux de raisonner en se disant que « les fabricants de logiciels auraient pu avoir plus de respect pour leurs clients ». En effet, « le problème, c’est que ce ne sont pas des clients car les logiciels comme les navigateurs sont gratuits ». Or, la loi considère « ceux qui sont responsables du traitement et pas ceux qui conçoivent la technologie », explique-t-il. Et Jean-Marc Dinant de pointer du doigt « les cartes réseau Ethernet dotées d’un GUID » avant de souligner que Microsoft a renoncé à un numéro d’identification unique dans Word ou Intel dans son Pentium III (voir édition du 26 janvier 1999). « IPV6 propose que ce numéro soit implémenté dans l’adresse TCP-IP », met-il en garde. « Chaque internaute aura un cookie exposant 1 000, un numéro de série unique au monde lié à son hardware. » En guise de conclusion, l’expert auprès de la Commission belge de la protection de la vie privée insiste sur le fait que « sur Internet, les données sortantes, le résultat du traitement, restent invisibles ».
Les lents progrès du projet P3P
Vient le tour de Richard Purcell, chargé de la division vie privée au sein de Microsoft et très impliqué dans le projet P3P du W3C (voir édition du 22 juin 2000). L’idée du P3P est de définir « un vocabulaire commun entre les sites », explique-t-il, qui permette d’« autoriser ou de refuser sélectivement les cookies« (voir édition du 14 aoput 2001). « La politique de gestion des données personnelles doit être consultée par les utilisateurs », réclame Richard Purcell qui explique ensuite que « des recommandations et une première version ont été publiés en décembre 2000 ». Conscient des critiques formulées à l’encontre du groupe s’occupant du P3P auquel on reproche sa lenteur, il admet que « c’est un projet qui a six ans, ce qui est très, très long pour le Web », tout en annonçant la sortie « le mois prochain » d’une « boîte à outils P3P ». Il regrette que ce soient avant tout des Américains qui y soient impliqués, ce qui crée « une dépendance vis-à-vis de la langue anglaise. »La Cnil, organisme de conseil uniquement
Dernier intervenant : Marie Georges, chef de la division « Affaires européennes, internationales et prospective » de la Cnil. « Juste retour des choses, les technologies de l’information et de la communication seraient en train de devenir un instrument de protection », se félicite-t-elle, avec un brin d’inquiétude tout de même. D’une part, « les acteurs majeurs d’Internet ne vont peut-être pas offrir des produits très propres, la preuve : certains viennent combler les trous ». D’autre part, il s’agit d’une « approche difficile pour les internautes » quand on considère qu’« il n’existe pas une solution complète ». Enfin, estime Marie Georges, « on ne peut peut-être pas laisser la vie privée au marché ». Et d’insister : « Internet constitue une rupture. Nous rentrons dans le monde des traces. L’enjeu majeur est de savoir combien de temps les opérateurs vont conserver les données. » Elle défend le P3P qu’elle trouve « tout à fait passionnant » mais regrette que « les principes de base de la protection des données ne soient pas encore bien posés ». En soulignant « un problème de culture dans les milieux techniciens », elle fait le parallèle avec l’environnement et les « produits propres à l’emploi ». « L’autorité de protection ne possède aucun pouvoir particulier », constate Marie Georges, « sauf d’identifier les problèmes et les manques, d’informer et de donner des conseils ».