Le 28 mars 2002 la United States District Court for the Southern District of New York a publié une proposition d’établissement, "proposed settlement", dans l’affaire intéressant la société de profilage des internautes "Doubleclick".

Cette proposition affecte l’ensemble des internautes américains qui ont eut un cookie doubleclick implanté sur leur disque dur entre le 1er janvier 1996 et le 28 mars 2002.

Quelles seront les conséquences européennes de cette décision ?

les méthodes de Doubleclick

Doubleclick a organisé un système de collecte d’informations au niveau mondial qui a de fortes répercussions en Europe. Il s’agit de l’une des plus importantes sociétés de commercialisation d’espace publicitaire sur le net, la caractéristique essentielle de son service étant de proposer une offre marketing individualisée pour chaque internaute ( one to one notamment).

La publicité sur le net prend alors la forme d’une bannière( banner) qui s’affiche surabondamment à la page demandée par l’internaute.

Cette bannière contient un hyperlien permettant à l'utilisateur qui clique sur ce dernier d'accéder directement au site web de l'annonceur. En cliquant sur la bannière, l’internaute active un lien invisible par lequel Doubleclick est prévenu de la requête.

L’internaute est alors identifié par un cookie.

Le recours à des cookies du type G.U.I.D.( Global Unique Identifier) attribuant un identifiant unique, pour dangereux qu’il est, semblait provisoirement maintenir l’anonymat des internautes.

Cependant, en 1999 Doubleclick’s a acquit "Abacus Direct Corp", société américaine de marketing direct spécialisée dans le profilage et l'analyse des informations sur les consommateurs américains. Le recoupement des informations des deux sociétés sonnait le glas de l’anonymat des données qui, dès lors devenaient nominatives.

Au regard de ces incidents et de l’absence de transparence de la société en cause quant au détournement de finalité des traitements, 31 plaintes vont être introduites devant la justice américaine, pour aboutir au "proposed settlement" du 28 mars 2002.



Les infractions reprochées à Doubleclick :

- Invasion of privacy,
- Trepass to property,
- Trepass to chattels,
- Conversion,
- Tortious conversion et quantum meruit,
- Unjust enrichment,
- Misrepresentation,
- Negligence,



Le champ d’application du settlement

Le settlement s’adresse à toute personne dont les données ont été traitées par la société Doubleclick’s, et ce sans action positive de leur part :

"All persons in the United States who have had any information about their computers or about them gathered by DoubleClick as a result of their Internet activity or who have had DoubleClick cookies placed upon their computers or browsers from January 1, 1996 through and including March 28, 2002.

The purpose of this Notice is to provide a brief summary of the claims asserted in the Actions and the terms of the proposed settlement. If you wish to be included in the proposed settlement, you do not have to do anything. This Notice also describes what you can do if you wish to be excluded from the proposed settlement, or if you want to object to the proposed settlement."

Cette décision ne concerne que les personnes résidant sur le territoire des Etats-Unis d’Amérique pour la période considérée.

La société en cause ne reconnaissait aucune des fautes qui lui étaient reprochées. Toutefois, au terme de ce "settlement" Doubleclick va devoir adapter sa politique de traitement des données personnelles.


Les mesures prises contre Doubleclick

La collecte d’informations à caractère personnel aux Etats-Unis est soumise à des principes assez proches de ceux que nous connaissons en Europe.

En effet, les traitements de données nominatives ne sont pas interdits en eux-même, mais doivent respecter certains principes :

- Principe d’information des personnes quant à l’existence et la finalité du traitement ;
- Principe de légitimité et de licéïté ;
- Principe d’accès et de modification des données collectées ;
- Principe d’exactitude des données traitées ;
- Principes de finalité et de proportionnalité ;
- Interdiction de principe de la collecte de certaines données : Il s’agit en France et en Europe des données "sensibles" alors que les Américains parlent de "sensitive data".
Les deux systèmes juridiques se retrouvent sur la définition des données sensibles comme étant des données faisant apparaître la religion, l’appartenance politique, les origines raciales des individus… Il est permis de remarquer que les données relatives à domaine de la santé ne faisaient pas expressément partie des données sensibles en France alors que tel était le cas outre-Atlantique.
- Principe de sécurité des données…

Au terme du Settlement et au regard de ces principes, la société Doubleclick va devoir aménager sa politique de gestion des traitements de données personnelles.

En effet, jusqu’à maintenant les collectes effectuées par cette société étaient le plus souvent opérées à l’insu de l’internaute, en violation de son droit à l’information. Les menaces pour la privacy des internautes étaient donc réelles, les principes généraux de traitements des données personnelles n’étant pas respectés.

Dans cette optique le "settlement" précise les mesures d’information que devra adopter Doubleclick :

- DoubleClick devra rendre sa charte relative à la protection de la privacy plus accessible



"DoubleClick's privacy policy will include easy-to-read explanations of specified aspects of DoubleClick's online ad serving services."

- DoubleClick’s devra contribuer à une meilleure information des internautes quant à la protection de leur vie privée sur les réseaux :

"DoubleClick will conduct a public information banner ad campaign, consisting of 300 million banner advertisements, to invite consumers to learn more about how to protect their privacy on the Internet".

- DoubleClick devra respecter la finalité poursuivie par le traitement et informer la personne de tout changement de finalité :

"An Internet user's online data collected by DoubleClick under one version of its privacy policy will not be used in a manner materially inconsistent with that privacy policy, unless DoubleClick has that Internet user's permission to do otherwise".

- DoubleClick devra avoir une politique claire de recoupement des informations :

"If DoubleClick collects personally identifiable information, such information will only be merged with previously collected clickstream from across Web sites under specified conditions, including clear and conspicuous notice and opt-in by the Internet user."

- Afin de remédier aux négligences constatées DoubleClick devra se doter de chartes internes relatives à la protection de la vie privée et aux normes juridiques en vigueur.

"DoubleClick will institute internal polices to ensure the protection and routine purging of data collected online."



- La durée de vie des cookies ne pourra excèder cinq années :

"New DoubleClick ad serving cookies served to Internet users' browsers will expire no more than five (5) years after the date on which each cookie is served".

- Un organisme indépendant sera chargé de rédiger, au regard de ce "settlement", deux rapports annuels sur la gestion des traitements de données personnelles mise en oeuvre par, ou pour le compte de DoubleClik :

"A national independent accounting firm will conduct two annual reviews of DoubleClick's compliance with specified settlement terms."



Doubleclick se voit donc désormais sous haute surveillance.

Les juridictions semblant paliers certaines lacunes de l’autorégulation. Soucieuse de faire un exemple, la cour a condamné la société à verser un million huit cent mille dollars ( 1.800.000 $ ) aux plaignants:

"The Settlement Agreement also provides that DoubleClick will pay the fees and costs ordered by the Court up to $1,800,000 for the 31 law firms representing Plaintiffs."

Cette décision traduit la prise en compte, par les juridictions, de la protection de la vie privée des internautes américains.

Les Etats-Unis, souvent montrés du doigt pour leur protection laxiste des données à caractère personnel, démontrent cependant l’efficacité de leur système. Celui-ci repose sur une réglementation sectorielle éclatée et disparate qui a néanmoins permis une condamnation exemplaire des agissements illicites de DoubleClik.

La théorie générale de la protection de la vie privée en Europe, et plus particulièrement en France, devrait permettre une condamnation similaire dans les ordres juridiques européens.

Il faut pourtant se garder de toute condamnation hâtive du marketing direct et spécialement du "One to One". En effet, les promoteurs de ce genre de méthodes arguent à raison, de l’amélioration du service dont profite l’usagé.

Toutefois, cet argument ne saurait à lui seul poser un principe général de licéïté des traitements de données dans le cadre du One to One. Dès lors, il faut considérer l’importance à donner aux dispositions contractuelles unissant l’internaute et le responsable du traitement.


De la contractualisation des relations

La décision américaine incite à une contractualisation des relations entre la société Doubleclick et les personnes dont les données sont collectées.

Il ne faut pourtant pas se tromper sur les limites du contrat.

En effet, la pratique consistant à conditionner l’accès au site à la collecte de données personnelles a tendance à se généraliser. La revente des données pouvant ainsi permettre la " gratuité" du service.

Ainsi, pour accéder à un site l’internaute devra-t-il saisir nombre d’informations le concernant. L’échange, la transaction, est alors régit par le contrat.

Le contrat doit d’une part, respecter les principes généraux du droit des obligations et d’autre part, ne pas porter une atteinte excessive aux droits fondamentaux des individus.

- L’objet du contrat devra être licite :
il ne pourra donc s’agir en France que d’une collecte déclarée préalablement, respectant les dispositions de la loi "informatique et libertés".

- Equilibre de la convention :
L’atteinte à la vie privée consentie ne doit pas être manifestement excessive au regard du service fourni.

- Clauses abusives :
Certaines clauses conditionnant l’accès au site seraient également susceptibles d’être considérées comme abusives.

- Les vices du consentement :
Une collecte à l’insu de l’internaute ou encore un détournement de finalité au regard de l’information donnée sont de nature à caractériser un vice du consentement. Le dol pourrait être retenu en cas d’information non satisfaisante de l’internaute.

En outre, bien que l’exploitation des biens de la personnalité soit licite, et que l’individu puisse renoncer à exercer ses droits fondamentaux, les dispositions spécifiques à la protection des données ont vocation à être respectées.

En effet, il serait intolérable qu’un site pour enfant subordonne son accès à la collecte de données sur le mode de vie des parents. La liberté contractuelle a donc des limites, elle ne peut pas déroger à des lois impératives, des lois d’ordre public.

La contractualisation des relations ne peut donc se faire au mépris des dispositions spécifiques à la vie privée des internautes. Bien au contraire, celle-ci repose souvent sur les mêmes fondements, notamment au regard de l’information contractuelle et du droit à l’information.