Lettre ouverte à Madame la Ministre de l’Economie Numérique : Fleur Pellerin

Madame la Ministre,

L’identité numérique est un sujet devenu fort prisé ! Il n’y a pas si longtemps encore, il fallait expliquer par le détail en quoi consistait l’identité numérique. Aujourd’hui, on trouve de « l’identité numérique » à toutes les sauces et une cohorte toujours plus grande d’acteurs brandie le terme « identité numérique » dans de nombreux discours et argumentaires. Souvent, hélas, dans un but exclusivement économique, quitte à le faire au détriment du respect des internautes et des consommateurs à travers le pillage de leur identité numérique. Exploitation éhontée est un terme qui conviendrait tout aussi bien.

Le système existant fait quotidiennement la preuve de sa non-efficacité du point de vue de la protection des données des internautes.  Nous vous proposons de considérer un moyen simple d’apporter une réelle protection aux internautes, pour les aider à protéger leur identité numérique de la meilleure façon :  Préserver leur capital numérique et leur donner les moyens de faire valoir leur volonté.

Les seules approches qui pourront réellement protéger l’internaute et le consommateur, du pillage méthodique de leur « moi » numérique, sont celles qui s’inscriront hors de toute logique de centralisation et qui créent inéluctablement deux niveaux de protection : Celui qui est centralisé et donc protégé, et celui qui ne l’est pas …

Le droit qu’ont les internautes à voir leurs données protégées, à garder la main sur leur identité numérique, ne doit pas être corrélé avec le clientélisme d’une solution ou d’une autre !  Tous les internautes n’ont-ils pas les mêmes droits ?

Ce sujet est à mon humble avis un enjeu essentiel des prochaines années. Derrière les arbres que sont le paiement et l’identification électronique, il y a la forêt : Permettre ou non aux internautes de garder le contrôle de leur identité numérique.  Éviter que les internautes ne deviennent otages d’une identité numérique, dont ils auraient totalement perdu le contrôle !

Protéger l’identité numérique des internautes, c’est finalement simple : Il suffit de faire un tout petit peu évoluer les droits des internautes, et un peu plus les obligations des éditeurs de fichiers.  Il faut rétablir l’équilibre entre les droits et les obligations de chacun.

Aujourd’hui les données nominatives d’une personne appartiennent à celui qui les possède. Cela devrait-il pas être la personne qui est propriétaire de ses données et l’éditeur de fichier simple bénéficiaire ? C’est bien le cas pour les photos. Pourquoi pas pour les infos ?

Cela ne crée-t-il pas un formidable conflit d’intérêts pour les éditeurs, pour qui le gain est inversement proportionnel au soin qu’ils accordent aux personnes qui se trouvent derrière toutes ces petites lignes de données ?

Vous le voyez, le problème va bien plus loin que la simple question du désagrément que génère le pourriel.  Le vrai enjeu est la fragilisation défintive de l’identité numérique des internautes car la dispersion des données qui aboutit inéluctablement aux désagréments de la non-protection : Usurpation d’identité, vol de données, exploitation marketing sauvage (on devrait parler plutôt harcèlement pour les seniors), perte de vie privée, problème d’e-réputation, et nous parlons en connaissance de cause …

Alors changeons un tout petit peu de perspective, voulez-vous ? Supposons que mes données m’appartiennent et que chaque internaute puisse revendiquer que son « moi » numérique, constitué de toutes ces données, lui appartient et qu’au final c’est lui qui ait le dernier mot là-dessus …   Qu’est ce qui change ?

Pour les internautes tout d’abord. Y gagneraient-ils ?

Clairement oui ! Puisque ce sera de leur ressort de décider de laisser exploiter gracieusement ou non leurs données nominatives. Ils seront informés de l’évolution de la vie de leurs données, et globalement auront un moyen d’accès auprès de chaque éditeur respectant ces règles.

Cela stimulera probablement la création de fichiers “rémunérés”, qui existent déjà au demeurant, dans lesquels les internautes conjuguerons l’exploitation de leur identité numérique et une forme de valorisation de l’exploitation de ces données. Ils seront au moins un peu intéressés aux gains qu’ils permettent de générer, et puis surtout, ils seront informés et disposeront d’un interlocuteur.

Pour les professionnels de l’e-marketing maintenant ?

Au final ils y gagnent aussi. Les vrais, ceux qui sont professionnels et conscients de gérer quelque chose de précieux et qui ne leur appartient pas, font donc un usage respectueux des données, et n’oublient pas que derrière chaque petite ligne d’un fichier il existe une personne.

Évidemment la mauvaise gestion d’un fichier dans ces conditions le ferait maigrir, et donc se déprécier. Ce sera alors au bénéfice des clients puisqu’un mauvais fichier ne génère pas un bon taux de retour.

A l’inverse une gestion professionnelle, qualitative, humaine, enrichira la valeur d’un fichier puisque la qualification et l’acceptation des personnes qui sont dans se fichier seront bien meilleures. Leur impact le sera aussi, et la valeur du fichier progressera en conséquence.

Bien sur, cela génèrera des investissements, pour faire évoluer leurs infrastructures logicielles, mais celles-ci doivent nécessairement évoluer rapidement.  C’est donc une conduite du changement qu’ils peuvent opérer et leurs clients y trouveront leur compte.

Pour tous les acteurs du web, e-commerçants, professionnels de la communication, du webmarketing, éditeurs de logiciels…,

Cela (re)créera pour certains et confortera pour d’autres une responsabilité qui s’est par endroit totalement diluée, celle de s’assurer du bien-fondé de mettre une personne dans un fichier et de réfléchir l’exploitation des données des personnes en mode Privacy par défaut.

D’aucuns prétendront que ces propositions ne sont pas applicables. Parlons-en !  N’y a t’il au contraire, rien de plus simple en 2013 que d’envoyer un email aux personnes concernées par un fichier.  Après tout, n’est ce pas la vocation du fichier ? 🙂  D’autres diront qu’elles seront inutiles. C’est moins sur ! Tout ce qui va dans le sens des choses fait sens.  L’emailing ne disparaîtra jamais. Mais l’usage qui en est fait oui.

Alors, si vous aussi, Madame la Ministre, vous pensez sérieusement que l’identité numérique des internautes est quelque chose qu’il convient de protéger au delà des intérêts commerciaux et des opportunités de business que suscitent immanquablement une première lecture de ce sujet, nous vous invitons à partager sur les propositions ci-dessous :

PROPOSITION 1  : Permettre une vraie maîtrise de son identité numérique

Tout fichier doit offrir une commande ou une page “whois” ou n’importe quel moyen électronique permettant simplement de connaître les coordonnées de l’éditeur, à la manière du mot CONTACT pour les fichiers SMS.  Cette commande devant faire apparaître clairement le vrai nom du responsable du traitement du fichier, ainsi que des coordonnées téléphoniques et postales réelles.

Tout fichier en ligne doit permettre aux personnes qui sont concernées par ce fichier d’effectuer après authentification électronique ou non de réaliser les actions suivantes :

• Interroger le fichier : Pour savoir si un enregistrement existe sur la base des informations déjà connues
• Consulter l’intégralité des données nominatives : qui permet de consulter la liste détaillée des informations et leurs valeurs correspondant à la personne,
• Supprimer ses propres données : qui permet de supprimer définitivement tous les enregistrements liés à mon ID,
• Modifier ses paramètres de vie privée : Si l’internaute / consommateur ne souhaite pas communiquer certaines des informations que souhaite enregistrer l’éditeur à son sujet, et dans la mesure ou ces informations ne sont pas essentielles à la relation active, il doit pouvoir simplement et par un biais électronique communiquer son souhait, charge à l’éditeur de fichier de faire évoluer ses outils de production pour prendre en compte ce souhait légitime.

PROPOSITION 2  : Définir la réalité de suppression des données

Lorsqu’une personne fait une demande de suppression, il ne faut pas confondre désabonnement et suppression des données.
Les internautes doivent avoir la possibilité d’obtenir la suppression effective de leur données, et pas simplement le désabonnement d’un service d’emailing, au risque de voir ses données exploitées néanmoins mais de manière plus silencieuse.

Cette suppression doit être vérifiable lorsque l’on interroge la base de donnée (code : pas de résultats).

PROPOSITION 3  : Définir une durée de vie pour les données nominatives

Oui, une donnée nominative doit avoir une durée de vie.  Un enregistrement dans un fichier doit avoir une durée limitée !  Cette durée peut être volontairement reconduite par l’internaute, sur sollicitation de l’éditeur, mais une non-réponse de la part de l’internaute doit valoir tacite refus de reconduction et donc, suppression définitive de ces données.

Avant un terme de deux ans après la création de l’enregistrement, l’éditeur doit informer l’internaute de la suppression prochaine de ces datas, sauf renouvellement de son accord express de conservation de ces données.

Dans le cadre d’une relation client il va de soi que centaines informations sont essentielles pour délivrer la prestation. En revanche, cette durée de vie redevient applicable dès que cesse la relation client, de sa belle mort après 2 ans, à moins que l’internaute n’ait demandé d’ici ce délai la suppression de ses données.

D’autre part, hormis en ce qui concerne les informations essentielles à la relation commerciale, il est du droit de l’internaute et du consommateur de ne pas laisser nécessairement laisser l’éditeur recueillir toutes les informations qu’il souhaiterait s’il considère que cela est une inclusion dans sa vie privée.  Ce souhait doit pouvoir être pris en compte.

PROPOSITION 4  : Permettre la traçabilité des données nominatives

Lors de la création d’un enregistrement dans un fichier l’internaute concerné par cet enregistrement doit être informé de cette création par un email lui rappelant la nature du fichier dans lequel il vient d’être ajouté, sa finalité ainsi que les coordonnées des contacts.

Cet email indiquera également les procédures et les identifiants permettant de se connecter à la base de donnée pour l’interroger dans le cadre du droit d’accès à ses données pour faire appliquer électroniquement ses droits d’accès, de modification et de suppression.

Lorsqu’un fichier est cédé les personnes concernées par ce fichier doivent en être informées à la fois par le cédant, afin de pouvoir faire valoir leurs droits auprès de lui, à la fois par l’acquéreur, puisque cela fait un fichier supplémentaire.

Ces deux emails sont la garantie de la traçabilité des données nominatives, condition essentielle pour permettre aux internautes d’en conserver la maîtrise.

Lorsque le fichier a été volé / copié / dénaturé, les personnes concernées, autrement dit, les personnes dans ce fichier ont le droit de le savoir, et le cas échéant de pouvoir demander la suppression de leurs données.

D’autres propositions vous semblent-elles manquer ?