Londres oublie ses données personnelles
Alors que nous annoncions il y a peu, l'impossibilité pour le gouvernement anglais d'appliquer les directives européennes liées à la protection de la vie privée sur le web, ce dernier à modifié le texte onze heures avant la date limite. La nouvelle version de la loi opère un revirement radical puisqu'elle transfère quasiment toute responsabilité aux internautes.
Le 26 mai 2012, le gouvernement britannique devait mettre en application la transposition dans le droit anglais de la législation européenne sur la protection des données. Mais contre toute attente, le parlement a pourtant fait modifier le texte onze heures avant la date limite livrant une version qui devient beaucoup moins contraignante pour les éditeurs de sites web.
Alors que le texte précédent était basé sur de l’opt-in (le site devait obtenir le consentement préalable de l’internaute sur les cookies transitant par sa plateforme avant que les cookies ne puissent recueillir des informations) le texte remanié exige des sites qu’ils fassent des efforts en matière de clarté sur la nature des cookies transitant par leur plateforme. Il implique également que les internautes aient un “niveau de compréhension général” de ce qui est fait de leurs données personnelles lorsqu’ils arrivent sur une page.
Les systèmes existants auront donc simplement à “faire les changements qu’ils estiment être les plus pratiques” pour se mettre à niveau et être transparents sur leur politique en matière de confidentialité des données. Il pourra s’agir d’une icône sur laquelle cliquer, d’un e-mail envoyé, ou d’un service auquel l’internaute pourrait souscrire.
Le texte insiste par ailleurs sur l’importance de l’information procurée à l’utilisateur. Il indique que ce dernier doit être pleinement informé du fait qu’une simple lecture des informations sur la politique de gestion des cookies par le site peut valoir consentement.
En d’autres termes, un site peut au minimum afficher une note d’information renvoyant vers une explication précise des buts de chaque cookie en activité. Cette note d’information censée être visible agit comme un faire valoir et suppose que l’internaute anglais accepte les conditions du site en matière de vie privée même s’il ne l’a pas lue.
Dans le meilleur des cas, le site demandera explicitement à l’internaute s’il accepte ou refuse les cookies. La loi n’est cependant pas claire sur cet accord potentiel de l’utilisateur. On peine à savoir si le consentement concernera les cookies dans leur intégralité ou si l’utilisateur pourra ou non refuser des cookies selon leurs fonctions.
Si la loi, avant modification, donnait la responsabilité de la gestion des cookies aux sites, la nouvelle version transfère la responsabilité aux internautes à qui il appartiendra désormais de paramétrer leurs navigateurs ou d’utiliser les logiciels nécessaires pour gérer au mieux ces cookies. Problème, les moyens techniques permettant de gérer les cookies en opt-in sont encore peu nombreux et souvent d’une efficacité relative.
En outre, en remplaçant le terme de consentement préalable par le terme de consentement implicite il crée une large faille. L’internaute pourrait “accepter” (lire les informations sur les cookies opérant sur le site qu’il visite) la charte du site en matière de vie privée alors même que certains cookies pourraient déjà avoir été envoyés sur son ordinateur.
Comme le souligne le commissaire à l’information du gouvernement anglais sur le sujet, certains sites envoient des cookis dès que l’internaute accède à la page d’accueil. Dans ce cas, le texte encourage les sites Ã
prendre des mesures pour réduire au maximum le délai temporel avant lequel l’utilisateur est informé de la nature des cookies présents et de leurs buts.
Par ce revirement soudain, le gouvernement anglais pond un texte probablement plus pragmatique dans sa mise en application mais beaucoup moins performant en matière de protection des données. Non seulement la loi pose comme base le consentement implicite de l’internaute , mais le gouvernement se dédouane par la même occasion de toute responsabilité en matière de moyens techniques de gestion des cookies. À l’utilisateur et aux éditeurs de sites de trouver les moyens de protéger leur données.
Enfin, en raison de l’impossibilité de faire une chasse aux dizaine de milliers de sites de facto considérés comme illégaux, la loi demeure quasi inapplicable…
Cookies par Ssosay [CC-by] via Flickr
Laisser un commentaire