Je me faisais la réflexion dernièrement que le débat sur l’opt-in vs opt-out ou le consentement préalable contre le refus à posteriori avait sacrément dérapé vu les méthodes de Microsoft employées pour récolter vos données sur toutes les version Windows (7 à 10) sans explications réelles, et sans que vous puissiez complètement désactiver cette récolte. Ou encore comment se fait il que, par défaut et avec une publicité quasi nulle, les téléphones sur Android envoient en permanence toutes vos données (position, mails, recherches, carnet de contact, historique d’appel, etc…) à Google. Ou encore comment la mise en place de mises à jour récurrentes du service (Facebook, Windows, etc…) rend le refus temporaire… puisqu’à la prochaine mise à jour, les réglages par défaut peuvent changer et votre refus ignoré (coucou l’outil de migration à Windows 10, ou bien l’élargissement des données publiques des profils Facebook), Ou encore les applications qui d’apparence gratuites se donnent le droit implicite de récolter vos données sans votre consentement ni possible refus (beaucoup d’applications sur Android par exemple)
Pour rappel, le débat sur l’opt-in/opt-out avait permit de renforcer la position de spammé envers les spammeurs légaux (la publicité légale en clair) puisque ceux-ci doivent maintenant recueillir l’accord explicite des destinataires avant de les spammer. Regardons de plus près ce que dit la loi à travers l’article L34-5 du code des postes et des communications électroniques :
Est interdite la prospection directe au moyen de système automatisé de communications électroniques au sens du 6° de l’article L. 32, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen.
Pour l’application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe.
Constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services. Pour l’application du présent article, les appels et messages ayant pour objet d’inciter l’utilisateur ou l’abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé relèvent également de la prospection directe.
Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées au moment où elles sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé au cas où il n’aurait pas refusé d’emblée une telle exploitation.
Dans tous les cas, il est interdit d’émettre, à des fins de prospection directe, des messages au moyen de système automatisé de communications électroniques au sens du 6° de l’article L. 32, télécopieurs et courriers électroniques, sans indiquer de coordonnées valables auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci. Il est également interdit de dissimuler l’identité de la personne pour le compte de laquelle la communication est émise et de mentionner un objet sans rapport avec la prestation ou le service proposé.
La Commission nationale de l’informatique et des libertés veille, pour ce qui concerne la prospection directe utilisant les coordonnées d’un abonné ou d’une personne physique, au respect des dispositions du présent article en utilisant les compétences qui lui sont reconnues par la loi n° 78-17 du 6 janvier 1978 précitée. A cette fin, elle peut notamment recevoir, par tous moyens, les plaintes relatives aux manquements aux dispositions du présent article.
Les manquements aux dispositions du présent article sont recherchés et constatés par les agents mentionnés aux articles L. 511-3 et L. 511-21 du code de la consommation, dans les conditions prévues à l’article L. 511-5 du même code.
Sous réserve qu’il n’ait pas été fait application de l’article L. 36-11 et en vue d’assurer la protection du consommateur, les manquements au présent article sont sanctionnés par une amende administrative, prononcée par l’autorité administrative chargée de la concurrence et de la consommation dans les conditions prévues au chapitre II du titre II du livre V du code de la consommation, dont le montant ne peut excéder 3 000 € pour une personne physique et 15 000 € pour une personne morale.
Lorsque l’autorité mentionnée au huitième alinéa du présent article a prononcé une amende administrative en application du même présent article, l’autorité mentionnée à l’article L. 36-11 veille, si elle prononce à son tour une sanction, à ce que le montant global des sanctions prononcées contre la même personne à raison des mêmes faits n’excède pas le maximum légal le plus élevé.
Un décret en Conseil d’Etat précise en tant que de besoin les conditions d’application du présent article, notamment eu égard aux différentes technologies utilisées.
Alors tout ça, c’est cool. Ca a l’air d’être assez respecté par les entreprises de spam « légales » ayant pignon sur rue. Mais c’est limité à la prospection directe. J’aimerai bien que l’article soit étendu à la récolte d’information personnelles à but marketing. Ce ne sont que quelques mots à ajouter dans la loi, mais ça mettrait le bazar dans le business de Google et Microsoft, puisque qu’enfin :
- l’utilisateur pourrait refuser de manière simple avant usage tout les tracking
- l’utilisateur serait informé de l’ensemble de tracking dont il fait objet.
On paie un téléphone. On paie Windows 10. Il n’y a pas de raison de donner nos données gratuitement.
Si vous connaissez un député intéressé pour proposer cela…