Les débats en cours
de confiance », de nombreux acteurs publics et privés ayant aussitôt été séduits par
une telle offre de service.
Les premières réflexions sur cette offre commerciale
D’emblée, les commentateurs ou acteurs, parmi lesquelles les autorités de
protection de données, ont soulevé certaines interrogations à propos d’une telle
offre.
— Un monopole laissant peu de place à la concurrence et aux États
Compte tenu de la maîtrise de la technologie par Microsoft, de ses évolutions probables et de la gestion de l’accès des internautes aux sites web par une
seule entreprise, le risque a été relevé que les États soient cantonnés à une situation
de dépendance à l’égard de cette entreprise pour toute la régulation, voire le contrôle de l’Internet. Microsoft pourrait devenir, à titre d’exemple, le partenaire incontournable dans la lutte contre les atteintes aux droits de propriété intellectuelle, et
pour l’ensemble des transactions chiffrées par « Passport », ces dernières pouvant
être mises en œuvre sans passer par le pays de résidence d’un internaute (un internaute français faisant un achat sur un site web brésilien pourrait voir ses données personnelles transmises directement du serveur « Passport » établi aux États-Unis vers le
serveur du site marchand établi au Brésil). Ainsi, les autorités judiciaires américaines
et les agences de sécurité et d’information américaines seraient alors seules capables d’exercer un contrôle effectif sur les transactions et détiendraient un monopole
en matière de régulation.
— Des inquiétudes réelles sur le contrôle effectif du traitement des données
personnelles
La localisation du service « Passport » sur un serveur unique situé aux
États-Unis n’est pas sans susciter des questions redoutables de droit national applicable et d’effectivité du contrôle des données ainsi conservées, tant par les autorités
de contrôle européennes elles-mêmes que par les internautes.
Microsoft fait valoir cependant sur ce point que ces données ne seront
jamais transmises à des tiers (partenaires commerciaux, etc.) et seulement utilisées
lorsque l’internaute souhaitera les voir communiquer à un site avec lequel il est en
contact. Par ailleurs, Microsoft prévoit que son offre européenne conduira à mettre
en place des serveurs dédiés dans chaque État européen. Un tel schéma serait — il
est vrai — plus rassurant. Il reste cependant que, par hypothèse, toutes les données
enregistrées dans « Passport » seront regroupées sur un serveur unique, au plan
national.
— D’une offre commerciale à un « Passport » obligatoire ?
Le système « Passport » ne devrait être utilisé que par les internautes qui le
souhaiteraient. Cependant, certains aspects pratiques ou d’ergonomie, pourraient
contrarier la réalité d’un tel choix. Tel serait le cas si l’option « par défaut » lors de
l’installation de Windows XP était un « Passport » actif. Dans un tel cas, il reviendrait
à l’internaute de désactiver « Passport », manipulation dont il n’est pas sûr qu’elle
soit facile à opérer pour un utilisateur non averti. En outre, à supposer établi que
102
e
CNIL 22 rapport d'activité 2001