Pour la première fois, la Commission européenne somme un Etat membre de modifier sa législation sur la protection des données personnelles sur Internet afin d’interdire l’usage d’une technique de publicité comportementale baptisée Phorm.
L’affaire débute en avril 2008 à la suite de plaintes de citoyens britanniques et de membres du Parlement européen relatives à l’utilisation par les fournisseurs d’accès à Internet de la technologie Phorm. Celle-ci permet de suivre et d’analyser les habitudes de navigation des internautes afin de leur adresser des publicités ciblées, correspondant à leurs centres d’intérêt particuliers. Des milliers d’internautes britanniques abonnés au fournisseur d’accès British Telecom ont ainsi été espionnés à leur insu. BT et deux autres fournisseurs d’accès britanniques, Virgin Media et Talk Talk, cumulant 70 % des accès à Internet en Grande-Bretagne, ont passé un accord avec Phorm sans en avertir leurs clients. La technique utilisée est plus intrusive que celle bien connue désormais des moteurs de recherche comme Google ou Yahoo! en matière de liens sponsorisés. A la différence notable d’autres programmes de publicité comportementale, le logiciel Phorm, comme d’autres applications semblables, NebuAd ou Frontporch, est activé dès la connexion à Internet. Directement installé sur les serveurs du fournisseur d’accès, Phorm peut donc traquer en permanence les pratiques de navigation des internautes. Ces informations peuvent ensuite être revendues aux sites Web et agences de publicité sous contrat avec la société Phorm.
Depuis juillet 2008, la Commission mène une enquête auprès des autorités britanniques sur la mise en application au Royaume-Uni de la législation européenne en matière de protection de la vie privée dans le secteur des télécommunications. Selon la loi britannique, l’interception des communications est autorisée à condition qu’il y ait « raisonnablement lieu de croire que la personne concernée y consent ». Constatant des manquements à la directive européenne relative à la vie privée et aux communications électroniques (directive 2002/58/CE), d’une part, et à la directive sur la protection des données à caractère personnel et à la libre circulation de ces données (directive 95/46/CE), d’autre part, la Commission européenne a ouvert une procédure d’infraction contre le Royaume-Uni, en lui adressant, le 14 avril 2009, une lettre de mise en demeure. Bruxelles attend du gouvernement britannique qu’il applique la législation européenne en interdisant l’usage par les fournisseurs d’accès de technologies ne respectant pas la confidentialité des communications, telles que Phorm.
Selon le principe de base de la législation européenne, les données personnelles ne peuvent être utilisées qu’avec l’accord préalable de la personne. Or, en avril 2008, British Telecom a reconnu avoir procédé, en 2006 et 2007, à des tests de la technologie Phorm sans en avertir ses abonnés. L’affaire a été rendue publique à la suite des plaintes déposées auprès de l’Information Commissioner’s Office (ICO), autorité britannique de protection des données financée par le ministère de la justice, et auprès de la police britannique, par les clients de l’opérateur télécom lorsque celui-ci les a invités, entre octobre et décembre 2008, à essayer la technologie Phorm installée sur son service d’accès à Internet. Selon l’ICO, le Data Protection Act britannique de 1998, entré en vigueur en 2000, autorise les techniques de ciblage comportemental, à condition que l’internaute soit volontaire : « Un contrôleur de données n’a pas le droit d’utiliser les informations sur un individu à des fins de marketing direct, s’il a fait une demande allant dans ce sens ».
Le Royaume-Uni devra apporter une réponse satisfaisante à l’injonction de la Commission européenne dans un délai de deux mois. Dans le cas contraire, l’affaire sera portée devant la Cour de justice des Communautés européennes.
Sources :
- « La pub, l’internaute et son cyberciblage », Bertrand Le Gendre, Le Monde, 30 juin 2008.
- « Télécommunications : la Commission ouvre une procédure d’infraction à l’encontre du Royaume-Uni au sujet de la protection de la vie privée et des données à caractère personnel », Press releases, IP/09/570, Bruxelles, europa.eu, 14 avril 2009.
- « Affaire Phorm : Bruxelles demande des comptes au Royaume-Uni », Arnaud Devillard, 01net.com, 15 avril 2009.
- Résumé de la législation – Data Protection Act 1998, ico.gov.uk
