Avec l'explosion des réseaux sociaux, les internautes laissent de plus en plus de traces sur Internet. Or, il est souvent difficile, voire impossible, de les effacer. Deux sénateurs ont déposé une proposition de loi pour renforcer la protection des données personnelles sur Internet.
Un flot d’informations stockées sur la Toile
Mille milliards. C'est le nombre de pages répertoriées sur Internet aujourd'hui, selon un récent calcul de la société Google. Sites d'information, plate-formes de e-commerce, réseaux sociaux type Facebook ou Myspace, blogs, forums… Pour pouvoir participer à la vie du Web, les internautes laissent – volontairement ou involontairement – de plus en plus de traces sur la Toile. Parmi les données non nominatives, on trouve l'adresse IP, cette suite unique de chiffres qui permet d'identifier chaque ordinateur, les « cookies » de session installés afin de faciliter le « surf », ou les recherches effectuées sur les moteurs de recherche. S'y ajoutent les données strictement personnelles, comme les informations laissées lors de l'inscription à tel ou tel service (nom, âge, sexe, lieu de résidence…)– sans oublier bien sûr les millions de photos, vidéos, commentaires divers postés par les internautes depuis l'explosion des réseaux sociaux. Ces données ne se retrouvent pas innocemment sur la Toile. « Dans un modèle économique du "tout-gratuit", qui repose majoritairement sur le financement par la publicité, les données personnelles sont de l'or pour les sociétés du Web », rappelle Bernard Benhamou, le délégué aux usages de l'Internet au sein du secrétariat d'État à l'économie numérique. En effet, connaître les goûts et habitudes de chaque internaute permet de cibler au mieux les messages publicitaires qu'on lui propose.
Définitions : « cookies » et « adresse IP »
Les protocoles Internet n'ont pas de mémoire. Les « cookies », ces petits fichiers installés dans le navigateur lorsque l'internaute visite un site, servent donc à mémoriser les informations essentielles à une navigation « fluide ». Par exemple, les lieux de départ et de destination lors de la réservation d'un billet de train. Le cookie de personnalisation permet de conserver des informations sur l'utilisateur et de les réutiliser lors de ses futures visites.
Un peu comme le numéro de rue pour une maison, « l'adresse IP » permet de situer géographiquement un ordinateur, afin de lui expédier les informations demandées. Elle facilite également la navigation. Ainsi, avec une adresse située à Paris, France, le moteur de recherche « sait » qu'il doit afficher les pages en langue française.
Un flux difficile à maîtriser
Problème : l'utilisation de ces données se fait souvent à l'insu des internautes. Ainsi, tous ne savent pas que Google scanne automatiquement le contenu de chaque mail envoyé sur son service de messagerie Gmail, afin d'insérer en temps réel des publicités en lien avec les thèmes identifiés. Ou que Facebook cède les informations relatives à ses 300 millions d'inscrits à des milliers de sociétés « partenaires », qui leur proposent en retour des produits ou services nouveaux.
Autre question soulevée : la durée de conservation des données. « Les internautes commencent à réaliser que tout ce qu'ils mettent en ligne risque de rester indéfiniment sur le web », indique Bernard Benhamou. D'autant que les informations publiées sur Internet ont une fâcheuse tendance à faire tâche d'huile, en étant reprises d'un site à l'autre. Or, c'est une chose de « poster » le cliché d'une soirée étudiante très arrosée, c'en est une autre de se voir reprocher des années plus tard son penchant pour la boisson par un recruteur qui aura fait une recherche sur le Web. Même les données supposées anonymes présenteraient un risque. En 2006, AOL a communiqué les historiques de recherche de 600 000 internautes à des chercheurs en sociologie, non sans avoir préalablement effacé les adresses IP de ceux-ci. Des journalistes se sont amusés à faire des recoupements, et le nom des personnes identifiées s'est retrouvé dans des journaux comme le New York Times.
Des règles à (ré)inventer
Sous la pression des internautes, notamment, les acteurs du Net commencent à revoir leur politique par rapport aux données personnelles. Ainsi, Google a ramené à neuf mois, contre dix-huit auparavant, la durée de conservation des « logs » de recherche (mots recherchés, date et heure de la connexion, adresse IP de l'ordinateur). Encore trop pour la Commission européenne qui a fixé à six mois le délai maximum. En France, la Loi informatique et libertés de 1978, largement rénovée en 2004, pose le principe du droit d'accès par les particuliers aux données personnelles détenues par les sites Internet. Elle l'assortit d'un droit de rectification et d'opposition, bien difficile à exercer en pratique.
Deux sénateurs, Yves Détraigne et Anne-Marie Escoffier, veulent aller plus loin. Ils ont déposé le 10 novembre une proposition de loi qui, pour la première fois, énonce le « droit à l'oubli numérique », c'est-à-dire la possibilité pour chaque internaute de faire disparaître de la Toile, facilement et à tout moment, des informations le concernant. « Un principe essentiel » pour Alex Türk, le président de la Commission informatique et libertés (Cnil), qui rappelle néanmoins les limites d'une législation nationale : « Les grandes sociétés du Net étant américaines, les règles du jeu ne marcheront que lorsqu'elles seront adoptées à l'échelle de la planète. » « Attention au risque de censure », alerte de son côté Peter Fleischer, responsable de la protection des données pour Google Europe.
« Suicide » virtuel en ligne
Deux sites proposent d'aider les internautes qui ne veulent plus de leur double virtuel à le supprimer facilement : « Web 2.0 suicide machine » et « Seppukoo ». Cependant, Facebook n'apprécie pas ces méthodes et vient de prendre des dispositions, en ce début 2010, pour bloquer leur mode d'action, estimant qu'ils constituent une violation des règles du site.
Trois questions à Alex Türk
Qu'est-ce que le droit à l'oubli numérique ?
« C'est un principe destiné à préserver la liberté d'expression sur Internet. C'est le droit de pouvoir dire des choses à 20 ans, et ne pas se les voir opposer toute sa vie. Tout être humain devrait avoir la possibilité d'évoluer et de se contredire. »
Un tel principe est-il vraiment applicable ?
« La loi seule ne suffira pas à le garantir. Avant tout, c'est la technologie qui doit résoudre les problèmes de la technologie. Pour cela, les acteurs du Net doivent être moteurs en créant des systèmes plus respectueux de la vie privée. La pédagogie joue également un rôle essentiel, notamment en éduquant les jeunes à l'utilisation de ces nouveaux outils. »
Que répondez-vous à ceux qui voient de la censure derrière ce projet de loi ?
« On ne parle ici que de données privées. Il ne s'agit pas de supprimer de la Toile des faits de société ou des informations concernant des personnalités publiques, par exemple. »
Deux questions à Peter Fleischer
Que pensez-vous de ce droit à l'oubli numérique ?
« Je ne crois pas qu'on puisse créer un "droit à l'oubli" sans ouvrir la porte à la censure. En Allemagne, deux criminels qui ont purgé une peine de dix ans, demandent à ce qu'un article de Wikipédia relatif à leur affaire soit supprimé. Cela pose un vrai problème, selon moi. Il faut accepter le fait que la société de l'information dans laquelle nous vivons a des bons et des mauvais côtés. »
Un tel droit est-il applicable techniquement ?
« C'est hypercompliqué. D'autant qu'il y a une vraie confusion sur qui fait quoi. Sur l'Internet, il y a les moteurs de recherche, les fournisseurs de services authentifiés (comme Yahoo mail ou Google maps), les réseaux sociaux, les sites de contenus… et chacun ne peut agir que dans son domaine. En tant que moteur de recherche, par exemple, nous mettons de l'information à disposition du public, mais nous n'avons pas la possibilité de supprimer les informations publiées par tel ou tel site. »
La technologie au secours
La protection de la vie privée ne peut pas reposer sur la seule bonne volonté des opérateurs, ni sur la législation qui aura toujours un temps de retard. C'est pourquoi la recherche planche sur des outils techniques qui permettront de remettre les internautes au cœur du système. Pour régler définitivement la question de la durée de conservation des données, les chercheurs sont en train d'imaginer des fichiers auxquels serait associée une date de péremption, au-delà de laquelle ils ne seraient plus utilisables. Autre voie explorée : la possibilité de mettre ses données personnelles, photos, vidéos, sur un serveur qui en autoriserait la lecture, mais pas le chargement. Un peu comme le streaming a remplacé le téléchargement de fichiers musicaux. Libre à l'internaute de retirer ses informations à tout moment. Mais ce que les experts appellent de leurs vœux, c'est un vrai renversement de perspective. « Il faut construire des architectures informatiques qui prendront en compte le besoin de protection des données dès la phase de conception – ce que l'on appelle le "privacy by design" », préconise Daniel Le Métayer, directeur de recherche à l'Institut national de recherche en informatique et automatique (Inria).
Le « privacy by design »
La compartimentation des données est l'une des clefs du « privacy by design ». Il s'agit de faire en sorte que chaque acteur n'ait que les informations strictement nécessaires à l'exécution de sa tâche. Si un internaute fait appel à un service mobile sur son téléphone, l'opérateur de télécommunication connaîtra sa position GPS, mais pas le contenu de sa requête, qui sera transféré directement au serveur qui fournit le service. De la même façon, ce dernier n'aura pas accès à l'identité de l'internaute ayant formulé la demande. Et ainsi de suite.
En attendant, des règles simples permettent de limiter son exposition sur le Web : effacer régulièrement les cookies de son ordinateur, bien réfléchir avant de mettre en ligne une information et paramétrer tous ses comptes sur les réseaux sociaux. Pour avoir omis de cocher la case « privé » sur son profil Facebook, lors du changement des règles de confidentialité du site mi-décembre, Mark Zuckerberg, le jeune PDG de la société, a vu 300 de ses photos personnelles tomber dans le domaine public. L'arroseur arrosé…