Le consentement dans le contexte du traitement de données personnelles sur les sites de réseautage social

Le consentement dans le contexte du traitement de données

personnelles sur les sites de réseautage social

Mémoire

Maîtrise en droit

Mathieu Dauverchain

Université Laval

Québec, Canada

Maître en droit (LL.M.)

et

Université de Paris-Sud

Orsay, France

Master (M.)

© Mathieu Dauverchain, 2018

iii

RÉSUMÉ

Vous souvenez-vous de la dernière fois où vous avez lu les conditions d’utilisations d’un site web ? Statistiquement c’est fort peu probable. Pourquoi ? Parce qu’une majorité de gens ne lisent pas les conditions d’utilisation des sites et des politiques de confidentialité. Cette étude se propose d’analyser le cadre juridique de ce phénomène.

Dès lors que l’on utilise un site de réseautage social, nos données personnelles sont captées par le site. Nous ne le savons peut-être pas mais nous avons consenti à ce traitement. La notion de consentement fait l’objet d’une définition rigoureuse dans les lois françaises et canadiennes de protections des données personnelles. Cette étude va suivre la mise en œuvre des règles de consentement dans le contexte des sites de réseautage. Cette analyse permettra de déterminer si les informations fournies par les sites de réseautage social sont conformes aux exigences de la loi. En cas de défaillance des sites de réseautage, des solutions plus adéquates seront présentées.

iv

TABLE DES MATIERES

RÉSUMÉ ... III ÉPIGRAPHE ... VII REMERCIEMENTS ... VIII

INTRODUCTION ...9

i. Le mécanisme d’exploitation de données personnelles par les sites de réseautage social ... 11

i.a. Le modèle de Data To value : la valorisation économique des données ... 11

i.b. Les ressources : définition de données personnelles ... 14

ii. Les différents aspects de l’exploitation des données par les sites de réseautage ... 18

ii.a. La dimension juridique : une exploitation économique fondée sur un droit fondamental ... 18

ii.b. La dimension économique : une valorisation disproportionnée des données ... 20

ii.c. La dimension humaine : une exploitation de données potentiellement intrusive ... 22

iii. Les démarches méthodologiques pour répondre au problème des politiques de confidentialité... 24

iii.a. La problématique du sujet : Une appréhension difficile des politiques de confidentialité par les internautes. ... 24

iii.b. La question de recherche : les politiques de confidentialité permettent-elles à l’internaute de formuler un consentement valide ? ... 28

iii.c. Le cadre théorique de l’étude ... 28

iii.d. L’hypothèse de l’étude : Les politiques de confidentialité ne permettent pas de formuler un consentement valide ... 33

PARTIE I. LES DÉFINITIONS SIMILAIRES DE LA NOTION DE CONSENTEMENT DANS LES LOIS FRANÇAISES ET CANADIENNES DE PROTECTION DES DONNEES PERSONNELLES ... 35

I.1 DES DEFINITIONS SIMILAIRES DE LA NOTION :LES FONCTIONS COMMUNES DU CONSENTEMENT DANS LES LOIS FRANÇAISES ET CANADIENNES ... 35

I.1.1. La place du consentement dans les lois françaises et canadiennes : Un fondement majeur du traitement de données ... 36

I.1.1.1. La place du consentement dans la Loi sur la protection des renseignements personnels et les documents électroniques ... 36

I.1.1.2. La place du consentement dans les dispositions françaises et européennes de protection des données personnelles ... 41

I.1.2. Le consentement comme l’unique fondement applicable dans le contexte des sites de réseautage social ... 46

I.1.2.1. L’application du consentement au contexte des sites de réseautage social en France et au Canada 46

v

I.1.2.2. L’exclusion des fondements de licéité autres que le consentement ... 48

I.2 DES DEFINITIONS SIMILAIRES DE LA NOTION :LA CONVERGENCE DES CONDITIONS FRANÇAISES ET CANADIENNES DE VALIDITE DU CONSENTEMENT ... 56

I.2.1. Les conditions franco-européennes de validité du consentement ... 56

I.2.1.1. Les conditions de fonds du consentement : libre, spécifique et informé ... 56

I.2.1.2. Les conditions de forme issues du nouveau règlement européen ... 67

I.2.2. La convergence des conditions canadiennes aux conditions européennes ... 69

I.2.2.1. Des conditions essentiellement similaires dans leur genèse ... 69

I.2.2.2. Des conditions convergentes dans leur finalité... 72

PARTIE II. LA MISE EN ŒUVRE COMPLEXE DE LA NOTION DE CONSENTEMENT DANS LE CONTEXTE DES SITES DE RESEAUTAGE SOCIAL ... 80

II.1 UNE MISE EN ŒUVRE COMPLEXE DE LA NOTION :L’UTILISATION INADEQUATE DES POLITIQUES DE CONFIDENTIALITE COMME PREALABLE AU CONSENTEMENT ... 80

II.1.1. L’utilisation inadéquate des politiques de confidentialité par rapport à la condition d’un consentement informé ... 80

II.1.1.1. Un consentement informé difficile en raison de la rédaction peu claire des politiques de confidentialité. ... 81

II.1.1.2. Un consentement informé difficile en raison du manque d’information dans les politiques de confidentialité ... 87

II.1.2. L’utilisation inadéquate des politiques de confidentialité en raison des différentes conditions de validité du consentement ... 92

II.1.2.1. L’utilisation inadéquate en raison des règles d’un consentement spécifique ... 92

II.1.2.2. L’utilisation inadéquate en raison des conditions de liberté de consentement et d’un consentement explicite. ... 95

II.2 UNE MISE EN ŒUVRE COMPLEXE DE LA NOTION :LE RECOURS LIMITE A DES PREALABLES ADEQUATS AU CONSENTEMENT ... 99

II.2.1. L’existence de préalables adéquats au consentement ... 100

II.2.1.1. Des préalables au consentement apportés par les autorités de contrôle ... 100

II.2.1.2. Le préalable au consentement envisagé par l’étude : le « Test de consentement » ... 106

II.2.2. Des recours limités par la vulnérabilité du consentement des internautes ... 108

II.2.2.1. Des recours limités par la vulnérabilité de la volonté des internautes : les paradoxes du consentement ... 109

II.2.2.2. Des recours limités par l’efficacité de la notion de consentement : la remise en question de la notion de consentement ... 112

CONCLUSION ... 115

vi

ANNEXE I : LES ETUDES SUR LA PERCEPTION PAR LES INTERNAUTES DU MODELE

D’EXPLOITATION DES DONNEES PERSONNELLES ... 128

ANNEXE II : LES POLITIQUES DE CONFIDENTIALITE DU SITE TWITTER.COM... 148

ANNEXE III : LES POLITIQUES DE CONFIDENTIALITE DU SITE FACEBOOK.COM ... 157

vii

ÉPIGRAPHE

“

It is a very sad thing that nowadays there is so little useless

information

”

O

SCAR

W

ILDE

1_{Il est très triste qu’il y ait si peu d’informations inutiles de nos jours} 2 _{Auteur britannique du XIXème siècle.}

viii

REMERCIEMENTS

Je ne saurais commencer autrement que par remercier mes directeurs Monsieur

Pierre-Luc Déziel et Madame Natacha Sauphanor-Bouillaud, qui par leur sagesse, leur

écoute et leurs conseils m’ont dirigé durant toute l’élaboration de cette étude. Sans leur disponibilité et leur bienveillance, ce travail n’aurait certainement pas eu toute la richesse que j’ai voulu lui donner.

Je tiens à exprimer ma reconnaissance aux responsables de ce bidiplôme Madame

Alexandra Bensamoun et Monsieur Georges Azzaria, sans qui cette superbe aventure

universitaire et humaine n’aurait pas été possible.

Je n’oublie pas mes camarades de classe, de tout continent, qui m’ont accompagné toute cette année. Au-delà des précieux instants partagés, nos échanges ont grandi cette réflexion.

Enfin, je remercie ma famille, mes amis du Québec et de France, ainsi que tous ceux de la « Fine équipe », pour leurs encouragements, leurs aides et toutes leurs bonnes intentions à mon égard.

9

INTRODUCTION

«

C

consommateurs, vous êtes les produits

»

Dans le monde ultra connecté qui est le nôtre, où il ne se passe pas une journée sans que nous ne naviguions sur le Web, une rapide lecture de cette citation et… inéluctablement, nous pourrions nous croire être les cobayes d’un puissant Google au dessein machiavélique. Nos craintes se projettent alors, nous imaginons peut-être notre pauvre existence déterminée par une entreprise dont le seul but serait de nous exploiter. Et si c’est le cas, nous finirions par voir s’installer en nous un désir de révolte ! Attendez... Cette brusque réaction ne serait-elle pas tout de même un peu excessive ? C’est le cas, force est de reconnaître que, l’espace d’un instant, nous avons perdu tout notre sang-froid… Cela dit, soyons indulgents avec nous-mêmes, depuis notre tendre enfance des milliers d’œuvres d’anticipations nous mettent en garde sur les dangers d’une société fondée sur la collecte massive d’informations et la surveillance de masse4_{. À tel point} que, lorsqu’il est question d’Internet et de numérique, il est devenu presque automatique de confondre la science-fiction avec la réalité5. Il faut l’admettre Internet est le siège de bon nombre de fantasmes. Mais, au-delà des mythes qui l’entourent, ce remarquable réseau soulève plusieurs questions juridiques pertinentes qui méritent, elles, d’être traitées avec rationalité. En l’occurrence, nous n’y avons peut-être pas prêté attention tout à l’heure dans la panique, mais l’auteur de la précédente citation est un éminent professeur de la faculté de droit d’Harvard6. Il convient donc d’être plus attentif à sa déclaration et

3 _{Jonathan ZITTRAIN, « Meme patrol : the future of the Internet and how to stop it », (21 mars 2012) en}

ligne blog Harvard.edu http://blogs.harvard.edu/futureoftheinternet/2012/03/21/meme-patrol-when-something-online-is-free-youre-not-the-customer-youre-the-product/ Voir aussi : WORLD ECONOMIC

FORUM “As they say if something online is free, you’re not the customer… you’re the product, Jonathan Zittrain” en ligne Twitter.com : https://twitter.com/Davos/status/426339518309232640

4 _{Pensons ici à 1984 de George Orwell ou encore à The Minority Report de Philip K. Dick, dans ces œuvres}

les nouvelles technologies associées à l’ultra-surveillance créent de terribles maux. Voir George ORWELL,

1984, Londres, Secker et Warbug, 1949 Voir aussi Philip K. DICK, The minority report, Etats-Unis,

Fantastic Universe, 1956

5 _{Pensons ici à la série britannique Black Mirror, cette œuvre propose plusieurs intrigues en lien avec}

Internet et les nouvelles technologies. Dans certains de ses épisodes, il est parfois difficile de dissocier la réalité de la fiction. Voir Black Mirror, Charlie BROOKER, Série Télévisée, Channel 4 (Royaume-Uni) 2011-2014

6 _{Jonathan Zittrain, professeur en droit de l’Internet et des nouvelles technologies, très critique du monde}

10

de la mesurer à sa juste pertinence. Ainsi, en nous refusant à faire du zèle cette fois-ci, il nous faut amorcer, avec pragmatisme une nouvelle analyse de notre introduction. En toute logique, notre tâche est donc de chercher à savoir ce qui permet à Mr Zittrain de dire que la gratuité du Net nous réifie en produit pour les entreprises ? Il nous faut alors répondre que c’est parce que les entreprises traitent nos données personnelles que nous apparaissons comme de simples produits à leurs yeux, la gratuité des sites web permettant d’amplifier le phénomène ! En effet, pour Jonathan Zittrain, si les services sont majoritairement gratuits sur Internet, c’est parce qu’ils permettent une adhésion massive des internautes et donc par extension, une collecte massive de données personnelles. Cette collecte massive donnerait alors lieu à un traitement prolifique de ces données par les entreprises. C’est en ce sens que nous pourrions être brutalement qualifiés de produit sur le net7_{. Mais voilà, le qualificatif de produit dérange… Si ce phénomène est bien réel,} sommes-nous bien au courant de son ampleur ? Difficile de pouvoir répondre sans plus de recherche à cette question. Il nous faut donc nous y attarder. C’est de cette manière que va débuter notre réflexion juridique portant sur un phénomène aussi pertinent que numérique : notre adhésion aux sites de réseautage social.

Ces sites de réseautage social obéissent à un modèle de rémunération bien particulier reposant sur la valorisation économique des données personnelles des utilisateurs (i). Cette pratique peut avoir d’innombrables répercussions juridiques, économiques et sociales (ii). En dépit de ces répercussions, de nombreux utilisateurs ne semblent pas suffisamment prendre considération de ce traitement lors de leur inscription sur le site. Il convient d’établir une démarche scientifique pour répondre pertinemment au problème que cela peut poser (iii).

Andrew Lewis « si c’est gratuit, vous n’êtes pas consommateur vous êtes le produit », ce prestigieux professeur veut nous interroger sur le phénomène de gratuité sur internet.

7 _{Jonathan ZITTRAIN, « Meme patrol : the future of the internet and how to stop it », (21 mars 2012) en}

ligne blog Harvard.edu http://blogs.harvard.edu/futureoftheinternet/2012/03/21/meme-patrol-when-something-online-is-free-youre-not-the-customer-youre-the-product/ [« The idea that online free services usually make money by extracting lots of data from users »]

11

i. Le mécanisme d’exploitation de données personnelles par les sites de réseautage social

Pour une légion de sites et notamment de réseautage social, il est vrai que nous pouvons profiter du service proposé sans généralement rien débourser. Quelques-uns d’entre eux en feraient même une devise. Pour un célèbre site de réseautage social, le service est « gratuit et ça le restera toujours »8 _{. Mais pour certains auteurs, parler de} gratuité du net serait un véritable un abus de langage9_{. Pour eux, cette gratuité des sites} ne serait pas si désintéressée, il y aurait un prix à payer, mais il ne serait pas pécuniaire10_. L’intérêt d’une telle démarche de gratuité serait de voir un grand nombre d’utilisateurs profiter du service pour ensuite capter leurs données. Sans nécessairement être la seule explication de cette gratuité, de nombreux articles font aujourd’hui état de l’importance du processus de valorisation économique (i.a) des données (i.b)dans les activités des sites de réseautage social11_.

i.a. Le modèle de Data To value : la valorisation économique des données

Dans le circuit classique12_{, lorsqu’un internaute utilise un site de réseautage social} celui-ci va laisser des traces de sa navigation. Les sites vont alors capter les données émises lors de son périple numérique. Pour permettre la captation de ces données, certains sites ont recours à des « Cookies », il s’agit de petits fichiers s’enregistrant sur le disque dur de l’internaute. Ces témoins de navigations vont capter des renseignements sur la

8 _{« Page d’accueil », Facebook.com en ligne sur : https://www.facebook.com}

9 _{Valérie-Laure BENABOU et Judith ROCHFLED, « A qui profite le clic », le partage de la valeur l’ère}

du numérique, 2015, Odile Jacob p 42-43 p.18 (« Gratuit vous avez dit ? réseaux sociaux jeux, moteurs de

recherche gratuits ? Plateformes de contenus blogs, forums gratuits ? La réalité est plus ambiguë »).

10 _{Ibid. p 42-43 Voir aussi : Option consommateur, Le prix de la gratuité Doit-on imposer des limites à la}

collecte de renseignements personnels dans le cadre de la publicité comportementale en ligne ? Rapport

présenté au Bureau de la consommation et de l’industrie Canada, 2015 p.40-44

11 _{Kevin HOTTOT « Data Privacy Day : Facebook annonce un bénéfice record, grâce à vos données »,}

nextinpac (28 Janvier 2016) : https://www.nextinpact.com/news/98268-data-privacy-day-facebook-annonce-benefice-record-grace-a-vos-donnees.htm (l’article détaille les recettes records du site Facebook.com, une grande partie de ces résultats serait reliée à la vente de données personnelles. On y apprend que chaque utilisateur canadien du site pourrait rapporter 13,54 dollars par an à Facebook).

12 _{Tous les sites de réseautage ne fonctionnent pas nécessairement de cette manière, il s’agit là de donner}

12

navigation de la personne13 _{sur les pages du site}14_{. Ces informations sont ensuite classées} et répertoriées de manière audible et compréhensible par le site Web15_{. L’objectif de cette} démarche est de pouvoir ensuite permettre un processus de traitement des données. Même s’il peut effectuer certains de ces traitements les sites de réseautage vont généralement céder ces données à des entreprises d’analyse de statistique16 _{telles que la société} Axciom17 _{et son réseau partenaire}18_{. Ces entreprises sont spécialisées dans l’étude et le} traitement de données à des fins marketing. À partir de logiciel extrêmement précis et de puissants algorithmes, ces entreprises vont étudier ces informations et même en créer d’autres en les combinant19_{. Il est très difficile d’avoir accès à leur méthode, ces} entreprises protègent leur savoir-faire. Généralement, ces sociétés d’analyse et de marketing travaillent pour plusieurs partenaires et traitent une quantité importante de données. Si ces données sont importantes et nécessitent d’être traitées, c’est parce que les services qui en dépendent sont demandés par de nombreuses entreprises commerciales20_. En effet, l’analyse de ces données servira ensuite soit à améliorer les produits et l’activité de l’entreprise21 _{soit à organiser de la publicité ciblée pour le consommateur}22_{, est même} pour pouvoir prédire ses comportements23_.

13 _{Cookie, Futurascience.com en ligne sur :}

http://www.futura-sciences.com/tech/definitions/internet-cookie-469/ Voir aussi Valérie-Laure BENABOU et Judith ROCHFLED, « A qui profite le clic », le partage de la valeur l’ère du numérique, 2015, Odile Jacob p 27

14 _{Valérie-Laure BENABOU et Judith ROCHFLED, « A qui profite le clic », le partage de la valeur l’ère}

du numérique, 2015, Odile Jacob p 27

15 _{Ibid p 42-43 (les auteures expliquent que pour prendre de la valeur les contenus doivent être triés et}

répertoriés de manière à ce qu’ils soient parfaitement perceptibles pour les sociétés commerciales qui en ont besoin »).

16 _{M. JOULIN, [DATA MINING] Cliquez, Vous êtes traqués, Reportage Télé, France Télévision.} 17 _{Société Axciom « A propos d’Axciom » en ligne axciom.com :}

http://www.acxiom.fr/a-propos-d-acxiom/

18 _{Société Biginsight, « Page d’accueil » en ligne biginsight.com : http://biginsight.no/biginsight/drupal/}

Voir aussi Société thinkvine « Page d’accueil » en ligne thinkvine.com :

http://adage.com/lookbook/listing/thinkvine/16450

19 _{M. JOULIN, [DATA MINING] Cliquez, Vous êtes traqués, Reportage Télé, France Télévision}

20 _{James WALDO, Herbert S. LIN et Lynette I. MILLETT, Committee on Privacy in the Information Age,}

National Research Council, Engaging Privacy and Information Technology in a Digital Age (Washington, US: The National Academies Press, 2007), p. 2. Dans Eloïse GRATTON, « Chronique : Qu'est-ce qu'un renseignement personnel ? Le défi de qualifier les nouveaux types de renseignements » (janvier 2013), Montréal, Technologie et information, Edition Yvon Blais EYB2013REP1287 p 6

21 _{Valérie-Laure BENABOU et Judith ROCHFLED, « A qui profite le clic », le partage de la valeur l’ère}

du numérique, 2015, Odile Jacob p 29 (Les auteures expliquent l’importance stratégique des données pour les entreprises commerciales : (« les données représentent une manne si l’on veut les utiliser pour guider les comportements de consommation voir pour les influencer »)

22 _{Ibid p.19 (« Plus d’un milliard de bannière publicitaires sont livrés par jour par la simple start-up}

française Critéo spécialisé dans le publicité privée »).

23 _{Voir Commissariat de protection à la vie privée au Canada, L’ère de l’analyse prédictive : des tendances}

13

Dans le cas où les données sont employées à des fins de publicités ciblées, c’est-à-dire de publicités personnalisées aux préférences du consommateur, une nouvelle opération va être nécessaire. Il s’agit de l’opération de ciblage. Cette opération va consister en une opération de « tri » des utilisateurs du site pour pouvoir cibler les utilisateurs pertinents24_{. Cette opération peut être réalisée par le site Web lui-même ou par} des sites spécialisés dans ce type d’activité. De cette manière, l’internaute durant sa navigation sur le site va recevoir une publicité adaptée à ses goûts. La captation et le traitement de ses données auront été nécessaires pour réaliser ces opérations. La pratique de la publicité ciblée serait extrêmement importante. À titre d’exemple, « Plus d’un milliard de bannières publicitaires sont livrées par jour par la simple start-up française Critéo spécialisée dans la publicité ciblée. »25_.

Naturellement, ce modèle économique est largement utilisé par les sites de réseautage social26_{. Cette extrême rentabilité du système pour les réseaux sociaux est} directement liée à la nature de ces sites. En effet, les sites de réseautage sont des sites propices à la divulgation de nombreuses données personnelles en tout genre27_{. Cette} propension à livrer du contenu est dans la nature même du site. Cet aspect des sites de réseautage permet même de les définir. À ce propos, la définition européenne d’un site de réseautage social, ou réseau social, s’entend comme une « plate-forme de

communication en ligne permettant à des personnes de créer des réseaux d'utilisateurs

partageant des intérêts communs »28_{. Cette définition comprend le fait que les utilisateurs}

interagissent entre eux, partage du contenu, adhère à d’autres contenus et complète un profil renseignant certaines informations à leur sujet29. Il est possible d’ajouter à cette définition, le fait qu’il est généralement nécessaire de finaliser une procédure d’inscription pour accéder au site. Rares sont les sites de réseautage ne nécessitant pas

24 _{M. JOULIN, [DATA MINING] Cliquez, Vous êtes traqués, Reportage Télé, France Télévision.} 25 _{Valérie-Laure BENABOU et Judith ROCHFLED, « A qui profite le clic », le partage de la valeur l’ère}

du numérique, 2015, Odile Jacob p 19 (« Plus d’un milliard de bannières publicitaires sont livrés par jour par la simple start-up française Critéo spécialisé dans le publicité clibée »).

26_{Document Groupe de travail « article 29 », Union Européenne, Avis 5/2009 sur les réseaux sociaux,}

(2009) WP 163, Bruxelles, p.5 (« Les SRS génèrent la plupart de leurs revenus avec les publicités diffusées sur les pages web que les utilisateurs créent et auxquelles ils accèdent. »)

27 _{Ibid. p 5 (« Les utilisateurs qui publient sur leurs profils beaucoup d'information concernant leurs centres}

d'intérêts offrent un marché précis aux publicitaires souhaitant diffuser des publicités ciblées sur la base de ces informations »)

28 _{Ibid. p 4-5.}

29 _{Ibid. p5. (Après avoir donné une définition au site de réseautage social, le document précise certains de}

14

une telle procédure. Dans cette étude, nous entendrons par sites de réseautage : « toute plate-forme de communication en ligne permettant à des internautes, une fois la procédure d’inscription achevée, de partager du contenu et de développer un cercle social numérique ». Cette définition comprend les célèbres sites Facebook.com et Twitter.com.

Bien que cela ne fasse pas directement partie de la définition, il faut ajouter que ces sites ont recours très souvent à de la publicité ciblée. Pour cela, les opérations de captation et d’utilisation de données sont en général complétées par des méthodes de combinaison de données permettant de générer un nombre important d’informations sur les utilisateurs30_{. Il faut donc considérer pour le reste de notre travail que ces sites} effectuent généralement ce que l’on va appeler un traitement massif de données à l’aide de combinaison et de recoupement31_{. Que cela soit dans la captation ou l’utilisation, les} données personnelles sont au cœur de ce nouveau modèle économique, certains les nomment déjà « l’or noir d’Internet »32_.

i.b. Les ressources : définition de données personnelles

De nos jours, la notion de données personnelles peut apparaître polysémique tant elle est employée pour désigner un ensemble d’informations relatives à un individu. Pour autant, il existe une définition juridique qu’il est impératif de présenter. Cette définition juridique permettra de comprendre les données qui sont associées au sujet et celles qui sortent du champ de l’étude.

Au Canada, la notion de données personnelles est définie par le terme de renseignement personnel. L’article 2(1) de la Loi sur la protection des renseignements

personnels et les documents électroniques33 _{définit ce terme comme : « Tout}

30 _{Commission nationale de l’informatique et des libertés, Délibération CNIL Facebook Délibération de}

la formation restreinte SAN 2017006 du 27 Avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés Facebook Inc. et Facebook Ireland , 27 Avril 2017 [Délibération CNIL Facebook] (Dans cette

décision le site de réseautage Facebook avoue avoir recours à des processus de combinaison de données)

31 _{Selon cette méthode, les données sont traitées puis associer à d’autres en vue de créer une nouvelle}

information. Par exemple, en combinant la géolocalisation avec les données de connexion, il est possible d’avoir une information sur l’adresse de la personne.

32 _{Valérie-Laure BENABOU et Judith ROCHFLED, « A qui profite le clic », le partage de la}

valeur l’ère du numérique, 2015, Odile Jacob p 19.

15

renseignement concernant un individu identifiable ». Dans la décision Dagg c. Canada34_, la Cour suprême fait une interprétation « indéniablement large » de la notion de données personnelles35. Dans cette affaire, les feuilles présentant les heures d’arrivée et départ des salariés ont été considérées comme un renseignement personnel36_{, la Cour Suprême} faisant ainsi une interprétation souple de la notion de renseignement personnel. De même, dans la décision Gordon c Canada37_{, il a été jugé qu’est : « un renseignement concernant} un individu identifiable » tout renseignement permettant d’identifier un individu, que ce renseignement soit pris seul ou en combinaison avec d’autres renseignements disponibles38_{. Le Commissariat de protection à la vie privée du Canada, l’autorité de} contrôle chargée de faire appliquer la loi au Canada, précise qu’il peut s’agir de : « certaines caractéristiques personnelles : race ou couleur ; origine nationale ou ethnique ; religion ; âge ; situation de famille ; groupe sanguin ; empreintes digitales ; dossier médical ; casier judiciaire ; antécédents professionnels ; [etc.] »39_{. Pour certains,} l’interprétation de renseignement personnel au Canada est tellement large que tout type de données peut y être inclus40_.

Au niveau français et européen, on retrouve un peu la même idée. La Loi 78-17

du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés41 _dispose

que : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont

34 _{[1997] 2 RCS 403}

35 _{Ibid. par 68-69 (« Selon son sens clair, cette définition est indéniablement large. En particulier, elle}

précise que la liste des exemples particuliers qui suit la définition générale n’a pas pour effet d’en limiter la portée ») Voir aussi Canada (Commissaire à l'information) c. Canada (Commissaire de la Gendarmerie royale du Canada), 2003 CSC8 par 23.

36 _{Ibid par 81} 37 _{2008 CF 258}

38 _{Gordon c. Canada, 2008 CF 258 par 32 [“There is judicial authority holding that an “identifiable”}

individual is considered to be someone whom it is reasonable to expect can be identified from the information in issue when combined with information from sources otherwise available…”] voir aussi Canada, Commissariat à la protection de la vie privée du Canada, Renseignement personnel (2015), Bulletin sur l’interprétation de la LPRPDE par II. Interprétation générale des tribunaux.

39 _{Canada, Commissariat à la protection de la vie privée du Canada, La protection de vos renseignements}

personnels (2015), guide à l’intention des particuliers.

40 _{Boštjan BERCIC et Carlisle GEORGE, « Identifying Personal Data Using Relational Database Design}

Principles » (2009) 17:3 International Journal of Law and Information Technology 233 at 235 Dans Eloise GRATTON, « Chronique : Qu'est-ce qu'un renseignement personnel ? Le défi de qualifier les nouveaux types de renseignements » (janvier 2013), Montréal, Technologie et information, Edition Yvon Blais EYB2013REP1287

16

propres ». Par la suite, l’article précise que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. ». La définition de données personnelles connaît là aussi en France une interprétation très large42_{. Cette interprétation de la large définition fait écho à la} nécessité de protéger la vie privée.43 _{Par exemple, en reprenant une décision de la Cour} de justice de l’Union européenne44_{, la Cour de cassation a reconnu que l’adresse IP}45 _d’un ordinateur pouvait être définie comme une donnée à caractère personnel46_{. Le 8 février} dernier, la définition de données personnelles s’est encore élargie. Sous l’influence des travaux du groupe de travail de l’article 2947_{, le Conseil d’État a jugé en février que : «} [une donnée à caractère personnel] peut être regardée comme rendue anonyme que lorsque l'identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers »48_{. Pour certains,} cette décision pose le principe selon lequel : « dès lors que les données non altérées comportent des indices permettant une singularisation, grâce à l'inférence et à la corrélation entre différents ensembles d'informations »49_{. Autrement dit, sauf} anonymisation parfaite de la donnée, celle-ci est une donnée personnelle. À l’heure où

42_{Géraldine PERONNE et Emmanuel DAOUD « L'adresse IP est bien une donnée à caractère personnel »}

Dalloz IP/IT 2017 p.120

43 _{France, Assemblée Nationale, Commission de réflexion et de propositions ad hoc sur le droit et les}

libertés à l'âge du numérique « Rapport d’information déposé par la Commission de réflexion et de

propositions sur le droit et les libertés à l’âge du numérique » Rapport n°3119 (5 Octobre 2015)

(Président : Christian Paul) Recommandation 48 ° (« Dans le même esprit que celui de la proposition de règlement général sur la protection des données, la Commission recommande qu’une interprétation suffisamment large de la notion de « donnée à caractère personnel » soit retenue pour y inclure l’ensemble des données, traces, éléments ou informations se rapportant directement ou indirectement à un individu »)

44 _{Décision CJUE, Patrick Breyer c/ Bundesrepublik Deutschland, 19 octobre 2016, C-582/14, par 49.}

(« L’article 2, sous a), de la directive 95/46 doit être interprété en ce sens qu’une adresse IP dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition. »)

45 _{L’adresse « Internet Protocol » est un code de lettres et de chiffres permettant d’individualiser chaque}

ordinateur. Ce code permet d’immatriculer chaque ordinateur.

46_{Cass civ 1}re_{, 3 novembre 2016, (2016) , n° 15-22.595 (« 1°- Alors la collecte pendant plusieurs années,}

d'adresses IP qui permettent l'identification des utilisateurs constitue un traitement automatisé de données à caractère personnel contenu dans un fichier lequel doit donner lieu à déclaration à la CNIL […] ; »)

47 _{Document du Groupe de travail « article 29 », Union européenne, Avis 4/2007 sur le concept de données}

à caractère personnel, (2007), WP 136, Bruxelles. p.14-15 (« Pour les cas où, de prime abord, les

identifiants sont insuffisants pour permettre à quiconque de distinguer une personne particulière, cette personne peut néanmoins être « identifiable », car ces informations combinées à d'autres éléments d'information (que ces derniers soient conservés par le responsable du traitement ou non) permettent de la distinguer parmi d'autres personnes »)

48 _{CE, 8 février 2017, Société JCDecaux (2017) RC n° 393714}

49 _{Romain PERRAY et Julie UZAN-NAULIN « Existe-t-il encore des données non personnelles ? » D.}

17

certains débattent encore sur l’existence de données anonymisées50_{, la définition française} de données personnelles apparaît extrêmement large.

Concernant les sites de réseautage social, tout type de données sont traitées. Les politiques de confidentialité de Twitter indiquent par exemple que le site traite des données telles : « [le] nom, votre nom d’utilisateur, [le] mot de passe, [l’] adresse e-mail ou [le] numéro de téléphone51 _{et des métadonnées ». Pour certains experts ces} métadonnées peuvent permettre de traiter des données concernant :

Les renseignements biographiques indiqués dans votre profil, votre date de naissance, votre ville natale, vos antécédents professionnels et vos centres d’intérêt ; votre nom d’utilisateur et identifiant unique ; vos abonnements ; le lieu où vous vous trouvez ; l’appareil que vous utilisez ; la date et l’heure de l’activité ainsi que le fuseau horaire ; vos activités, ce que vous aimez, le lieu où vous vous trouvez et les événements auxquels vous assistez, etc.52

En raison de la puissance des outils informatiques mis à disposition des sites de réseautage, il est légitime de penser que toutes ces données peuvent être facilement associées à une personne identifiable. Selon les interprétations très extensives qui sont faites en France et au Canada de la notion de données personnelles, il y a de fortes raisons de croire que la plupart des données traitées par les sites de réseautage sont des données à caractère personnel. Pour la suite de l’étude, nous considérons que les données que traitent les sites de réseautage sont essentiellement des données à caractère personnel. En

50 _{Richard Khoury (professeur département informatique et de génie du logiciel), Conférence : Données}

personnelles entre anonymisation et surveillance, présentée à Bibliothèque Gabrielle Roy, 23 février 2017 (La conférence abordait les techniques d’anonymisation, le conférencier insistait sur le fait qu’avec internet de moins en moins de données étaient anonymes. Les différentes combinaisons de données permettent de rapidement identifier la personne à l’origine des données. Par exemple plus 80% des citoyens américains peuvent être identifiés avec seulement les renseignements concernant le code postal, la date de naissance et le sexe)

51 _{Politique de confidentialité du site Twitter en Annexe 2}

52_{Canada, Commissariat de protection à la vie privée du Canada, Métadonnées et vie privée : Un aperçu}

technique et juridique, Octobre 2014 (L’étude donne un exemple de « métadonnée » pouvant être captés

par les sites de réseautage social »). Voir aussi : Arnold ROOSENDAAL, Facebook Tracks and Traces Everyone: Like This! (November 30, 2010), Tilburg Law School, No. 03/2011, en ligne sur

: http://dx.doi.org/10.2139/ssrn.1717563[« While the Like button can help content providers to generate traffic to their websites, it is also a tool for Facebook members to add information about their interests to their personal profile page. »]

18

raison de la nature de ces données, il nous faut désormais étudier les impacts juridiques et sociaux de ce traitement.

ii. Les différents aspects de l’exploitation des données par les sites de réseautage

S’il est important de s’attacher au traitement de données sur les sites de réseautage c’est parce que cette pratique concerne un droit fondamental de notre société : le droit à la protection de la vie privée (ii.a). La pertinence du sujet ne s’arrête pas là. Sur le plan social, bien qu’elle soit économiquement rentable pour les entreprises (ii.b) ce nouveau modèle économique peut menacer directement l’intimité de l’internaute (ii.c).

ii.a. La dimension juridique : une exploitation économique fondée sur un droit fondamental

Au Canada, la reconnaissance du droit à la protection des données personnelles en tant que droit fondamental est le fruit d’une chronique jurisprudentielle. Le droit à la protection de la vie privée trouve une première assise dans la charte canadienne, notamment à l’article 8 disposant que « Chacun a droit à la protection contre les fouilles, les perquisitions ou les saisies abusives »53_{. Dans l’arrêt Hunter c. Southam}54_{, le juge} Dickson énonce que la charte doit pouvoir être interprétée de manière à pouvoir assurer « la protection constante des droits et libertés individuelles »55_{. En vertu d’une} interprétation extensive de la Charte, le juge Dikson dans cette décision, va considérer que l’article 8 sous-entend l’existence d’un « droit de s’attendre « raisonnablement » à la

protection de la vie privée »56_{. En reprenant l’ouvrage Freedom and Privacy}57 _du

Professeur Westin, la Cour Suprême confirme cette position dans l’affaire R. c Dyment58_, en donnant une valeur fondamentale au droit à la protection de la vie privée59_{. Si le droit}

53_{Art.8 Charte canadienne des droits et libertés (partie I de la Loi constitutionnelle de 1982 constituant}

l'annexe B de la Loi de 1982 sur le Canada (R.-U.), 1982, c. 11)

54_{[1984] 2 RCS 145}

55_{Hunter c. Southam Inc., [1984] 2 R.C.S. 145, à la p. 155} 56 _{Ibid. à la p.159}

57 _{Alan F. Westin. Privacy and Freedom, New York, Atheneum, 1967} 58 _{[1988] 2 RCS 417,}

59_{Ibid par. 17 (« Fondée sur l'autonomie morale et physique de la personne, la notion de vie privée est}

essentielle à son bien-être. Ne serait-ce que pour cette raison, elle mériterait une protection constitutionnelle. »)

19

à la vie privée est reconnu comme fondamental au Canada, rien n’indique que les protections des données personnelles fassent intégralement partie de ce droit. Dans une autre décision, ne concernant pas directement la Charte canadienne, la divulgation des données personnelles va être rapprochée de la vie privée. Dans l’affaire Dagg c Canada60_, la Cour Suprême va définir la notion de vie privée comme : « l’expression de la

personnalité ou de l’identité unique d’une personne »61_{. Dans la suite du raisonnement,}

la Cour Suprême rattache cette définition avec les objectifs des lois de protections des données personnelles62_{. La protection des données personnelles est désormais attachée à} un droit fondamental, le droit à la protection de la vie privée. Quelques années plus tard en 2002, le caractère fondamental du droit à la protection des données personnelles est confirmé par la décision Lavigne c. Canada63_{. La Cour Suprême va alors rappeler dans} son raisonnement que « La Loi sur la protection des renseignements personnels64 _est

également une loi fondamentale du système juridique canadien »65_{. Dernièrement, dans}

l’affaire Douez c. Facebook Inc66_{, les juges ont reconnu la valeur fondamentale du droit} à la protection des données personnelles, dans le secteur privé, dans une affaire opposant une citoyenne canadienne à un site de réseautage social américain67_.

En France et en Europe, la protection des données personnelles est avant tout constitutionnelle. La reconnaissance de cette valeur a suscité moins d’interprétation qu’au Canada. De nombreuses dispositions au niveau de l’Union européenne ou du Conseil de l’Europe permettent d’attribuer un caractère fondamental au droit de protection des données personnelles. Tout d’abord, la convention dite « 108 » de 198168 _portant directement sur la protection des données personnelles à l’égard du traitement automatisé des données personnelles69_{. La protection des données personnelles voit ici sa première}

60_{[1997] 2 RCS 403} 61 _{Ibid au paragraphe 65}

62_{Ibid au par.67 (« Cependant, la vie privée est une notion générale quelque peu évanescente. Il est donc}

nécessaire de décrire avec plus de précision les droits à la vie privée garantis par la Loi sur la protection des renseignements personnels »)

63_{[2002] 2 RCS 773}

64 _{Il ne s’agit pas là la loi de de portée fédérale, malgré une dénomination semblable cette loi porte sur le}

régime de protection des données auprès des organisation fédérale.

65 _{Lavigne c Canada [2002] 2 RCS 773 par 24.} 66_{2017 CSC 33}

67 _{Ibid. au par 58 et 59.}

68 _{Texte adopté, Conseil de l’Europe, Convention pour la protection des personnes à l'égard du traitement}

automatisé des données à caractère personnel, (1981) Strasbourg, 28 janvier 1981

20

reconnaissance dans le droit du Conseil de l’Europe. La tendance va se poursuivre avec l’article 8 de la Charte des droits fondamentaux de l’Union européenne disposant que : « Toute personne a droit à la protection des données à caractère personnel la concernant »70_. En vertu des règles communautaires, cette Charte est de valeur constitutionnelle en France71_{. De surcroît, en France le droit à la protection des données personnelles a} dernièrement été rattaché par le Conseil Constitutionnel au droit au respect de la vie privée72_{, celui-ci étant garanti par l’article 9 du Code civil.}

Les données personnelles étant considérées comme une extension de la personne73_{, la protection de ces données est reconnue comme un droit fondamental dans} les deux systèmes juridiques. Autrement dit, ces informations personnelles sont protégées au même titre que la liberté d’expression ou de confession. En raison du caractère fondamental de ces droits, il apparaît légitime dans nos sociétés démocratiques de s’interroger sur des pratiques les impliquant. Au-delà, de cette dimension du sujet, l’exploitation des données personnelles peut apparaître actuellement disproportionnée par rapport à l’intérêt du consommateur.

ii.b. La dimension économique : une valorisation disproportionnée des données

Le principal intérêt pour l’internaute de ce modèle économique est la gratuité. En ce sens, il est vrai que ce système économique lui est profitable. Tout le monde peut accéder au service des sites de réseautage et en profiter dans l’intégralité sans être limité par des barrières économiques. L’information personnelle étant devenue une ressource

70 _{Art. 8.1, Charte, Union Européenne, Charte des droits fondamentaux de l’Union européenne (2012), JO}

2012 C 326

71 _{La Charte de l’Union européenne a acquis une force obligatoire dans les Etats membres ses droits son}

reconnue comme des droits fondamentaux grâce aux dispositions du traité de Lisbonne. Voir notamment Manuel de l’agence des droits fondamentaux de l’Union européenne, Union Européenne Manuel européen de protection des données personnelles, Bruxelles, 2014 p21. [Manuel Européen]

72 _{Conseil constitutionnel, 13 mars 2014, n° 2014-690 (« Considérant que la liberté proclamée par l'article}

2 de la Déclaration de 1789 implique le droit au respect de la vie privée ; que, par suite, la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d'intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif »)

73 _{Ian KERR et Jena MCGILL, « Emanations, snoop dogs and reasonable expectations of privacy » , (2007)}

52 Crim. L.Q. 392. tel que cité dans Christophe. LAZARO, et Daniel LE METAYER, « Le consentement au traitement des données personnelles. Perspective comparative sur l'autonomie du sujet » supra note 73 (« les données personnelles étant conçues alors comme des émanations ou des extensions de la personne humaine »)

21

économique74_{, tout le monde à la même valeur. Les sites Web ne font pas de différences} entre les individus, ainsi une grande quantité de la population mondiale peut accéder gratuitement à des services complets. Le site Facebook par exemple aurait dépassé le cap des deux milliards d’utilisateurs en juin 201775_.

En plus d’être gratuit, ce modèle économique permet aux sociétés de réaliser d’énormes chiffres d’affaires. La société Facebook a réalisé en 2015 un chiffre d’affaires de plus de 897 millions de dollars en grande partie grâce à la valorisation des données76_. Certaines de ces entreprises pourraient réaliser en 2020 un chiffre d’affaires équivalent à 8% du PIB européen77_{. Si ces résultats sont impressionnants, c’est parce que les données} coûtent cher. Les professeures Valérie-Laure Bénabou et Judith Rochfeld estiment par exemple que la valeur de certaines données pourrait valoir jusqu`à deux cent cinquante euros les mille fichiers78. Dans le même ordre d’idée, la société américaine Facebook a réalisé pour chaque utilisateur états-unien ou canadien un bénéfice annuel de 13,54 dollars (sur ces 13,54 dollars, 12,94 sont réalisés rien qu’avec la publicité privée)79_.

L’ensemble de ces chiffres d’affaires sont obtenus à partir d’une ressource récoltée gratuitement. En échange, le seul bénéfice de l’utilisateur est la gratuité des sites. Pour certains auteurs, ce système serait déséquilibré parce qu’il ne permettrait pas un juste partage de la valeur de ces données entre tous les acteurs80_{. Selon cette position, les}

74 _{Valérie-Laure BENABOU et Judith ROCHFLED, « A qui profite le clic », le partage de la valeur l’ère}

du numérique, 2015, Odile Jacob p27 (« Traditionnellement, la personne est productrice de valeur par sa force de travail ou encore par le résultat de sa création. Mais depuis, peu l’individu secrète une nouvelle source de valeur, presque à son insu, dans la mesure où cette création ne suppose pas de sa part des efforts conscient mais découle des informations qu’il génère »)

75 _{Thomas COÉFFÉ, « Chiffre Facebook 2017 » (28 Juin 2017), blog du modérateur.com en ligne :}

https://www.blogdumoderateur.com/chiffres-facebook/

76 _{Kevin HOTTOT « Data Privacy Day : Facebook annonce un bénéfice record, grâce à vos données »,}

nextinpac (28 Janvier 2016) : https://www.nextinpact.com/news/98268-data-privacy-day-facebook-annonce-benefice-record-grace-a-vos-donnees.htm

77 _{Valérie-Laure BENABOU et Judith ROCHFLED, « A qui profite le clic », le partage de la valeur l’ère}

du numérique, 2015, Odile Jacob p20 (« les GAFA, c’est presque de 300 milliards de dollars de chiffre d’affaire annuel en 2013, c’est plus de 800 milliards cumulés en Bourse. À l’horizon 2020, on estime à plus de 1000 milliards d’euros soit 8% du chiffre du PIB européen »)

78 _{Ibid. p 18 (« Un fichier de mille personnes contenant des données de base est vendu en moyenne 60}

centimes mais le prix peut grimper à 250 euros pour des profils détaillés »).

79 _{Kevin HOTTOT « Data Privacy Day : Facebook annonce un bénéfice record, grâce à vos données »,}

nextinpac (28 Janvier 2016) : https://www.nextinpact.com/news/98268-data-privacy-day-facebook-annonce-benefice-record-grace-a-vos-donnees.htm

80 _{Valérie-Laure BENABOU et Judith ROCHFLED, « A qui profite le clic », le partage de la valeur l’ère}

22

internautes n’auraient que trop peu de bénéfice par rapport aux gains économiques des sites internet, ils seraient les grands perdants de ce modèle81_{. En plus d’être une ressource} économique, la spécificité des données personnelles est bien évidemment d’être un renseignement (plus ou moins intime) sur une personne.

ii.c. La dimension humaine : une exploitation de données potentiellement intrusive

Au-delà des questions économiques, à certains égards, une telle exploitation massive de données peut apparaître intrusive pour l’internaute. En effet, nous l’avons vu précédemment, les sites de réseautage ont besoin de capter une grande quantité de données de toutes sortes pour pouvoir les valoriser par la suite. Si ces données n’apparaissent pas initialement intimes pour l’internaute (il est possible de discuter ce point82_{), celles-ci pourraient devenir beaucoup plus perturbantes une fois traitées par les} outils d’analyse. En effet, à partir des données captées les outils mis à dispositions des sites permettent d’obtenir une nouvelle « génération » d’informations potentiellement inattendues pour la personne83_{. Cette nouvelle génération d’information peut} potentiellement permettre de s’immiscer dans la vie privée des personnes. L’exemple le plus frappant de cette capacité d’intrusion est l’affaire américaine Jane Doe c. Netflix84_. Dans cette affaire, un logiciel de combinaison de données avait été capable de déduire grâce à son algorithme, l’orientation sexuelle d’une utilisatrice seulement à partir de ces goûts cinématographiques85_{. Pour cela, le site croisait les données de ces utilisateurs. En}

les auteures, il serait nécessaire de mieux encadrer l’exploitation qui est faite des données afin d’assurer un meilleur partage de cette ressource économique).

81 _Ibid.

82 _{Sur certains sites, il est possible de donner certaines informations sur soi tel que l’appartenance de la}

personne à un cercle de famille, la situation amoureuse, l’orientation sexuelle. Même si ces informations sont fournies par l’internaute au site de réseautage, celui-ci ne souhaite pas forcément qu’elles soient rendues publiques.

83 _{Primavera DE FILIPPI, « Gouvernance algorithmique : vie privée et autonomie individuelle à l’ère du}

Big Data », dans Danièle BOURCIER et Primavera DE FILIPPI dir, Open Data et Big Data : nouveaux

défis pour la vie privée droit et science politique, Paris, éd Mare et Martin, 2016 p 99 à la p 111. (Pour

agréger de grandes masses de données provenant des différentes sources, des outils, d’analyse de plus en plus sophistiqués (comprenant l’extraction de données, la modélisation statistique et l’apprentissage automatisé) sont employés non seulement pour déduire des informations sur les caractéristiques distinctives des utilisateurs individuels)

84 _{Jane Doe v. Netflix (2009), United States District Court for the Northern District of California. 17}

December 2009 plainte (Le litige s’est ensuite réglé par conciliation)

85 _{Richard Khoury (professeur département informatique et de génie du logiciel), Conférence : Données}

23

observant que la personne en question, une mère de famille, consultait certains films appréciés par d’autres utilisateurs homosexuels, il a été possible de déduire son orientation sexuelle86_{. De surcroît, alors que la personne n’avait pas fourni son adresse ni} son nom et son prénom, le logiciel est quand même parvenu à l’identifier seulement à partir de son code postal, de sa date de naissance et son sexe. En quelques secondes et malgré l’utilisation d’un pseudonyme, une mère de famille avait vu son homosexualité être révélée seulement à partir de ces choix cinématographiques sur un site internet.

Dans le même ordre d’idée, à l’aide de ces outils de statistiques certaines compagnies de carte de crédit seraient capables de déterminer la situation amoureuse de leur client, et ce seulement en fonction des changements constatés dans les habitudes de consommation87_{. Ces outils de traitement sont extrêmement perfectionnés et permettent} d’obtenir des informations pouvant être initialement imprévisibles pour la source des données. Pour certains experts, ces données représenteraient « sous une forme regroupée un miroir des intentions du genre humain une énorme base de données sur les désirs, les besoins, les souhaits et les goûts qui peuvent être dévoilés, archivés, retracés et exploités à toutes sortes de fins »88_{. Dans le cas des sites de réseautage, l’application de tels outils} à l’ensemble des données captées par les sites permet d’obtenir des informations encore plus précises sur les personnes. Par exemple Primavera De Filipi, chercheuse au Berkam Center of Internet and Society de l’Université de Harvard, estime que certains sites de réseautage seraient en mesure de déterminer l’humeur et l’état émotionnel de ces utilisateurs à un instant donné seulement à partir des informations qu’ils laissent sur ces sites89_{. Une information aussi détaillée et précise pourrait apparaître intime et perturbante} pour un bon nombre de personnes.

Même si ces informations sont employées à des fins économiques, on pourrait penser que certaines entreprises seraient tentées de les obtenir frauduleusement en

86 _{Julianne PEPITONNE,“5 data breaches: From embarrassing to deadly” CNN, en ligne CNN.com :}

http://money.cnn.com/galleries/2010/technology/1012/gallery.5_data_breaches/index.html

87 _{Primavera DE FILIPPI, « Gouvernance algorithmique : vie privée et autonomie individuelle à l’ère du}

Big Data », supra note 83 p 99 à la p 111.

88 _{John Battelle, « The Database of Intentions », le 3 novembre 2003, en ligne sur :}

http://battellemedia.com/archives/2003/11/the_database_of_intentions.php. Tel que cité dans Canada, Commissariat de protection à la vie privée au Canada, Métadonnées et vie privée : Un aperçu technique et juridique, Rapport, 2014

24

« hackant » les sites de réseautage. Les informations sur les personnes pourraient alors être divulguées ce qui vraisemblablement menacerait l’intimité d’un grand nombre de personnes. De même, certains sites pourraient à l’aide de ces outils se spécialiser dans des services d’intrusion de la vie privée alors que d’autres dans la récupération de données90_{. En résumé, l’exploitation de données personnelles à une incidence d’un point} de vue juridique, économique et social. Pour toutes ces raisons, il apparaît pertinent dans ce sujet de se demander si ces données font l’objet d’un traitement respectant les lois relatives à la protection de ce droit à la vie privée.

iii. Les démarches méthodologiques pour répondre au problème des politiques de confidentialité

Dans le cas des sites de réseautage, les internautes vont avoir des difficultés à prendre conscience des politiques de confidentialité (iii.a). Ce constat permet d’établir la question de recherche de notre étude (iii.b). À l’aide du cadre théorique choisi pour notre analyse (iii.c), il nous est possible de formuler une première hypothèse de réponse à ce problème (iii.d).

iii.a. La problématique du sujet : Une appréhension difficile des politiques de confidentialité par les internautes.

Dans le fonctionnement des sites de réseautage, l’internaute doit d’abord s’inscrire pour pouvoir ensuite utiliser le site. L’étude implique de bien distinguer ces deux étapes d’inscription et d’utilisation.

Durant la phase d’inscription, l’internaute doit créer et renseigner son profil sur le site. Une fois le profil renseigné, l’internaute « accepte les conditions d’utilisation du site » pour finaliser son inscription. Généralement, l’acceptation de ces conditions nécessite un simple clic de la part de l’internaute. Durant cette phase, les politiques de confidentialité du site sont soumises à l’internaute. Ce dernier formule ensuite son consentement au traitement, en acceptant les conditions d’utilisation, comprenant les

90_{Société Ontrack, « page d’accueil », ontrack.com en ligne :}

25

politiques de confidentialité. Une fois inscrit, l’internaute entre dans la phase d’utilisation du site. Lors de la phase d’inscription, il bénéficie des services du site (partage, personnalisation de contenu, création d’un compte, etc.). C’est durant cette phase d’utilisation qu’il va divulguer ses données personnelles en interagissant avec d’autres internautes ou avec le site de réseautage. Les sites de réseautage traitent alors les données de l’internaute. Selon les juridictions, plusieurs définitions de traitement peuvent être faites. Dans le cadre de ce travail, on considère que le traitement s’entend juridiquement comme la collecte, l’utilisation et la communication à des tiers des données.

Si la majorité du traitement de données personnelles se produit durant l’utilisation du site, c’est durant la phase d’inscription que l’internaute choisit de consentir ou non au traitement de ses données. Juridiquement, c’est au moment de la phase d’inscription que commence la relation entre le site de réseautage et l’internaute.

L’un des éléments clefs de l’inscription est l’acceptation par l’internaute des « conditions d’utilisation ». Ces conditions d’utilisation comprennent deux choses : le contrat du même nom portant sur les droits et responsabilités et un document relatif aux politiques de confidentialité (appelée ci-après politiques de confidentialité). Le contrat surnommé « condition d’utilisation » portant sur les droits et responsabilité est un contrat où sont stipulées toutes les règles relatives à l’utilisation (règle de la communauté, responsabilité civile, propriété intellectuelle, etc.). Ce contrat ne concerne pas directement le traitement de données personnelles, mais il fait référence aux politiques de confidentialité, le second élément accepté par l’internaute. Le texte correspondant aux « politiques de confidentialité » est en réalité un document décrivant le processus de traitement de données sur le site. Les politiques de confidentialité ont deux finalités. La première finalité des politiques de confidentialité est de servir de support juridique au traitement de données. En effet, c’est à partir de l’acceptation document qu’est obtenu le consentement de l’internaute au traitement de données, le rendant ainsi légitime. La seconde finalité des politiques est de renseigner l’internaute sur ce traitement, en lui fournissant une information importante sur le traitement. Cette seconde finalité des politiques de confidentialité leur permet d’être utilisées comme un moyen de fournir de l’information précontractuellement.

26

Ainsi, en acceptant les conditions d’utilisation l’internaute donne son consentement au contrat de droit et responsabilité, mais aussi au traitement de données personnelles. L’acceptation des politiques de confidentialité joue un rôle important dans la mise en place du processus de traitement de données. En d’autres termes, les politiques de confidentialité permettent à l’internaute de formuler son consentement au traitement de données personnelles. Pour autant, ils sembleraient qu’elles soient aujourd’hui mal appréhendées par les internautes.

Pour établir ce problème, il a fallu se rapprocher de l’opinion de l’internaute. Cela a alors permis de confirmer le postulat, largement répandu, selon lequel les individus ne lisent rigoureusement les politiques de confidentialité lorsqu’ils s’inscrivent à un site de réseautage. En effet, les études vont démontrer qu’en termes d’importance et de fréquence les politiques de confidentialité ne sont pas lues par les internautes.

Plus précisément, lors de l’inscription à un site Web, il convient de constater que :

- Dans une étude menée par la Commission européenne, en 2015, seulement 7% des internautes français disaient lire toujours ou fréquemment les conditions d’utilisation (comprenant les politiques de confidentialité). En 2014, dans le même ordre d’idée, une étude Ipsos France révélait que 67% d’entre eux assuraient lire que rarement ou jamais91 _{ces conditions d’utilisation.}

- Dans une étude menée en 2012 par le Commissariat à la protection de la vie privée du Canada, seulement 6% des internautes canadiens assuraient lire toujours ou

fréquemment les conditions d’utilisation (comprenant les politiques de

confidentialité). Dans cette même étude 50% d’entre eux affirmaient lire que

rarement ou jamais92 _{ces conditions d’utilisation.}

On peut déduire de ces chiffres que durant la phase d’inscription une écrasante majorité des internautes ne lit pas systématiquement les conditions d’utilisation. Cette

91 _{« Les français et le Big Data », (2015), Ipsos-France, Enquête auprès des consommateurs p.16 et p.28} 92 _{Canada, Commissariat à la protection de la vie privée du Canada, Sondage auprès des Canadiens sur les}

27

difficulté d’appréhension des politiques de confidentialité ne s’observe pas que dans la fréquence des lectures des internautes. Cette difficulté d’appréhension se retrouve aussi dans l’importance de celle-ci. Ainsi, on peut aussi observer que :

- Dans une étude menée en 2015 par la Commission européenne, seulement 12% des internautes français assuraient lire les conditions d’utilisations (et politique de confidentialité) en entier93_.

- L’étude n’a pas été réalisée au Canada, mais à titre d’illustration, dans l’étude européenne 18% des internautes européens assuraient lire les conditions d’utilisation (comprenant les politiques de confidentialité) en entier94 _{selon cette} même étude. Il ne semble donc pas s’agir que d’une spécificité de l’internaute français, mais d’un phénomène plus global.

Ces études relèvent que les internautes lisant entièrement et constamment les conditions d’utilisation sont une minorité. Ils sont donc une majorité à lire partiellement ou occasionnellement les conditions d’utilisation. De plus, les politiques de confidentialité nécessitent généralement une manœuvre supplémentaire pour pouvoir être lues. Ainsi, le nombre d’internautes lisant entièrement et constamment les politiques de confidentialité pourrait être encore plus faible en comparaison avec celui de ceux lisant les conditions d’utilisation. En conclusion de ces chiffres, on peut supposer que les politiques de confidentialité ne sont que rarement appréhendées par les internautes.

Alors que ces politiques de confidentialité se présentent comme le support juridique du consentement au traitement de données, nous venons de voir que les internautes les consultent peu. En raison de ce constat, il est raisonnable de s’interroger sur le bien-fondé juridique du recours aux politiques de confidentialité dans le processus de traitement de données personnelles sur les sites de réseautage social.

93_{CE, Opinion publique : Special Eurobarometer 431 « Data protection » [2015], catalogue}

n°DS-02-15-415-EN-N p84. T62. (Dans l’étude, 45% des internautes déclarent ne pas lire les conditions d’utilisation, 42% disent lire en partiellement et 12% en entier, 2% ne s’étant pas prononcés.)

94 _{Ibid. p84. T62. (Dans l’étude, 31% des internautes déclarent ne pas lire les conditions d’utilisation, 49%}

28

iii.b. La question de recherche : les politiques de confidentialité permettent-elles à l’internaute de formuler un consentement valide ?

Le problème que nous venons de soulever amène à plusieurs interrogations de tout ordre, sociologique, psychologique et juridique. Dans la mesure où les politiques de confidentialité servent de support juridique au consentement de l’internaute au traitement, si elles ne sont pas lues on pourrait légitimement se questionner sur leur pertinence juridique. Cela nous permettrait d’évaluer leur légitimité pratique. Après quoi nous pourrions aussi nous questionner sur de potentielles obligations de l’internaute. Afin de synthétiser ces problèmes, la présente étude se propose de répondre à la question de recherche suivante : les politiques de confidentialité permettent-elles à l’internaute de formuler un consentement valide ?

Cette question de recherche permet de mettre en relation deux éléments qui apparaissent importants pour comprendre le problème à savoir les conditions légales de validité du consentement et le support du consentement, les « politiques de confidentialité ». Plus exactement, nous l’avons vu, il s’agit de se questionner sur la pertinence des politiques de confidentialité dans le contexte de traitement de données personnelles réalisées par les sites de réseautage. S’il peut paraître pertinent de s’interroger sur cette question de recherche, c’est parce qu’elle permet de regrouper plusieurs interrogations juridiques précises :

- Quelle est la pertinence de la notion de consentement en matière de traitement de données personnelles ?

- Quelles sont les conditions de validité du consentement ?

- Par rapport à ces conditions de validité, quelles sont les obligations incombant aux organisations chargées du traitement ?

- Par rapport à ces exigences, quelle est la pertinence des politiques de confidentialité ?

- Quelle est l’efficience de ces politiques de confidentialité auprès de l’internaute ? - En cas d’insuffisance, quels sont les outils pour améliorer ce support de

consentement ?