Les "logiciels sociaux" tels que Plaxo ou Friendster, qui permettent de mettre à jour automatiquement son carnet d’adresses ou d’établir une relation avec les correspondants de ses correspondants, connaissent un succès foudroyant. Mais ces plateformes en ligne constituent-t-elles une menace pour la vie privée, voire la compétitivité des entreprises ? Plusieurs intervenants d’un colloque tenu à l’Assemblée nationale le 3 novembre ont en tout cas mis en garde les internautes français contre les risques légaux et éthiques liés à leur utilisation.
Lors du colloque "Spam Forum", à l’Assemblée nationale, les organisateurs Bruno Rasle et Frédéric Aoun, auteurs du livre Halte au Spam, ont présenté les résultats de leur étude intitulée "Les logiciels sociaux sont-ils une menace ?".
On s’occupe de tout
Ils y analysent notamment le fonctionnement du programme Plaxo Contacts. Grâce à un plug-in des logiciels de messagerie Microsoft Outlook et Outlook Express, cette application offre la possibilité de mettre à jour automatiquement son carnet d’adresses. Le principe est des plus simples : vous confiez la liste de vos correspondants au serveur de Plaxo, qui se charge ensuite d’envoyer un e-mail de demande de mise à jour de leurs données personnelles (nom, adresse physique, n° de téléphone...) à chacun d’entre eux.
Cette facilité d’utilisation explique sans doute le succès de Plaxo. Créée en février 2002 avec 2 millions de dollars, la start-up californienne, qui compte parmi ses dirigeants Sean Parker, l’un des co-fondateurs de Napster, a annoncé en février et juin 2003 deux nouvelles levées de fonds d’un montant total de 10,3 millions de dollars.
Dans leur étude, Rasle et Aoun s’intéressent également à la popularité du site américain Friendster, qui permet, en entrant ses informations personnelles, d’accéder au profil "des amis de ses amis". Un fonctionnement par degrés de connaissances, hautement viral. Lancé en mars 2003, Friendster compterait déjà plus de deux millions d’abonnés, dont 1% en France.
Le stockage de données personnelles sur des serveurs d’entreprises, a fortiori américaines, amène les auteurs à s’interroger sur les risques d’atteinte à la vie privée et de spam massif que peuvent entraîner l’utilisation de ces services.
Des zones de flou
D’autant que le business model de Plaxo et de Friendster reste pour le moins flou. Gratuits pour l’instant (même si leurs responsables annoncent étudier le lancement prochain d’offres payantes), ces services ne seront-ils pas tentés de négocier leurs fichiers auprès d’acteurs de télémarketing ?
Sur ce point, les deux startups se veulent catégoriques : aucune des données recueillies ne sera cédée à des tiers. "Nous ne partageons vos informations avec quiconque sans votre permission, point à la ligne", indique ainsi la politique de confidentialité de Plaxo.
Mais que se passerait-il en cas de revente de la société, comme le font remarquer Aoun et Rasles ? Là, les dirigeants de Plaxo bottent en touche : "Nous ferions notre possible pour que la société qui nous achète traite vos données personnelles selon nos propres engagements mais nous ne pouvons contrôler ces entreprises et ne pouvons donc prendre aucun engagement strict sur ce point", lit-on sur le site.
De même, un piratage des serveurs représente toujours un risque potentiel. D’autant que si les connexions entre un internaute qui confie son carnet d’adresses et le serveur s’effectuent en mode crypté "sécurisé" (HTTPS), les relances de mise à jour vers ses contacts utilisent le protocole SMTP et ne sont donc pas chiffrées.
Les amis de mes amis...
Enfin et surtout, l’étude soulève l’hypothèse suivante : un spammeur qui se serait procuré un fichier d’un million d’adresses pour quelques dizaines de dollars peut lui-même s’inscrire à Plaxo en scindant cette liste en plusieurs morceaux. Ces fichiers seraient alors mis à jour par le système qui autorise par défaut des réponses automatiques, pour les destinataires dont la fiche complète est déjà gérée par Plaxo. Le spammeur pourrait donc rapidement se retrouver avec une liste qualifiée d’emails et même enrichie de milliers d’informations complémentaires : nom, prénom, téléphone ou adresse.
S’ils admettent que ces risques peuvent sembler relever de la paranoïa, Frédéric Aoun et Bruno Rasle insistent cependant sur le flou juridique qui entoure l’utilisation de Plaxo ou Friendster par un citoyen français.
Si l’adresse mail ou le numéro de téléphone d’un correspondant sont bel et bien des données personnelles, seule l’utilisation professionnelle d’un fichier nominatif est encadrée par la Loi informatique et libertés de 1978, qui impose notamment d’avertir les personnes, au moment de la collecte, de la possibilité de céder ces informations à un tiers. Ce qu’a confirmé Cécile Alvergnat, de la Commission nationale informatique et libertés (Cnil), lors du colloque du 3 novembre.
Mais peut-on considérer un carnet d’adresses, mêlant contacts personnels et professionnels, comme un fichier nominatif ? A priori, non, selon la directive européenne du 24 octobre 1995, relative à la protection des données à caractère personnel. "Seule une décision de justice, faisant jurisprudence, apportera une réponse définitive à cette question", estiment les auteurs de l’étude.
Les parrains I, II, III
Plus complexe encore, la notion de "parrainage" sur laquelle repose un logiciel comme Plaxo. L’internaute confie en effet des informations sur autrui en échange d’un service et sert donc de parrain à ses contacts. Dans les cas de parrainage, il convient de "préalablement s’assurer de l’accord des destinataires pour que leurs données personnelles soient communiquées et traitées par une entreprise avec laquelle ils n’entretiennent aucun contact", estimait le rapport d’activité 2002 de la Cnil. En mars 2003, cette pratique de collecte par parrainage a été interdite par la Belgique.
Quoi qu’il en soit, les entreprises devraient se montrer vigilantes quant à l’utilisation de ces logiciels sociaux par leurs salariés. C’est en tout cas l’avis de Jean-Michel Yolin, Ingénieur général des Mines et président de la section innovation et développement des entreprises du ministère de l’Economie et des finances. Ce dernier s’inquiète, entre autres, de risques de croisement de ce type d’informations, ce qui permettrait de dresser une véritable topographie des contacts professionnels d’une société.
"Si j’étais cadre dans une entreprise française d’aéronautique, explique Jean-Michel Yolin, j’hésiterais vraiment à confier mon carnet d’adresses, avec tous mes clients et prospects, à une entreprise étrangère, notamment américaine. Je souhaiterais d’abord qu’ils m’expliquent comment ils comptent gagner leur vie avec mes données. En attendant, j’appliquerais le principe de précaution : quand je ne sais pas, je ne fais pas..."