Commerce électronique et la protection des données

Le Préposé fédéral à la protection des données et à la transparence
Protection des données et e-commerce:
Aide à la mise en pratique et propositions présentées par le préposé fédéral
à la protection des données
Le commerce électronique – e-commerce – permet d'échanger des marchandises
et des services dans le monde entier. Cette nouvelle forme de commerce a de
beaux jours devant elle. Les analystes prévoient en effet pour l'année 2002 des
chiffres d'affaires de l'ordre de 500 milliards USD. Si les problèmes techniques
semblent solubles, le commerce électronique en soi éveille une certaine méfiance,
notamment en matière de sécurité juridique.
Le monde du commerce ordinaire obéit à des règles, qui, par leur simple
existence, assurent à tous les "joueurs" une certaine transparence et surtout la
sécurité juridique. Les droits fondent la sécurité et celle-ci suscite un sentiment de
confiance. La confiance repose donc sur des règles de jeu strictes. Qu'en est-il, de
ce point de vue, du commerce effectué sur le Net? Pour garantir que les données
ne seront pas exploitées à mauvais escient sur le réseau et que les contestations
juridiques pourront être réglées aussi efficacement que dans les transactions
commerciales traditionnelles, il faut impérativement procéder à des
aménagements juridiques et techniques.
Les transactions commerciales dans le monde réel sont effectuées par des clients
au profil relativement flou. Nul n'aurait envie de remplir un questionnaire à chaque
fois qu'il se rend dans un grand magasin. La saisie et la transmission de données
se limitent en général à un cercle limité de personnes et dans un environnement
local. Au contraire, le e-commerce repose entièrement sur des données. Le
moindre achat laisse des indications sur l'acquéreur, ses besoins, sa situation
financière. D'où l'importance de protéger ces données.
Afin de protéger les données personnelles et, partant, de renforcer la
confiance des utilisateurs dans le e-commerce, le préposé fédéral à la
protection des données fait une série de propositions de concrétisation et
de mise en œuvre pratique pour permettre aux entreprises d'appliquer une
politique de traitement des données bénéfique au client, transparente et
conforme à la législation.
Feldeggweg 1, 3003 Berne
tél. 058 463 74 84, fax 058 465 99 96
www.edoeb.admin.ch
Exigences minimales en matière de protection de la sphère privée dans le
contexte du commerce électronique
-
-
-
-
-
-
Les dispositions sur la protection de la sphère privée inscrites dans la loi sur la
protection des données (LPD) peuvent conforter le consommateur dans le
sentiment qu'il peut faire confiance à l'offre de services du commerce électronique.
La loi suisse sur la protection des données présente des solutions souples en
matière de traitement de données personnelles par des particuliers (art. 4 et 13
LPD) et elle est rédigée de manière technologiquement neutre. La modifier ne
s'impose donc pas dans l'immédiat.
A elles seules, des dispositions légales ne suffisent pourtant pas à protéger la
sphère privée de ceux qui pratiquent le commerce électronique. Ils doivent donc
être informés des risques et sensibilisés à la question.
A moyen terme, la sensibilisation passera par des mesures de formation
permanente des utilisateurs.
Pour affermir la confiance des utilisateurs dans le commerce électronique, les
fournisseurs de services doivent (comme cela découle de la LPD) traiter de façon
transparente les données des clients. Ils doivent dire clairement à ces derniers
quelles données personnelles ils souhaiteraient utiliser et à quelles fins. Si ces
données personnelles faisant l'objet d'un rapport contractuel doivent être utilisées
pour d'autres motifs (études de marché, publicité, par ex.), il faut que les
utilisateurs aient diverses possibilités de choix.
Les procédés de cryptage et d'authentification, les autres "technologies de la vie
privée" (PET) permettant par exemple de respecter l'anonymat sont autant de
technologies propres à assurer la sécurité des données. Elles doivent donc être
utilisées dans le commerce électronique et mises à la disposition des utilisateurs.
Nul doute que la protection de la sphère privée et plus particulièrement le
traitement transparent des données soient à même de rassurer les utilisateurs et
de leur donner confiance dans le commerce électronique. Les entreprises suisses
pourraient s'en prévaloir comme d'un avantage concurrentiel.
2/6
Développement du commerce électronique: les éléments-clés
-
-
-
-
-
-
-
-
L'e-commerce se fait "d'homme à homme" (”one-to-one-bussiness”), c'est-à-dire
qu'il repose exclusivement sur le contact personnel. Si le consommateur, un peu
méfiant, est submergé sans préavis de publicité et d'informations, il y a fort à
parier qu'il adoptera une attitude défensive. Beaucoup d'entreprises établissent
déjà des banques de données contenant des données personnelles pour
personnaliser leur offre. Si les personnes concernées n'en sont pas informées
comme il se doit, la confiance des consommateurs diminuera encore d'un cran.
Les autorités ont un rôle-clé à jouer au moment de délimiter le cadre dans lequel
se pratiquera l'e-commerce, et ce faisant, elles doivent faire figurer la protection de
la sphère privée en tête de leurs priorités.
Si l'on veut le succès à long terme du commerce électronique, il faut, pour
stabiliser le marché, résoudre à la satisfaction des intéressés le problème de la
protection de la sphère privée. Se pose alors une question essentielle: quel est le
for où faire valoir des droits? Aux Etats-Unis, c'est celui du domicile du fournisseur
qui est applicable. Mais ce devrait être celui du consommateur, si on veut gagner
celui-ci à la cause du commerce électronique et lui donner confiance dans la
palette des services qu'il offre.
Au plan international, il convient de mettre l'accent sur les thèmes suivants:
Il faut appliquer des mesures suscitant la confiance (protéger la sphère privée
notamment).
Les réglementations et codes de conduite étatiques doivent être harmonisés, et
les solutions technologiques comme les signatures digitales, ou les technologies
préservant la vie privée (privacy enhancing technologies, PET) doivent être
compatibles et reconnues au plan international.
L'OCDE doit contribuer à concrétiser les points susmentionnés par un dialogue
avec tous les intéressés (économie, autorités, consommateurs, autres
organisations internationales).
En Suisse, l'accent doit porter sur les points suivants:
Les représentants de la Suisse dans des cercles internationaux sont invités à
soutenir à chaque occasion les mesures visant à augmenter la confiance des
consommateurs dans le commerce électronique.
Au choix entre des règles étatiques et des codes de conduite, il y a lieu de
préférer un mélange des deux. Les codes de conduite doivent cependant protéger
les consommateurs au moins aussi efficacement que des règles étatiques. Si les
codes de conduite devaient ne pas atteindre le degré d'efficacité requis, ce serait
à l'Etat d'édicter des règles pour protéger le consommateur.
Déjà mis au point, le plan d'action relatif à l'e-commerce doit être réalisé
rapidement. Les mesures propres à instaurer la confiance (formation, information,
protection de la sphère privée) répondent à un besoin prioritaire du public.
3/6
Configuration d'un site Web conforme aux règles de protection des données
et avantages qui en découlent
Nous recommandons aux exploitants d'un site Web de pratiquer une politique de
protection de la personne, d'une part afin de satisfaire aux exigences légales
(transparence, information, possibilités de choix, sécurité, consentement des
intéressés), d'autre part afin de se gagner la confiance de leurs clients actuels
comme de futurs utilisateurs.
-
-
-
-
Il faudrait notamment prendre les dispositions suivantes:
Placer de manière bien visible les informations concernant la législation sur la
protection des données à laquelle l'offre en question est soumise. Expliquer en
outre, dans un langage simple et clair, la méthode de protection des données
appliquée sur le site Web. Préciser notamment quelles données sont saisies ou
utilisées, et à quelles fins.
Donner à l'utilisateur le droit de limiter l'usage qui est fait des données le
concernant (par ex. dresser des profils de consommation) et leur transmission (à
des fins publicitaires, par ex.).
Prendre les mesures de sécurité adéquates, en fonction de l'objectif auquel
doivent servir les données, concernant leur exactitude, leur intégralité, leur
actualité (par ex. méthodes de cryptage et d'authentification).
Faire référence enfin à la manière de faire valoir ses droits.
Certains traitements des données d'utilisateurs de l'internet peuvent contrevenir
aux dispositions sur la protection des données.
Il faudrait donc s'abstenir de saisir des données personnelles, de les transmettre
ou de les rendre accessibles à des tiers, à l'insu des utilisateurs.
Conseils quant à l'élaboration d'une déclaration sur le traitement des
données liées à des services fournis par l'internet
Cette déclaration sert à informer les utilisateurs d'un site Web des méthodes
utilisées par le fournisseur des services pour protéger leur sphère privée. C'est un
point à ne pas négliger si l'on veut gagner la confiance des utilisateurs. Il va de soi
que cette déclaration a la précision requise, sans quoi l'utilisateur n'est pas en
situation de décider librement si et jusqu'à quel point il autorise le traitement de
ses données personnelles.
Nous recommandons aux entreprises suisses offrant des services par
l'intermédiaire de l'internet de pratiquer une politique de traitement des données
transparente, de se doter d'une telle déclaration et de l'afficher sur leur site Web.
Mais avant de rédiger cette déclaration sur le traitement des données, il faut
d'abord étudier les besoins de l'entreprise, analyser les méthodes de protection
des données et donner des directives claires sur l'utilisation des données
4/6
personnelles. La déclaration sur le traitement des données doit bien sûr concorder
avec la loi sur la protection des données et avec le traitement effectivement
réservé aux données.
-
Nous suggérons de ne rédiger la déclaration sur le traitement des données
qu'après avoir répondu au moins aux questions suivantes:
Comment et auprès de qui (sources internes, externes) seront collectées les
données?
A quelles fins les données personnelles sont-elles collectées?
A quelles fins sont-elles utilisées?
Qui est responsable de les contrôler?
Comment et où les données personnelles sont-elles enregistrées?
Dans quel but les données personnelles sont-elles échangées avec des tiers?
Existe-t-il déjà des directives ou des prescriptions concernant la collecte, le
traitement et la transmission de ces données?
Est-il déjà possible d'avoir accès aux données et de les faire corriger?
La déclaration devrait éclairer les utilisateurs au moins sur les points suivants:
Les dispositions juridiques auxquelles obéit la méthode de traitement des données
utilisée par le fournisseur.
Les données personnelles collectées et le but de la collecte.
Les données transmises à des tiers et le but du transfert.
Les possibilités offertes à l'utilisateur quant au traitement de ses données.
Les droits de l'utilisateur (droit d'accès aux données et droit de rectification).
Le service qui répond aux questions concernant le traitement de données
personnelles.
Les mesures prises pour assurer la sécurité des données personnelles.
Enfin, la déclaration doit figurer sur le site Web de manière à être facilement
accessible à l'utilisateur.
5/6
Réalité de la protection de la sphère privée grâce aux modèles d'autoréglementation
Le principal critère qui permet d'évaluer les règles de conduite visant à protéger la
sphère privée est leur applicabilité. Pour en juger, on peut retenir le pourcentage
des membres d'une association qui respectent ces règles et les sanctions qu'ils
encourent s'ils les transgressent. Il faut aussi que ces règles de comportement
soient transparentes, ce qui signifie qu'elles doivent être rédigées dans une langue
simple, que chacun peut comprendre.
Idéalement, il faudrait que le respect des règles de comportement soit une
condition préalable à l'entrée dans l'association économique qui les édicte. Le
respect des règles devrait être vérifié par des contrôles externes, leur violation,
sanctionnée. Il est très important enfin que les personnes concernées ne soient
pas abandonnées à elles-mêmes, mais sachent à qui s'adresser pour obtenir aide
et soutien. Cela mis à part, les règles de conduite en matière de protection de
données doivent être sous-tendues au moins par les principes suivants:
- Les personnes concernées ont droit à une information claire sur le genre des
données saisies, sur les objectifs que vise leur utilisation, sur les destinataires et
les possibilités qu'il y a de choisir d'en limiter l'utilisation et la transmission.
- Il importe de garantir aux personnes concernées les droits d'accès aux données et
de rectification de celles-ci, ainsi que la mise en place de mesures assurant la
sécurité de leur traitement.
- Il doit exister une possibilité de recours auprès d'une instance indépendante.
Critères garantissant la protection de la sphère privée par le biais de règles
de conduite
-
Les règles de bonne conduite peuvent servir à créer la confiance. Par rapport aux
lois, elles ne constituent pas néanmoins une solution alternative, mais bien plutôt
un complément.
Il faut veiller à ce que les règles de conduite comprennent au moins les éléments
suivants:
Une information claire et compréhensible, notamment sur la manière de traiter les
données personnelles.
Le choix du traitement des données qui le concernent mis à la disposition de
l'utilisateur.
Des mécanismes effectifs d'application du droit.
La création de critères unifiés permettant la reconnaissance des règles de
conduite (critères internationaux).
La nécessaire association tant des autorités que de l'économie privée au
processus de reconnaissance des règles.
Quant au contenu, il s'agit de donner des informations sur le traitement et la
fourniture des données, le dédommagement et la juridiction en cas de litige.
État: mars 2012
6/6