vie-privee.org : [Fil Actu] Protection des données dans les sites Web belges :

[Fil Actu] Protection des données dans les sites Web belges :

mardi 4 février 2003
Imprimer

http://www.kuleuven.ac.be/facdep/so...

Protection des données dans les sites Web belges :

Amélioration de la protection des données dans les sites Web belges, un an après l’entrée en vigueur de la ’nouvelle’ Loi Vie Privée.

Plus de nonante pour cent des sites Web belges collectent des données personnelles. Quand un site traite des données de ses visiteurs, la Loi Vie Privée est d’application.

Un an après l’entrée en vigueur de la ’nouvelle’ Loi, une majorité de 55% d’un échantillon de sites Web belges, qui collectent des données, porte une mention vie privée. Le résultat obtenu dans cette recherche est une amélioration par rapport à l’année dernière. En 2001 la même analyse résultait en un score inférieur, c’est à dire 43%.

Il faut néanmoins préciser que certaines chartes de confidentialité sont difficiles à trouver, incomplètes et pas toujours écrites dans un language clair.

Un nombre croissant d’entreprises offrent aux visiteurs de leurs sites Web la possibilité, en remplissant un formulaire électronique, de s’inscrire à une lettre d’information électronique gratuite, de passer commande ou de poser des questions sur les produits et services offerts. Quand une entreprise récolte des données via de tels formulaires en ligne, elle devient responsable du traitement de ces données personnelles, en vertu de la loi belge sur la protection de la vie privée. Vu l’entrée en vigueur de la `nouvelle’ loi vie privée, le premier septembre 2001, nous nous sommes posés la question : Y a-t’il une évolution quant au respect de la loi un an après son entrée en vigueur ? Pour répondre à cette question nous avons effectué sur 250 sites commerciaux belges, une première analyse en 2001, suivie d’une seconde en 2002.

Les sites scannés

Notre recherche a consisté en un examen de 250 sites au moyen d’un questionnaire de 90 points portant sur la manière dont la protection de la vie privée des visiteurs de sites est respectée (méthodologie, voir : Walrave, 2001b : 10-12). Ce questionnaire en ligne comporte des questions sur le traitement de données personnelles, l’utilisation de cookies, la présence ou absence d’une mention vie privée, la facilité d’accès à cette information, la complétude de cette charte comparée aux exigences de la loi, la compréhensibilité de l’information etcetera. Les sites ont été sélectionnés de la liste officielle des entreprises belges. Ainsi, chaque secteur ayant des activités prévues pour les consommateurs est représenté. Le but de cette enquête était d’observer d’éventuels changements dans l’application de certaines obligations de la loi, un an après la mise en oeuvre de la nouvelle loi (le 1er septembre 2001).

Les droits des internautes

La loi confère certains droits spécifiques à chaque individu dont les données personnelles sont traitées. La personne concernée doit être informée de l’identité du responsable de ce traitement (nom et adresse de l’entreprise, par exemple), de la ou des finalités du traitement de ses données, et disposer d’informations sur le ou les éventuels destinataires de ces données, comme sur les droits qui lui sont légalement garantis. Ainsi chaque personne a un droit d’accès aux données la concernant, de corriger les fautes et dans certains cas précis de s’opposer au traitement. La nouvelle loi apporte une précision importante dans le domaine du marketing direct en général et du e-marketing en particulier : la possibilité de s’opposer gratuitement et sans justification à l’utilisation de ses données personnelles à des fins de marketing direct.

Clair et net ?

Nous avons établi que 93 % des sites visités rassemblent d’une façon ou d’une autre des données personnelles. En 2001, moins de la moitié (43 %) fait état de dispositions prises en vue du respect de la vie privée. Un an plus tard, 55% des sites mentionnent un texte reprennant la potitique de protection des données. Ce qui est visé dans cette étude est donc un texte, incorporé au formulaire électronique ou sur une autre page web, explicitant la politique de protection de la vie privée de l’organisation qui récolte les données. Un tel texte doit alors, conforme à la loi, communiquer des informations précises mentionées ci-dessus.

Une place de choix ?

Dans les sites qui affichent une mention vie privée, 60% des sites lui consacrent une page Web spécifique (47% en 2001). Ceci dit, 40% (53 % en 2001) intègrent cette information dans un cadre plus large (`disclaimer’, page internet consacrée aux aspects juridiques, conditions générales, partie de formulaire, etc.). Cette information est parfois difficile à trouver et se noie dans un long texte juridique. De plus, la mention vie privée n’est pas souvent directement liée avec le formulaire dans lequel le consommateur fournit ses données. Seulement dans 26% des cas cette information est directement lié avec le ou les formulaires électroniques dans lesquels les internautes confient leurs données.

Promesse due

En ce qui concerne le contenu de la charte vie privée, 74% communiquent le nom du responsable du traitement. Ce qui est une nette amélioration par rapport à 2001, car 45% donnaient cette information essentielle. 88% (85 % en 2001) des sites qui affichent ces dispositions concernant la vie privée, communiquent le ou les buts du traitement. De telles informations sont essentielles, sans celles-ci le consommateur n’est pas en mesure de décider s’il livrera ou non ses données à l’entreprise en toute confiance. Mais cette finalité est dans 20% des cas formulée de façon assez vague : « usage interne », « actions commerciales et contractuelles », « vous offrir une meilleure expérience web ». En 2001, 59% des finalités n’étaient pas assez concrètes et dans certains cas des `chèques en blanc’.

73% (68 % en 2001) des dispositions affichées mentionnent le droit d’accès. Celui-ci confère au consommateur le droit de consulter les données le ou la concernant. 43% de ces sites n’indiquent d’aucune façon comment l’on peut exercer pratiquement ce droit (54% en 2001). Dans le cas contraire, il figure dans la mention vie privée une adresse e-mail, postale ou un numéro de téléphone auquel on peut s’adresser directement. 16 % (15% en 2001) offrent la possibilité de consulter ses propres données en ligne. Une grande partie des sites laissent l’internaute dans l’ignorance quant à la procédure à suivre afin d’avoir accès à ses données personnelles.

78% (71 % en 2001) informent les visiteurs de leur droit de (faire) corriger les fautes figurant dans leurs données. 49% (50 % en 2001) indiquent comment faire, ce qui est possible en ligne dans 16 % (15% en 2001) des cas. Un point positif est que parmi les sites affichant une mention vie privée et informant les visiteurs de l’utilisation des données pour le marketing direct, 89% (73 % en 2001) fournissent un droit d’opposition à un tel usage.

Comment peut-on exercer son droit d’opposition ? Un quart des sites concernés fournissent la possibilité de cocher une case dans un formulaire électronique, pour communiquer son opposition (« opt-out »). Une `avant-garde’ de 12% insère dans le formulaire électronique une phrase et case à cocher pour donner de manière explicite la permission d’une utilisation des données à des fins de marketing direct (procédure « opt-in », 13% en 2001 donc pas de changements sensibles). Quand il est clairement précisé que les données seront transmises à des tiers à des fins de marketing, 13% offrent un « opt-in » et 42% un « opt-out ».

Traitements invisibles ?

Ces résultats valent donc uniquement pour les sites qui prennent des engagements de protection de la vie privée. Or 45% des sites visités qui récoltent des données, évitent totalement le sujet (57% en 2001). Enfin, ce n’est pas seulement via des formulaires électroniques que des données peuvent être récoltées sur les visiteurs de sites. Les cookies permettent d’enregistrer les données du surfeur. Certaines entreprises utilisent ce moyen, mais en informent-elles les personnes concernées ? En réalité, la moitié des sites sondés utilisaient des cookies rémanents en 2001 (51 %). Une nette augmentation à été constaté en 2002, car 67% utilisent des cookies (envoyés par le site même et dans 18% des cas aussi par des tiers). Seulement 12 % des sites concernés (en 2001 et 2002) en informent les visiteurs. Lorsqu’on n’accepte pas les cookies, on ne peut pas accéder à 10 % des sites. 68% (55 % en 2001) rendent la navigation difficile car, le ou les serveurs continuent à envoyer des cookies, sans tenir compte du refus. Dans 22% (33 % en 2001) des cas la volonté du visiteur de refuser des cookies est directement respectée.

Les services clients souvent absents

La mention vie privée ne peut être un texte que l’on insère par pure formalité dans un site Web. Cette déclaration sur la politique de protection des données, doit aussi être `vécue’ dans l’entreprise. C’est pour cette raison que nous avons contacté par courrier électronique les entreprises objet de l’enquête. Nous n’avons pas utilisé une adresse e-mail de l’Université afin de ne pas influencer les réponses. En tant que visiteur du site, nous avons posé une simple question sur l’utilisation des données que l’on leur confie en ligne. 51% (57 % en 2001) n’ont pas répondu. Parmi les réponses obtenues, 63% (65% en 2001) ont une réponse concrète et personnelle.

On constate aussi que la qualité et la vitesse des réponses est fonction de la qualité et de la précision des engagements affichés dans la mention vie privée. Les engagements en matière de respect de la vie privée ne doivent donc pas être qu’un accessoire dans l’étalage électronique des entreprises. Pour créer les conditions d’une confiance méritée, la politique de protection de la vie privée doit être aussi communiquée en interne. Ceci n’est possible que si les membres du personnel chargés de répondre aux e-mails, lettres et appels des clients et prospects, sont dûment informés sur la loi et son application dans l’entreprise. En la matière, communication interne et externe doivent donc aller de pair.

Score final

Un an après l’entrée en vigueur de la `nouvelle’ loi vie privée, nous constatons une amélioration de la quantité et de la qualité de l’information requise. 55% mentionnent dans leur site une politique de protection des données. Malheureusement, ces mentions vie privée sont encore dans certains cas difficiles à trouver, incomplètes et pas toujours écrites dans un language clair. La pierre angulaire de la loi est la transparence qui préside au traitement des données et la garantie d’un contrôle possible par les personnes concernées. Toute personne ou société qui traite des données, doit préciser au préalable entre autres le but et la nécessité d’une telle activité, l’identité du responsable et les droits des personnes fichées. Nous constatons que 45% des sites traitant des données sont tout à fait lacunaires dans l’information qui devrait être fournie en matière de protection des données. Or diverses recherches ont montré que la protection des données sur le Net, constitue une préoccupation croissante chez les utilisateurs d’internet (pour la Belgique, voir entre autres : Walrave, 2001c). C’est pourquoi afficher une mention claire et simple des engagements de l’entreprise en la matière sur son site, n’est pas seulement une obligation légale. C’est aussi une question de confiance des internautes et donc de possibilités de dévelopement futur du marketing et commerce électronique.

Auteur Prof. dr. Michel Walrave, Katholieke Universiteit Leuven, Département des Sciences de la Communication, poursuit des recherches et donne cours concernant e.a. le marketing direct, l’e-marketing et la protection de la vie privée.

Sources Walrave, M. (2001a) « e-Marketing & Privacy. Zo geclickt ? » Diegem : Kluwer, 160p. Walrave, M. (2001b) « e-Privacy in België : nog werk aan de winkel ? » Privacy Paper N°1, Communicatiewetenschap K.U.Leuven, 45p. Walrave, M. (2001c) « e-Big Brother gevreesd of niet ? » Privacy Paper N°2, Communicatiewetenschap K.U.Leuven, 50p. Walrave, M. (2002a) « e-Privacy.be. Een betere bescherming van de privacy in Belgische websites, één jaar na het van kracht worden van de `nieuwe’ privacywet ? Een analyse van 250 Belgische websites m.b.t. het verzamelen van persoonsgegevens conform de Belgische privacywet (vergelijking 2001- 2002) en een enquête bij webmasters ». Privacy Paper N°3, Communicatiewetenschap K.U.Leuven, 16p. Walrave, M. (2002b) « e-Marketing et Vie Privée. » Editions Kluwer (à paraître).

Actu mailing list Actu@vie-privee.org http://vie-privee.org/cgi-bin/mailm...