Ashkan Soltani : "Permettre aux utilisateurs de contrôler leurs données simplement et efficacement à partir du navigateur"

17 mars 2021

LINC a interviewé interviewed Ashkan Soltani, chercheur indépendant, l'un des créateurs de "Do Not Track".  Il conduit aujourd'hui les travaux sur le Global Privacy Control, un projet qui vise à permettre aux internautes de communiquer automatiquement leurs préférences en matière de confidentialité à partir du navigateur.

Sous l’impulsion de la FTC et de la Commission européenne, le W3C (pour World Wide Web Consortium, l'organisation responsable de la normalisation du web) a créé en 2011 le groupe de travail DNT afin de développer une norme permettant à chaque utilisateur du web de refuser facilement le suivi des sites web depuis les paramètres de son navigateur. Ce groupe a collaboré sur une spécification technique pour les navigateurs et les sites web, divisée en deux documents : Le Tracking Compliance and Scope, qui définit les obligations auxquelles les éditeurs de sites web doivent se conformer pour respecter le signal DNT, et le Tracking Preference Expression, qui définit le protocole et les messages qui peuvent être échangés entre les serveurs et les navigateurs. En raison du manque d’adoption et de soutien sur ces deux spécifications, la première est tombée en désuétude en 2016 et la seconde a été déclarée obsolète en 2019. 

L'un des architectes du DNT, Ashkan Soltani, conduit aujourd'hui les travaux sur le Global Privacy Control (ou GPC), afin de le rendre disponible aux utilisateurs d’une part, et respecté par les éditeurs, d’autre part. Le GPC s'inspire de l'histoire du DNT, créant un moyen pour les utilisateurs d'exprimer leur opposition à la vente de leurs données personnelles (the « Do Not Sell My Personal Information ») tel que défini par la loi californienne sur la vie privée des consommateurs (CCPA). M. Soltani a pris le temps de répondre à quelques questions pour nous aider à comprendre ce qu'est précisément le GPC et comment il pourrait accompagner les utilisateurs dans l’exercice de leurs droits.

 

Qu'est-ce que le GPC ?
  

Le Global Privacy Control (GPC) est une proposition de normalisation, élaborée par un consortium d'entreprises et de particuliers soucieux du respect de la vie privée, et conçue pour permettre aux internautes de communiquer automatiquement aux entreprises avec lesquelles ils interagissent leurs préférences en matière de protection de la vie privée. Elle repose d’une part sur un paramétrage ad-hoc des navigateurs, d’extensions de navigateur ou d’appareils mobiles et, d’autre part, sur un signal que peuvent utiliser les éditeurs pour informer de la prise en compte de cette norme. L'effet juridique d'un signal GPC dépend de la législation locale. Par exemple la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act ou CCPA) demande aux entreprises de respecter les demandes d’opposition des consommateurs à la vente de leurs informations personnelles, envoyées via un signal tel que le GPC. Le GPC est actuellement utilisé par quelque 40 millions de personnes ainsi que par des grands éditeurs, comme le New York Times et le Washington Post qui ont annoncé qu'ils considèreront le GPC comme un moyen valide d’opposition en vertu de la loi californienne.    
 

Quelles sont les différences entre le GPC et le DNT et comment le GPC va-t-il éviter le même manque d’adoption ? 

 

Le Do Not Track (DNT) est un mécanisme technique similaire proposé en 2009 et qui a été adopté par plusieurs fournisseurs de navigateurs et sites web. Malheureusement, il n'y a pas d'obligation légale pour les entreprises de l'honorer, de sorte que la plupart des entreprises ignorent la préférence exprimée par ce signal, ou déclarent qu’elles ne le respecteront tout simplement pas.  

Le GPC a, lui, une base juridique pour être reconnu, du moins aux États-Unis. Les règlements promulgués en vertu du CCPA demandent aux entreprises qui collectent des données en ligne qu'elles traitent les "contrôles de confidentialité globaux activés par l'utilisateur, tels qu'un plug-in de navigateur ou un paramètre de confidentialité" (user-enabled global privacy controls, such as a browser plug-in or privacy setting) comme des demandes d’opposition valides (règlements de la CCPA § 999.315(c)). D'autres juridictions pourraient également fournir une base juridique pour respecter les signaux du GPC. Par exemple, le RGPD permet aux personnes concernées d'utiliser des moyens automatisés pour s'opposer au traitement de leurs données personnelles (art. 21(5)). A la suite de l’adoption de GPC, d'autres juridictions pourraient adopter des obligations légales imposant aux entreprises de respecter ces signaux d’opposition.  

Une autre différence entre le DNT et le GPC concerne l’entité en mesure de recevoir ce signal d’opposition. Alors que le DNT envoie un signal à l’ensemble des tiers déposants des traceurs sur une page, comme les annonceurs, le GPC communique directement avec le site web visité, en lui indiquant que le visiteur ne veut pas que ses informations soient vendues. 
 

Pourquoi un tel signal devrait-il être traité au niveau du navigateur et non au niveau de chaque site ?   
 

Les individus disposent d'un large éventail de droits en matière de protection des données qui s'appliquent de manière circonstanciée. Cependant, même lorsque ces droits existent, les individus peuvent ne pas avoir le temps, l'énergie ou l'attention nécessaire pour les exercer. Ou bien les entreprises peuvent complexifier inutilement l'exercice de ces droits en espérant que les individus renonceront à exprimer leurs droits. Des études sur l'exercice du droit à la vie privée dans le cadre du CCPA ont montré qu’exercer son droit d’opposition auprès des sites web est long, pénible et déroutant. Une situation similaire peut être observée avec les débats sur le consentement en Europe. Le fait de placer un paramètre de confidentialité dans le navigateur permet aux utilisateurs de contrôler simplement et efficacement les choix en termes de vie privée depuis un seul emplacement, plutôt que d’avoir à naviguer dans des menus complexes et des politiques de confidentialité et ce, pour chaque site visité. L'emplacement centralisé du GPC remet l'utilisateur aux commandes de ses choix et lui donne la souplesse nécessaire pour naviguer sur l'internet en toute confiance, dans le respect de sa vie privée et de la sécurité de ses données.  

Le GPC permet en outre d’exprimer les choix des utilisateurs site par site. Par exemple, en Californie, la réglementation sur la protection de la vie privée demande que lorsque le signal GPC d’un utilisateur entre en conflit avec les paramètres de confidentialité déjà existants pour l’entreprise, celle-ci doit respecter le signal GPC. Ce dernier peut en revanche informer le consommateur de ce conflit et lui donner la possibilité de confirmer le paramètre de confidentialité spécifique à l'entreprise ou au programme d'incitation financière. Cela permet au consommateur de prendre des décisions simples et éclairées sur la protection de ses données tout en bénéficiant de leurs éventuelles réutilisations.  
 

Quel est, ou dans l’idéal serait l'effet juridique de ce signal aux États-Unis ? Et (à votre avis) en Europe ?  
 

La réception d'un signal GPC peut avoir des implications juridiques, suivant des facteurs comme l'emplacement de la personne qui envoie le signal et la portée de la loi applicable, ainsi que de tout accord entre le destinataire du signal et la personne concernée. 

En Californie, le GPC est reconnu comme un moyen d’expression valide du refus de la commercialisation d'informations personnelles, définie dans la CCPA comme l'échange d'informations personnelles contre rémunération, monétaire ou non. Sur cette base, le GPC permet aux consommateurs de refuser de nombreuses pratiques de partage de données, comme le fait qu'une entreprise partage des informations personnelles avec un annonceur tiers.  Le Nevada dispose d'une disposition similaire de "Ne pas vendre" (« Do Not Sell ») dans sa récente loi sur la protection de la vie privée, le SB220. De nombreux autres États américains ont également une législation sur la protection de la vie privée en attente pour reconnaître de tel droit. 

En Europe, l'article 21, paragraphe 5, du RGPD permet à la personne concernée de s'opposer à certaines formes de traitement de ses données par des moyens automatisés. Le GPC tel qu'il est actuellement défini, signalant ce souhait de ne pas voir ses données "vendues ou partagées", pourrait être interprété comme une spécification technique permettant d'exercer entre autres son droit d'opposition. 

En fin de compte, les régulateurs qui sont en charge d'interpréter et d'appliquer les lois doivent fournir des orientations et éventuellement prendre des mesures contre les entreprises qui ignorent les demandes de ces personnes. Notre objectif est de fournir un cadre souple et facile à utiliser pour permettre aux sujets d'exercer leurs droits.

 

Pensez-vous qu'à l'avenir, le GPC pourrait être étendu pour prendre en charge d'autres types de signaux juridiques tels que le consentement pour la lecture/écriture de cookies et autres traceurs dans le navigateur comme défini par le RGPD et ePrivacy?
 

Les règles actuelles relatives à la protection de la vie privée en ligne comprennent des dispositions selon lesquelles le consentement du consommateur au traitement peut être exprimé par un navigateur (considérant 66 de la directive 2009/136CE modifiant la directive 2002/22/CE « ePrivacy »)). En outre, et à l’instar de la Californie, l'application de ces exigences devrait être rendue plus efficace grâce à des pouvoirs accrus accordés aux autorités nationales compétentes. La proposition de la Commission européenne concernant les futures règles relatives à la vie privée en ligne et les amendements du Parlement européen indiquent également une disposition qui permet aux personnes d'exprimer et de retirer leur consentement par le biais d'un protocole technique. Bien que les détails des propositions législatives diffèrent entre les positions de la Commission européenne, du Parlement européen et du Conseil de l'Union européenne, nous ne pouvons pas exclure que les futures règles relatives à la vie privée en ligne englobent le concept suivant lequel le consentement exprimé par les utilisateurs finaux par l'intermédiaire d'un navigateur est juridiquement contraignant pour les sites web qu'ils visitent.

Une façon de comprendre le GPC dans le cadre de la directive ePrivacy et du RGPD est qu'il permet de transmettre la volonté de la personne concernée que le site qu'elle visite soit l'unique responsable du traitement de ses données personnelles (un équivalent très proche de l'injonction à "ne pas vendre"). Cela peut être mis en œuvre par le biais de mécanismes spécifiques déjà présents dans le règlement. Ainsi, lorsque la base juridique est le consentement, le signal pourrait être interprété comme signifiant un retrait du consentement (art. 7(3)) au traitement par un responsable autre que le domaine principal. Lorsque la base juridique est un intérêt légitime, le GPC pourrait être interprété comme exprimant une opposition (art. 21 du RGPD) à cette même catégorie de traitement.

Enfin, le GPC est un protocole extensible, il pourrait être étendu vers un principe d'invocation (ou de révocation) de droits supplémentaires qui ne correspondraient pas forcément au principe "Do Not Sell". Par exemple, la spécification pourrait ajouter des signaux supplémentaires qui pourraient être adaptés pour spécifier des droits supplémentaires, bien qu'il y ait ici des compromis à faire en termes de simplicité et de respect de la vie privée.  

Ashkan Soltani

Publié le 17 mars 2021

Ashkan Soltani est chercheur indépendant, spécialiste de la protection des données et de la vie privée, et de la régulation des technologies. Il fut conseiller auprès du Chief Technology Officer au sein du bureau de la politique scientifique et technologique (Office of Science and Technology Policy ) de la Maison Blanche, et Chief Technology Officer de la Federal Trade Commission (FTC).  

Ashkan Soltani est l'iun des créaturs de'Do Not Track' at l'undes architectes du California Consumer Privacy Act puis du California Privacy Rights Act.

 

Vous pouvez le contacter à cette adresse : info [a] globalprivacycontrol.org