Espaces d'opinion et d'engagement, les plateformes de pétitions en ligne aspirent des données personnelles parmi les plus sensibles. En y regardant de plus près, on réalise à quel point une simple "signature" pourrait, un jour, nous causer du tort.

"Pour l’interdiction aux détenteurs d’un casier judiciaire d’effectuer un mandat", "Sauvons les ours du zoo de Bandung", "Ne touchez pas à loi Littoral !"… Il y a de fortes chances pour que vous ayez déjà reçu un appel à la mobilisation de ce type dans votre boîte mail. Il se peut aussi que vous ayez choisi d’apposer votre signature électronique en guise de soutien à une cause qui avait retenu votre attention. Il est enfin hautement probable que vous vous soyez posé cette question fatidique au moment de cliquer sur le bouton "Je signe", équivalent à l’instant où la bille de votre stylo touche le papier : "Mmm, mais ça m’engage à quoi ?"

VOIR AUSSI : CHATONS, ces hébergeurs alternatifs qui ne collectent pas vos données personnelles

Savoir ce qu’implique le fait d’associer son nom, même rendu privé, à un quelconque combat mené sur Internet est plus que nécessaire à l’heure où les États-Unis songent à réclamer les mots de passe des comptes réseaux sociaux de certains visiteurs, où les révélations d’Edward Snowden n’ont fait qu’augmenter notre méfiance à l’égard des gouvernements et ou le big data à des allures de monstre tapi dans l’ombre. Car oui, la peur que nos opinions politiques, nos actions militantes et toutes autres données personnelles disséminées sur le Web puissent un jour être retenues contre nous n’est plus, depuis bien longtemps, l’apanage des romans d’anticipation.

Évidemment, on ne peut que se réjouir du formidable essor que connaît la pétition en ligne depuis plusieurs années. Même si nombre d’entre nous ne la jugent pas plus utile qu’un "Like" sur les réseaux sociaux destiné, au mieux, à se donner bonne conscience, même si elles ont, pour certains, réduit l’engagement citoyen à un simple remplissage de formulaire depuis un smartphone, et même si elles n’ont à proprement parler aucune "valeur juridique". Le fait est qu’elles sont devenues, progressivement, un redoutable porte-voix populaire.

Ce qu'on peut en espérer

En France, une pétition peut ouvrir la possibilité aux citoyens de saisir le Conseil économique, social et environnemental (CESE) – troisième assemblée constitutionnelle de la République qui garantit l’expression de la société civile. Le CESE, qui n’a, pour rappel, qu’un rôle purement consultatif, donnera alors son avis au gouvernement sur la problématique soulevée par la pétition seulement si celle-ci est recevable. Et c’est là que le bât blesse : pour être considérée comme telle, elle devra, selon la loi organique du 29 juin 2010 (article 4-1) :

  • "Être rédigée en français et établie par écrit" (d’accord).
  • "Être présentée dans les mêmes termes par au moins 500 000 personnes majeures, de nationalité française ou résidant actuellement en France" (d’accord, d’accord).
  • Et enfin "indiquer le nom, le prénom et l’adresse de chaque pétitionnaire et être signée par lui", de manière manuscrite (Okayyyyyy).

Je vous passe les détails de la procédure d’envoi à respecter une fois tous ces critères réunis (une histoire de cartons numérotés et de feuilles regroupées en paquet de 100).

Inutile donc d’insister sur cette démarche qui relève plus des Hunger Games que de la procédure administrative : une pétition numérique n’a de toute façon aucune chance d’être retenue par le CESE, et ce même si elle rassemble la signature virtuelle de plus d’un million de personnes. Du moins pour l’instant, le CESE envisageant l’intégration des pétitions en ligne dans le processus dans un futur plus ou moins proche, d’après nos confrères de Next INpact

Une pétition numérique n’a de toute façon aucune chance d’être retenue par le CESE

Mais ce n’est pas parce que l’on n’est pas autorisé à passer la porte d’une maison que l’on ne peut pas crier fort pour se faire entendre par ses fenêtres (ce proverbe n’existe pas, mais je le trouvais seyant). "On dit souvent que signer une pétition en ligne, ça ne sert à rien. Mais quand des milliers, voire des centaines de milliers de personnes expriment publiquement une opinion et parviennent à créer une communauté militante, elles exercent forcément une pression sur les pouvoirs publics", nous explique Sarah Durieux, directrice des campagnes et de la communication chez Change.org, l’une des plateformes de mobilisation en ligne les plus importantes en France et dans le monde.

Si elle prêche forcément pour sa paroisse, Sarah Durieux a raison. Même si elles n’ont jamais passé le seuil du CESE sous la forme de feuilles regroupées par paquets de 100, plusieurs pétitions en ligne sont déjà parvenues à créer un sacré remue-ménage, quand elles n’ont pas tout simplement atteint leur objectif. Interdiction du chalutage en eaux profondes par les instances européennes, obligation pour les grandes surfaces de redistribuer leurs invendus alimentaires, grâce présidentielle de Jacqueline Sauvage… Sans la très forte mobilisation des internautes sur Change.org, Avaaz.org ou MesOpinons.com, rien de tout cela ne serait arrivé.

En somme, faire augmenter le compteur d’une pétition en ligne n’est jamais du temps de perdu. Et après tout, l’espoir fait vivre.

Ce qu’il faut savoir avant de signer, même à "visage couvert"

Mais il n’est pas non plus question de soutenir toutes les causes possibles, au risque, d’abord, de faire perdre du sens au concept de mobilisation citoyenne en ligne. Forcément, si nous étions tous des centaines de milliers chaque jour à signer des dizaines de pétitions différentes, il serait d’autant plus difficile d’en faire sortir certaines du lot.

Il est ensuite primordial d’avoir conscience que signer une pétition en ligne laisse des traces, comme à peu près tout ce que nous faisons aujourd’hui sur le Web, et ce même lorsque l’on a bien pris la précaution de ne pas faire apparaître son nom publiquement. Les plateformes en ligne n’en font pas un secret, puisqu’elles sont de toute façon contraintes par la CNIL d’être claires sur les données personnelles qu’elles récoltent et la manière dont elles le font dès lors que l’on y navigue. 

Plusieurs articles de presse ont déjà ébranlé la politique de traitement des données de Change.org

Vous semblez d’ailleurs nombreux à vous soucier des conséquences d’une telle action sur votre vie privée en ligne. D’autant que plusieurs articles de presse ont déjà ébranlé la politique de traitement des données de Change.org, accusé en Italie et en Allemagne – où une enquête a été ouverte –, d’avoir monétisé des informations sur ses utilisateurs dans le cadre de pétitions sponsorisées. Aujourd’hui, Change.org assure "avoir abandonné ce modèle de campagne, et donc cette pratique, au profit du crowdfunding".

Après avoir réalisé un sondage sur Twitter (qui n’a évidemment pas la pertinence d’un sondage réalisé par un institut, qui utilise de véritables panels et une méthodologie poussée), j’ai d'ailleurs pu constater que 40 % des 384 participants avaient "déjà éprouvé une certaine appréhension au moment de signer", liée à la peur de laisser leur empreinte. 16 % des votants ont préféré ne prendre aucun risque et ne pas signer, malgré l’envie de soutenir une cause.

Une chose est sûre, la crainte "d’être fiché" n’a rien d’infondé. Après avoir minutieusement épluché les conditions d’utilisation des trois sites de pétitions les plus importants en termes de fréquentation sur le Web français – Change.org, Avaaz.org et MesOpinions.com –, j’ai pu effectuer plusieurs constats, qui différent toutefois légèrement selon les sites. Je précise que ces constats ne sont pertinents que dans le cas où vous avez signé en votre nom, ou au moins en liant votre adresse e-mail réelle (et non sous pseudonyme, avec une boîte mail prétexte, une procédure qui pourrait bêtement invalider votre signature).

  • La plateforme de pétition en ligne n’est pas l’unique détentrice de nos données personnelles : le créateur de la pétition aussi

Chaque signature de pétition nécessite, pour être validée, d’être au moins associée à une adresse e-mail. Sur Change.org comme sur Avaaz.org, un nom et un prénom sont également obligatoires, là où ce n’est pas le cas sur MesOpinions.com. Ces informations sont donc récupérées par les plateformes, tout comme les données relatives à la connexion Web (appareil utilisé, IP, données de navigation…). Celles-ci s’octroient dès lors le droit de les utiliser afin, globalement, de suggérer de nouveaux contenus à l’utilisateur, d’améliorer l’efficacité des campagnes et le service fourni, d’analyser des données, de contrôler et de prévenir la fraude ou encore de développer de nouveaux produits. Que l'on s'en offusque ou non, la pratique est courante.

VOIR AUSSI : "Corbeaux" de Twitter : Denis Robert et la question de l'anonymat sur Internet

Plus problématique en revanche, le fait que les informations relatives à notre identité (nom, prénom et code postal dans la majorité des cas) soient communiquées au créateur de la pétition, même si l’on a choisi de masquer son nom au moment de la signature. Cette pratique est commune aux trois plateformes dont j’ai étudié les conditions d’utilisation. Bien sûr, ces informations peuvent être tout à fait indispensables au créateur de la pétition qui décide de pousser plus loin son action militante, notamment s’il lui est demandé de prouver qu’il ne s’agit pas de signatures générées par des bots

"Nous ne contrôlons pas ni ne vérifions les antécédents des personnes qui lancent des campagnes"

"Nous communiquons également vos nom et prénom, et votre ville de résidence à la personne qui a lancé une pétition que vous avez signée, même si vous avez sélectionné l’option vous permettant de refuser que votre signature soit diffusée publiquement. Si vous ne souhaitez pas que ces informations soient communiquées à ladite personne, ne signez pas la pétition", peut-on lire dans la politique d’utilisation des données de Change.org. S’en suit rapidement, toujours sur la même page de Change.org, une autre mise en garde écrite en gras : "Nous ne contrôlons pas ni ne vérifions les antécédents des personnes qui lancent des campagnes, qui signent des pétitions ou qui sont membres de Change.org. Vos interactions sur notre plateforme et le partage des informations qui en résultent sont à vos propres risques."

J’en ai donc tiré un scénario catastrophe possible : je me décide, par exemple, à créer une pétition destinée à réclamer l’allègement de la peine d’un individu connu pour ses penchants néo-nazis et condamné pour négationnisme, antisémitisme ou vandalisme sur un cimetière juif ; je parviens à récolter plusieurs dizaines de signatures ; je suis ainsi tout à fait en mesure de me constituer une petite base de données compromettante et de la rendre publique un jour ou l’autre. Évidemment, le scénario est malléable.

petition_fillon.jpg
Une pétition en ligne sur le site MesOpinions.com, ne laissant pas de doute sur l'engagement politique de ses signataires.
Capture/MesOpinions.com

"Une telle situation est effectivement possible, bien qu’elle ne soit jamais arrivée chez nous", confie Sarah Durieux. Chez MesOpinions.com, on assure de toute façon suivre de très près les dépositaires de pétitions, en les accompagnant notamment par téléphone : "Le fait de les avoir au bout du fil nous permet de mieux comprendre qui ils sont et où ils désirent en venir. On les guide, quelle que soit leur cause", explique Mathilde Batteux, chargée des mobilisations citoyennes au sein de l’organisation.

Malgré toutes les précautions qui pourraient être prises, le risque zéro n’existe pas, et mon scénario reste plausible. Il est ainsi primordial de ne pas signer les pétitions mises en ligne par n’importe qui lorsqu’il s’agit de causes donnant des indices de taille sur nos opinions politiques. Par ailleurs, "la signature d’une pétition à caractère politique permettra de démontrer l’appartenance à un certain mouvement politique ou social qui pourra être utilisée à charge ou à décharge de la personne concernée", nous rappelle Christiane Féral-Schul, avocate spécialiste des données personnelles et de la vie privée en ligne. "Par exemple, une personne accusée d’apologie du terrorisme et qui aurait signé une pétition en ligne permettant de faire un lien avec ses opinions pourra être utilisée à titre de preuve, au même titre que l’appartenance à des groupes publics sur Facebook."

  • Nos données personnelles ne restent pas en France dès lors qu’il s’agit d’une organisation internationale

Dans le cas de Change.org comme d’Avaaz.org (et non dans celui de MesOpinions.com, qui est une entreprise française dont les serveurs sont basés à Roubaix), les informations que nous fournissons voyagent. "Vos données personnelles peuvent être stockées et traitées dans tous les pays dans lesquels nous avons des installations ou dans lesquels nous faisons appel à des prestataires de service ; en utilisant la plateforme, vous consentez au transfert de vos données personnelles vers des pays autres que votre pays de résidence, y compris les États-Unis, où les règles de protection des données peuvent différer de celles de votre pays", stipule Change.org.

Mmm, c'est embarrassant. Un porte-parole de Change.org basé à San Francisco tente tout de même de nous rassurer : "Nous ne partageons pas de données personnelles de nos utilisateurs avec un tiers, y compris les administrations ou agences gouvernementales, sans un ordre judiciaire valablement motivé, et nous prévenons systématiquement nos utilisateurs quand une demande de données personnelles est faite pour leur permettre de formuler des objections."

snowden.jpg
Une pétition en ligne sur Change.org pour que l'asile soit accordé en France à Edward Snowden.
Capture/Change.org

Vous me voyez venir, j’en suis sûre : et si les lois américaines concernant le traitement des données personnelles étaient amenées à s’assouplir sous le gouvernement de Donald Trump ? Et si ce dernier nous ressortait l’un de ses décrets, au nom de la sécurité nationale, qui lui octroierait la possibilité de réclamer aux plateformes de pétition des informations concernant des passagers désireux d’entrer sur le territoire ?

Là encore, on joue avec les "si". Mais en ce début 2017, on s’accordera à dire que l'on n'est pas à l’abri des surprises.

  • La sécurité de nos données personnelles, associées dans ces cas-là des informations sensibles, ne peut jamais être garantie à 100 %

C’est ainsi, la confidentialité du transfert d’informations sur le Net ne peut jamais être garantie intégralement, quel que soit le niveau de sécurité d’un site. "Bien que nous fassions tout notre possible pour protéger vos informations personnelles, nous ne pouvons assurer ou garantir la sécurité des informations que vous transmettez : vous le faites à vos risques et périls", avise Avaaz.org. Même avertissements sur les autres plateformes.

Il est donc important de garder à l’esprit qu’il subsiste toujours un risque que des informations sensibles, voire très sensibles, vous concernant tombent entre les mains de personnes malveillantes. En partant du principe que la plateforme en fera bon usage, et les gardera surtout pour elle.

Signer une pétition en ligne, c'est bien, mais signez une pétition en ligne en ayant conscience de tous ces risques, c'est encore mieux.

Quelque chose à ajouter ? Dites-le en commentaire.
 

BONUS : Tristan Nitot, fondateur de Mozilla Europe : "Quand on se sait sous surveillance, on n'ose plus penser"