Commerce électronique et la protection des données
Transcription
Commerce électronique et la protection des données
Le Préposé fédéral à la protection des données et à la transparence Protection des données et e-commerce: Aide à la mise en pratique et propositions présentées par le préposé fédéral à la protection des données Le commerce électronique – e-commerce – permet d'échanger des marchandises et des services dans le monde entier. Cette nouvelle forme de commerce a de beaux jours devant elle. Les analystes prévoient en effet pour l'année 2002 des chiffres d'affaires de l'ordre de 500 milliards USD. Si les problèmes techniques semblent solubles, le commerce électronique en soi éveille une certaine méfiance, notamment en matière de sécurité juridique. Le monde du commerce ordinaire obéit à des règles, qui, par leur simple existence, assurent à tous les "joueurs" une certaine transparence et surtout la sécurité juridique. Les droits fondent la sécurité et celle-ci suscite un sentiment de confiance. La confiance repose donc sur des règles de jeu strictes. Qu'en est-il, de ce point de vue, du commerce effectué sur le Net? Pour garantir que les données ne seront pas exploitées à mauvais escient sur le réseau et que les contestations juridiques pourront être réglées aussi efficacement que dans les transactions commerciales traditionnelles, il faut impérativement procéder à des aménagements juridiques et techniques. Les transactions commerciales dans le monde réel sont effectuées par des clients au profil relativement flou. Nul n'aurait envie de remplir un questionnaire à chaque fois qu'il se rend dans un grand magasin. La saisie et la transmission de données se limitent en général à un cercle limité de personnes et dans un environnement local. Au contraire, le e-commerce repose entièrement sur des données. Le moindre achat laisse des indications sur l'acquéreur, ses besoins, sa situation financière. D'où l'importance de protéger ces données. Afin de protéger les données personnelles et, partant, de renforcer la confiance des utilisateurs dans le e-commerce, le préposé fédéral à la protection des données fait une série de propositions de concrétisation et de mise en œuvre pratique pour permettre aux entreprises d'appliquer une politique de traitement des données bénéfique au client, transparente et conforme à la législation. Feldeggweg 1, 3003 Berne tél. 058 463 74 84, fax 058 465 99 96 www.edoeb.admin.ch Exigences minimales en matière de protection de la sphère privée dans le contexte du commerce électronique - - - - - - Les dispositions sur la protection de la sphère privée inscrites dans la loi sur la protection des données (LPD) peuvent conforter le consommateur dans le sentiment qu'il peut faire confiance à l'offre de services du commerce électronique. La loi suisse sur la protection des données présente des solutions souples en matière de traitement de données personnelles par des particuliers (art. 4 et 13 LPD) et elle est rédigée de manière technologiquement neutre. La modifier ne s'impose donc pas dans l'immédiat. A elles seules, des dispositions légales ne suffisent pourtant pas à protéger la sphère privée de ceux qui pratiquent le commerce électronique. Ils doivent donc être informés des risques et sensibilisés à la question. A moyen terme, la sensibilisation passera par des mesures de formation permanente des utilisateurs. Pour affermir la confiance des utilisateurs dans le commerce électronique, les fournisseurs de services doivent (comme cela découle de la LPD) traiter de façon transparente les données des clients. Ils doivent dire clairement à ces derniers quelles données personnelles ils souhaiteraient utiliser et à quelles fins. Si ces données personnelles faisant l'objet d'un rapport contractuel doivent être utilisées pour d'autres motifs (études de marché, publicité, par ex.), il faut que les utilisateurs aient diverses possibilités de choix. Les procédés de cryptage et d'authentification, les autres "technologies de la vie privée" (PET) permettant par exemple de respecter l'anonymat sont autant de technologies propres à assurer la sécurité des données. Elles doivent donc être utilisées dans le commerce électronique et mises à la disposition des utilisateurs. Nul doute que la protection de la sphère privée et plus particulièrement le traitement transparent des données soient à même de rassurer les utilisateurs et de leur donner confiance dans le commerce électronique. Les entreprises suisses pourraient s'en prévaloir comme d'un avantage concurrentiel. 2/6 Développement du commerce électronique: les éléments-clés - - - - - - - - L'e-commerce se fait "d'homme à homme" (”one-to-one-bussiness”), c'est-à-dire qu'il repose exclusivement sur le contact personnel. Si le consommateur, un peu méfiant, est submergé sans préavis de publicité et d'informations, il y a fort à parier qu'il adoptera une attitude défensive. Beaucoup d'entreprises établissent déjà des banques de données contenant des données personnelles pour personnaliser leur offre. Si les personnes concernées n'en sont pas informées comme il se doit, la confiance des consommateurs diminuera encore d'un cran. Les autorités ont un rôle-clé à jouer au moment de délimiter le cadre dans lequel se pratiquera l'e-commerce, et ce faisant, elles doivent faire figurer la protection de la sphère privée en tête de leurs priorités. Si l'on veut le succès à long terme du commerce électronique, il faut, pour stabiliser le marché, résoudre à la satisfaction des intéressés le problème de la protection de la sphère privée. Se pose alors une question essentielle: quel est le for où faire valoir des droits? Aux Etats-Unis, c'est celui du domicile du fournisseur qui est applicable. Mais ce devrait être celui du consommateur, si on veut gagner celui-ci à la cause du commerce électronique et lui donner confiance dans la palette des services qu'il offre. Au plan international, il convient de mettre l'accent sur les thèmes suivants: Il faut appliquer des mesures suscitant la confiance (protéger la sphère privée notamment). Les réglementations et codes de conduite étatiques doivent être harmonisés, et les solutions technologiques comme les signatures digitales, ou les technologies préservant la vie privée (privacy enhancing technologies, PET) doivent être compatibles et reconnues au plan international. L'OCDE doit contribuer à concrétiser les points susmentionnés par un dialogue avec tous les intéressés (économie, autorités, consommateurs, autres organisations internationales). En Suisse, l'accent doit porter sur les points suivants: Les représentants de la Suisse dans des cercles internationaux sont invités à soutenir à chaque occasion les mesures visant à augmenter la confiance des consommateurs dans le commerce électronique. Au choix entre des règles étatiques et des codes de conduite, il y a lieu de préférer un mélange des deux. Les codes de conduite doivent cependant protéger les consommateurs au moins aussi efficacement que des règles étatiques. Si les codes de conduite devaient ne pas atteindre le degré d'efficacité requis, ce serait à l'Etat d'édicter des règles pour protéger le consommateur. Déjà mis au point, le plan d'action relatif à l'e-commerce doit être réalisé rapidement. Les mesures propres à instaurer la confiance (formation, information, protection de la sphère privée) répondent à un besoin prioritaire du public. 3/6 Configuration d'un site Web conforme aux règles de protection des données et avantages qui en découlent Nous recommandons aux exploitants d'un site Web de pratiquer une politique de protection de la personne, d'une part afin de satisfaire aux exigences légales (transparence, information, possibilités de choix, sécurité, consentement des intéressés), d'autre part afin de se gagner la confiance de leurs clients actuels comme de futurs utilisateurs. - - - - Il faudrait notamment prendre les dispositions suivantes: Placer de manière bien visible les informations concernant la législation sur la protection des données à laquelle l'offre en question est soumise. Expliquer en outre, dans un langage simple et clair, la méthode de protection des données appliquée sur le site Web. Préciser notamment quelles données sont saisies ou utilisées, et à quelles fins. Donner à l'utilisateur le droit de limiter l'usage qui est fait des données le concernant (par ex. dresser des profils de consommation) et leur transmission (à des fins publicitaires, par ex.). Prendre les mesures de sécurité adéquates, en fonction de l'objectif auquel doivent servir les données, concernant leur exactitude, leur intégralité, leur actualité (par ex. méthodes de cryptage et d'authentification). Faire référence enfin à la manière de faire valoir ses droits. Certains traitements des données d'utilisateurs de l'internet peuvent contrevenir aux dispositions sur la protection des données. Il faudrait donc s'abstenir de saisir des données personnelles, de les transmettre ou de les rendre accessibles à des tiers, à l'insu des utilisateurs. Conseils quant à l'élaboration d'une déclaration sur le traitement des données liées à des services fournis par l'internet Cette déclaration sert à informer les utilisateurs d'un site Web des méthodes utilisées par le fournisseur des services pour protéger leur sphère privée. C'est un point à ne pas négliger si l'on veut gagner la confiance des utilisateurs. Il va de soi que cette déclaration a la précision requise, sans quoi l'utilisateur n'est pas en situation de décider librement si et jusqu'à quel point il autorise le traitement de ses données personnelles. Nous recommandons aux entreprises suisses offrant des services par l'intermédiaire de l'internet de pratiquer une politique de traitement des données transparente, de se doter d'une telle déclaration et de l'afficher sur leur site Web. Mais avant de rédiger cette déclaration sur le traitement des données, il faut d'abord étudier les besoins de l'entreprise, analyser les méthodes de protection des données et donner des directives claires sur l'utilisation des données 4/6 personnelles. La déclaration sur le traitement des données doit bien sûr concorder avec la loi sur la protection des données et avec le traitement effectivement réservé aux données. - Nous suggérons de ne rédiger la déclaration sur le traitement des données qu'après avoir répondu au moins aux questions suivantes: Comment et auprès de qui (sources internes, externes) seront collectées les données? A quelles fins les données personnelles sont-elles collectées? A quelles fins sont-elles utilisées? Qui est responsable de les contrôler? Comment et où les données personnelles sont-elles enregistrées? Dans quel but les données personnelles sont-elles échangées avec des tiers? Existe-t-il déjà des directives ou des prescriptions concernant la collecte, le traitement et la transmission de ces données? Est-il déjà possible d'avoir accès aux données et de les faire corriger? La déclaration devrait éclairer les utilisateurs au moins sur les points suivants: Les dispositions juridiques auxquelles obéit la méthode de traitement des données utilisée par le fournisseur. Les données personnelles collectées et le but de la collecte. Les données transmises à des tiers et le but du transfert. Les possibilités offertes à l'utilisateur quant au traitement de ses données. Les droits de l'utilisateur (droit d'accès aux données et droit de rectification). Le service qui répond aux questions concernant le traitement de données personnelles. Les mesures prises pour assurer la sécurité des données personnelles. Enfin, la déclaration doit figurer sur le site Web de manière à être facilement accessible à l'utilisateur. 5/6 Réalité de la protection de la sphère privée grâce aux modèles d'autoréglementation Le principal critère qui permet d'évaluer les règles de conduite visant à protéger la sphère privée est leur applicabilité. Pour en juger, on peut retenir le pourcentage des membres d'une association qui respectent ces règles et les sanctions qu'ils encourent s'ils les transgressent. Il faut aussi que ces règles de comportement soient transparentes, ce qui signifie qu'elles doivent être rédigées dans une langue simple, que chacun peut comprendre. Idéalement, il faudrait que le respect des règles de comportement soit une condition préalable à l'entrée dans l'association économique qui les édicte. Le respect des règles devrait être vérifié par des contrôles externes, leur violation, sanctionnée. Il est très important enfin que les personnes concernées ne soient pas abandonnées à elles-mêmes, mais sachent à qui s'adresser pour obtenir aide et soutien. Cela mis à part, les règles de conduite en matière de protection de données doivent être sous-tendues au moins par les principes suivants: - Les personnes concernées ont droit à une information claire sur le genre des données saisies, sur les objectifs que vise leur utilisation, sur les destinataires et les possibilités qu'il y a de choisir d'en limiter l'utilisation et la transmission. - Il importe de garantir aux personnes concernées les droits d'accès aux données et de rectification de celles-ci, ainsi que la mise en place de mesures assurant la sécurité de leur traitement. - Il doit exister une possibilité de recours auprès d'une instance indépendante. Critères garantissant la protection de la sphère privée par le biais de règles de conduite - Les règles de bonne conduite peuvent servir à créer la confiance. Par rapport aux lois, elles ne constituent pas néanmoins une solution alternative, mais bien plutôt un complément. Il faut veiller à ce que les règles de conduite comprennent au moins les éléments suivants: Une information claire et compréhensible, notamment sur la manière de traiter les données personnelles. Le choix du traitement des données qui le concernent mis à la disposition de l'utilisateur. Des mécanismes effectifs d'application du droit. La création de critères unifiés permettant la reconnaissance des règles de conduite (critères internationaux). La nécessaire association tant des autorités que de l'économie privée au processus de reconnaissance des règles. Quant au contenu, il s'agit de donner des informations sur le traitement et la fourniture des données, le dédommagement et la juridiction en cas de litige. État: mars 2012 6/6