BT est à l'Angleterre ce que Belgacom est au royaume de Belgique. Entre 2006 et 2007, l'opérateur télécom historique anglais a testé, à l'insu de ses abonnés, une technologie d'analyse automatique des habitudes de navigation des internautes. En réaction, la Commission européenne a ouvert une procédure d'infraction à l'encontre du Royaume-Uni relative aux publicités comportementales en ligne.

La fondation Wikimedia, éditrice de l'encyclopédie Wikipedia, a demandé à être exclue du programme Phorm. Dans une note sur son blogue technique, les éditeurs de Wikipedia expliquent ainsi que " après quelques discussions et sans attendre la décision des autorités britanniques, nous demandons que les domaines placés sous notre responsabilité - soit Wikidata, Quickipedia, Wikidisclosure et l'incontournable Wikipedia - soient désormais exclus du programme de traçage Phorm ". Une semaine plus tôt, Amazon avait fait la même démarche. Qu'est-ce que Phorm ? Une société qui a mis au point l'OIX (Open Internet Exchange) pour le scanning de la navigation des internautes. Trois fournisseurs d'accès britanniques (Virgin Media, Talk Talk en plus de BT) ont signé un accord afin de l'utiliser sur leurs réseaux.

Tracer à la culotte
La technologie de Phorm permet de rassembler des informations sur les internautes, en fonction des sites qu'ils visitent et de leurs " comportements " (les pages visitées, la durée des consultations, les images visualisées, les déclics d'achat, …), afin de proposer les publicités les plus " adéquates et personnalisées " possibles. Phorm permet d'analyser de manière constante les habitudes de navigation des internautes afin de déterminer leurs intérêts et de leur présenter des publicités ciblées lorsqu'ils consultent certains sites Internet. La plate-forme Phorm permet d'acheter des espaces publicitaires micro-ciblés en ligne, basés sur des analyses comportementales réalisées en étudiant le parcours des consommateurs de site en site. BT a admis avoir testé Phorm en 2006 et 2007 sans en informer les utilisateurs concernés. D'octobre à décembre 2008, BT a procédé à un nouvel essai de cette technologie, cette fois sur invitation. Commentaire de BT : " Les tests sont maintenant terminés. Nous avons atteint notre objectif principal qui était de tester tous les éléments nécessaires à un déploiement à grande échelle, notamment le fait de déployer un petit volume de publicités sur une cible spécifique. Après l'analyse des résultats du test et l'exécution des modifications requises pour l'expansion, nous prévoyons de passer au déploiement ".

Plaintes
Les " tests " de BT n'ont pas recueilli que des indices comportementaux. Ils ont aussi fait fleurir plusieurs plaintes adressées par des internautes quelque peu rétifs à se voir transformer en vitrine à l'intention de la police britannique et de l'ICO (Information Commissioner's Office), l'équivalent de notre Commission de protection de la vie privée. De son côté, la Commission a envoyé plusieurs lettres aux autorités britanniques pour leur demander des informations sur la façon dont elles mettent en œuvre - et contrôlent - la législation communautaire pertinente dans le contexte de Phorm. La lecture des réponses ne satisfait pas la Commission qui redoute que des problèmes " structurels " ne se posent quant à la manière dont le gouvernement britannique a traduit et mis en œuvre les règles communautaires devant garantir la confidentialité des communications. La Commission s'inquiète également du fait qu'il n'existe aucune autorité de surveillance nationale indépendante s'occupant de ces interceptions au Royaume-Uni.

A la loupe
Viviane Reding, commissaire européenne chargée des télécommunications : " Nous ne pouvons pas avoir tous nos échanges surveillés, compilés et stockés, contre la promesse de publicités plus appropriées. La réglementation européenne est claire comme de l'eau de roche : les données personnelles ne peuvent être utilisées qu'avec l'accord préalable de la personne. Nous ne pouvons pas abandonner ce principe de base juste pour se voir adresser des publicités toujours plus pertinentes. Nous suivons le dossier Phorm depuis quelque temps et nous sommes parvenus à la conclusion que certains problèmes se posent dans la manière dont le Royaume-Uni a mis en œuvre certaines parties de la réglementation communautaire relative à la législation nationale afin de garantir que les autorités du pays disposent des pouvoirs nécessaires et des sanctions appropriées pour mettre en œuvre la légis-lation communautaire en matière de confidentialité des commu-nications. Le Royaume-Uni pourrait ainsi relever plus énergiquement les nouveaux défis liés à la protection de la vie privée dans le secteur des communications électroniques et à la protection des données à caractère personnel, tels ceux qui se présentent dans le dossier Phorm. Les européens doivent avoir le droit de décider de quelle manière sont utilisées leurs informations personnelles ".

Publicité comportementale
La publicité comportementale est le sujet en vogue du moment chez tous les vendeurs en ligne. Après Facebook, Microsoft, Platform-A (l'ex AOL), Yahoo! YouTube, Google est le dernier acteur à sortir une solution mûrie depuis de longues années. La société a déjà posé des brevets en ce sens en 2005 et testé son outil aux USA en 2006. Depuis, Google a fusionné ses données avec celles du numéro mondial de la publicité en ligne, Doubleclick, qu'elle a racheté pour 3,1 milliards de dollars. Aujourd'hui, elle annonce aux annonceurs qu'ils pourront désormais " cibler les visiteurs par centre d'intérêt " sur le réseau des sites partenaires de Google et sur YouTube. Pratiquement, vous serez catalogué par Google en fonction de votre navigation (sport, tourisme, multimédia, bourse, …), afin de construire et d'affiner un profil qu'on mettra en adéquation avec les publicités qu'on vous injectera au fur et à mesure de vos périples sur le net. Par exemple, si vous avez recherché des sandales sur un site de vente en ligne en mars, ce site pourrait alors vouloir vous proposer des annonces lors de votre navigation sur d'autres sites web en décembre, pour vous signaler ses soldes d'hiver sur les bottes. Et si un internaute regarde souvent des vidéos de voitures sur YouTube et a visité des sites d'informations automobiles sur le réseau de Google, il sera considéré comme intéressé par l'automobile et aura ainsi " l'opportunité " de voir davantage d'annonces concernant ce domaine sur le réseau de sites partenaires de Google et YouTube.

Des pubs juste pour vous
Andreas Schönenberger, Country Manager du siège Suisse de Google : " Nous pensons pouvoir rendre la publicité sur Internet encore plus utile en offrant plus d'informations sur les visites des sites. Nous lançons aujourd'hui en version bêta la publicité ciblée sur les centres d'intérêt sur YouTube et le réseau de sites partenaires de Google. Ces annonces associeront à l'internaute des affinités, telles que le sport, l'automobile, ou encore les animaux de compagnie, en fonction des types de sites visités et des pages vues. Nous pourrons alors utiliser ces centres d'intérêt pour proposer aux internautes des annonces texte au format display plus pertinentes. Ainsi, si l'internaute est passionné de voyages et visite de nombreux sites de voyages, Google pourra lui proposer davantage d'annonces sur ce domaine. Nous pensons que notre capacité à présenter l'annonce adéquate au bon moment à la personne intéressée s'améliorera à mesure que nous créerons et modèlerons des catégories d'intérêt. Le ciblage par centres d'intérêt créera de nouvelles opportunités pour les marques et les annonceurs recherchant un contact direct et pertinent et aidera les éditeurs à mieux monétiser leur contenu sur Internet ". Mieux monétiser les contenus sur Internet : on reconnaît bien les profondes valeurs d'une société dont la mission est " d'ouvrir à tous les savoirs universels ". Et rajoutent certaines mauvaises langues, de s'en mettre au passage un maximum dans les fouilles. Mais chat échaudé craint l'eau froide : Google anticipe les critiques des mauvais joueurs en donnant d'emblée accès aux utilisateurs à un gestionnaire de préférences publicitaires qui permettra de supprimer des centres d'intérêt attribués par Google, ou de refuser toute annonce basée sur ce système.

Menaces
L'émergence des techniques de publicité comportementale n'est pas sans danger. A qui rapporte la publicité en ligne ? Aux annonceurs si la publicité est efficace, aux régies publicitaires et aux fournisseurs de contenus qui accueillent les publicités sur leurs pages (l'équivalent des éditeurs dans la presse). " Or ", explique Bernard Peyrat, Conseiller à la cour de cassation en France et membre de la CNIL, dans un rapport " la publicité ciblée en ligne " communiqué en séance plénière de la Commission Nationale Informatique et Libertés le 5 février 2009 : " La frontière entre les fournisseurs de contenu et de publicité tend à disparaître chez Google, Yahoo, Microsoft ou AOL. Dès lors, ces " fournisseurs " ont à la fois des données personnelles explicitement fournies par l'internaute, et des données collectées à travers le suivi du comportement de celui-ci. Si aujourd'hui, les transferts de données personnelles entre les " fournisseurs " de contenus ou de publicités et les annonceurs sont inexistants ou limités, rien n'indique que cette frontière ne sera pas un jour franchie ".

Vases communiquants
Bernard Peyrat : " Ce risque pourrait avoir des conséquences importantes qui doivent être prises en considération pour au moins deux raisons. Tout d'abord, l'état de la technologie actuelle permet à tous les acteurs d'échanger des informations de manière simple et sans contrôle de l'internaute. Lorsqu'un internaute clique sur une publicité affichée par un fournisseur de publicité, aucune barrière technologique n'empêche le fournisseur de publicité de transférer des informations sur l'internaute à l'annonceur (exemple : sexe, tranche d'âge, dernières pages visitées, mots clés, etc.). D'ores et déjà, si l'annonceur a réalisé une publicité selon des critères très ciblés et si un internaute " clique " sur celle-ci, l'annonceur pourra en déduire que l'internaute possède certaines caractéristiques associées au profil concerné. Ensuite, les fournisseurs de publicités ou de contenus sont tentés de monétiser une partie des informations qu'ils détiennent sur les internautes auprès des annonceurs. L'annonceur peut déjà faire une sélection de ses clients basée sur un risque (en fonction de l'âge, localisation, revenus estimés, etc.) ou pourrait proposer une tarification " à la tête du client ".

Déjouer la loi
" En théorie, la loi permet d'encadrer ces échanges de données entre un fournisseur de publicités (ou de contenus) et un annonceur. Cependant, qu'en serait-il si ces échanges n'impliquaient pas des données à caractère personnel ? Peut-il s'agir de données générales propres au profil " anonyme " de l'internaute (ex : âge, sexe, localisation). Dans ce cas, le fournisseur de publicités ou de contenus utiliserait sans doute l'argument de " l'anonymat " des profils constitués et transférés pour se soustraire aux contraintes de la loi. L'annonceur pourrait quant à lui réaliser une " dés-anonymisation " des données reçues, en les associant avec les données qu'il collecte ".

A la tête du client
Les conséquences d'une connivence entre le fournisseur de contenus ou de publicités et l'annonceur permettent d'envisager un certain nombre de risques importants pour les libertés. Une société d'assurance ou de crédit pourrait procéder à une estimation de solvabilité ou de la santé du demandeur à son insu. Les sites de recrutements pourraient sélectionner des personnes recevant l'offre d'emploi en fonction de leurs orientations sexuelles, les opinions politiques, la santé, etc. Les prix pourraient être " modulés " en fonction du profil de l'internaute ".

En cas de vol…
" Comme le coût de stockage des informations est de plus en plus faible et comme les internautes produisent de plus en plus de données et de traces, il est très tentant de collecter un maximum de données sur les internautes même si la finalité de chaque donnée n'est pas toujours établie au moment de la collecte. En parallèle, la puissance de calcul croissante et le perfectionnement constant des outils de " data-mining " permet d'envisager des analyses de plus en plus poussées de ces entrepôts de données personnelles. En cas de faille grave dans les systèmes informatiques stockant ces données, c'est une mine d'informations qui pourrait s'offrir à un tiers mal intentionné. Ce risque est accru si les éléments collectés incluent des données sensibles (données de santé, opinions politiques, sexualité, etc.). Cette inclusion pourrait être purement accidentelle, par exemple, si l'on collecte les centres d'intérêts de l'internaute et que parmi ceux-ci figurent une maladie qui le touche ou des opinions politiques. Dans sa charte de confidentialité, Yahoo indique expressément prendre des mesures pour exclure les données sensibles de la collecte liée au profilage des internautes, ce qui prouve que la question se pose d'ores et déjà. Il est à parier que Microsoft et Google ont des garanties similaires, mais qu'en est-il en pratique ? Qu'en est-il d'acteurs moins connus ou désireux de se distinguer de la compétition ? ". Affaire à suivre, comme on dit dans ces cas là...