La Commission nationale pour la protection des données (CNPD) vient de publier son rapport d’activités, résumé des faits marquants de l’année 2011. Il y apparaît clairement que les années à venir seront marquées par la réforme en cours du cadre légal européen sur la protection des données, comme l’a montré la conférence de printemps des commissaires européens à la protection des données qui s’est tenue au Luxembourg début mai 2012. Mais il ressort aussi de ce rapport les discussions qui ont animé les responsables de la protection des données en Europe tout au long de l’année 2011.

Europaforum.lu se concentre ainsi ici sur les sujets détaillés dans le rapport de la CNPD sous le titre "groupe Article 29". Ce groupe de travail, qui rassemble toutes les autorités européennes chargées de la protection des données, a été institué par l’article 29 de la directive 95/46/CE sur la protection des données. Il s’agit d’un organe consultatif indépendant qui a pour objectif d’examiner les questions relatives à la protection des données et de promouvoir une application harmonisée de la directive dans les 27 États membres de l’Union européenne.

En 2011, rapporte la CNPD, le groupe Article 29 s’est notamment penché sur la question des puces RFID, sur la géo-localisation, sur l’accord TFTP, plus connu sous le nom d’accord SWIFT, et la lutte contre le financement du terrorisme, mais aussi sur les données des dossiers passagers, la publicité comportementale en ligne, la définition du consentement et enfin les compteurs intelligents.

Puces RFID : signature d’un accord destiné à protéger la vie privée des consommateurs qui établit un précédent en matière d’évaluation des risques

Les tags RFID (Radio Frequency Identification) sont des petites puces à radiofréquence grosses comme une tête d’épingle et de plus en plus répandues. Intégrées dans des étiquettes "intelligentes", elles sont utilisées pour reconnaître ou identifier à plus ou moins grande distance et dans un laps de temps très court, un objet, un animal ou une personne. Ces puces quasiment invisibles sont capables de lire et de stocker des informations uniquement par transmission d’ondes radio sans nécessiter un contact physique. Contrairement aux codes-barres, les tags RFID ne nécessitent pas de contact physique pour que l’identification s’opère.

Les domaines dans lesquels les puces intelligentes sont utilisées sont en constante évolution. Elles sont installées sur les cartes d’abonnement pour le bus ou au péage pour éviter l'arrêt des voitures lors de leur passage. Dans le domaine logistique, elles sont utilisées pour gérer les marchandises. En outre, elles peuvent servir à localiser des personnes en cas d’urgence, tracer des livres dans les librairies et les bibliothèques ou identifier des animaux domestiques ou sauvages (marqueur posé en sous-cutané). Même les implantations sous la peau humaine sont possibles, comme cela a déjà été effectué sur des clients de discothèques pour le paiement des consommations.

Le 6 avril 2011, la Commission européenne a annoncé la signature d’un accord avec l’industrie pour protéger la vie privée des consommateurs lors de l’usage de puces RFID (systèmes d’identification par radiofréquence) au sein de l’Union européenne. Cet accord volontaire vise à étudier les effets de l’utilisation des puces intelligentes sur la vie privée des citoyens avant leur mise sur le marché. Des représentants de la société civile, l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) ainsi que des organes européens de surveillance du respect de la vie privée et de la protection des données figurent également parmi les signataires.

Selon les chiffres de la Commission européenne, environ 2,8 milliards de puces ont été vendues en 2011, dont environ un tiers en Europe. Selon l’industrie, ce nombre pourrait augmenter jusqu’à 50 milliards d’ici 2020. Ces dispositifs microélectroniques peuvent être intégrés dans un grand nombre d’objets de la vie courante et faciliter la vie à bien des égards, mais ils peuvent également représenter un risque potentiel pour la vie privée. Ainsi, la Commission note qu’il devient "possible pour un tiers d’accéder à vos données personnelles (concernant votre localisation par exemple) sans votre permission".

Avec ce texte intitulé "Privacy and Data Protection Impact Assessment Framework for RFID Applications" (PIA), la Commission européenne cherche à anticiper les risques pour la protection des données et de la vie privée. En vertu de l’accord, les entreprises effectueront une évaluation complète des risques et prendront les mesures nécessaires pour y remédier avant qu’une nouvelle application RFID ne soit mise sur le marché.

La CNPD salue le fait que, pour la première fois en Europe, une méthode claire et exhaustive d’évaluation des risques, pouvant être appliquée dans tous les secteurs industriels utilisant des puces, a été établie. L’absence d’une telle méthodologie avait amené le groupe de travail Article 29 à rejeter la proposition de cadre en 2010 avant de l’approuver dans un avis adopté le 11 février 2011.

Géo-localisation des dispositifs mobiles intelligents

Dans son avis adopté le 13 mai 2011 relatif aux services de géo-localisation sur les téléphones et autres appareils mobiles, le groupe Article 29 a affirmé que les données de localisation sont des informations personnelles et qu’elles doivent être protégées en conséquence. De plus, il a clarifié le cadre légal applicable à ces services disponibles sur les smartphones et générés par ceux-ci.

Un nombre croissant d’appareils portables (smartphones, tablettes tactiles, etc.) permettent de localiser leur utilisateur. Une telle fonction peut présenter de nombreux avantages. Ainsi, elle permet à l’usager de s’orienter dans une ville inconnue, de découvrir un nouveau restaurant, d’avoir des informations sur la météo ou encore d’indiquer à ses "amis" où il se trouve à  travers des services en ligne comme Facebook ou Foursquare. Mais ces services de géolocalisation permettent aussi d’espionner une personne à son insu en la suivant à la trace, ou de dresser un profil à partir de ses déplacements, notamment à des fins publicitaires. Les risques sont nombreux, comme l’ont montré les polémiques autour d’Apple (iOs) et de Google (Android).

Dans son avis, le Groupe Article 29 a estimé que les services de localisation devaient être désactivés par défaut. C’est à l’utilisateur de décider quand il veut activer ces services en donnant son autorisation préalable à l’usage des données enregistrées. En pratique, ce consentement est souvent caché dans les conditions générales d’utilisation. C’est la raison pour laquelle le groupe de travail a insisté sur le caractère "spécifique" du consentement et sur une information transparente de la personne concernée sur l'utilisation de ses données. De plus, cette autorisation devrait être renouvelable au moins une fois par an et facile à annuler. Enfin, les données stockées devraient être effacées après une période donnée.

L’accord "TFTP" (ou Swift) et la lutte contre le financement du terrorisme

Le "Terrorist Finance Tracking Program" (TFTP), plus communément appelé accord "SWIFT", permet aux autorités américaines d’accéder aux données financières européennes stockées sur le réseau de la société SWIFT.

Le TFTP américain est le résultat des négociations entre l’Union européenne et les autorités américaines pour trouver une solution juridique concernant l’échange de données à caractère personnel dans le cadre de la lutte contre le financement du terrorisme.

Comme ne manque pas de le souligner la CNPD, ses répercussions sur les droits fondamentaux des citoyens ont suscité de sérieuses préoccupations. Celles-ci proviennent essentiellement du fait que l’application de l’accord UE-USA entraîne la communication d’importants volumes de données à caractère personnel ("transfert de données en masse") aux autorités américaines, dont la grande majorité concerne des citoyens qui n’ont aucun rapport avec le terrorisme ou son financement.

Inspection de l’autorité commune de contrôle d’Europol

Depuis l’adoption de cet accord en août 2010, l’autorité commune de contrôle d’Europol (ACC) a la tâche de contrôler si Europol respecte les dispositions de l’accord lorsqu’il est décidé de la recevabilité des demandes des États-Unis pour l’accès à SWIFT. Selon l’accord, Europol doit vérifier à chaque requête américaine si le transfert de données est nécessaire, et doit donc approuver ou rejeter ce transfert de données vers les États-Unis.

En mars 2011, l’ACC a fait sa première inspection auprès d’Europol concernant l’accord et a critiqué le manque de respect des standards européens de protection des données personnelles. Le rapport a montré que les demandes des Etats-Unis étaient souvent abstraites et pas assez spécifiques pour permettre à Europol de prendre une décision sur le transfert des données. Cela n’a pourtant pas empêché Europol d’accepter toutes les requêtes.  

Le Groupe Article 29 a critiqué la manière dont l’accord TFTP a été mis en œuvre

En juin 2011, les commissaires européens à la protection des données ont adressé une lettre commune au Département du Trésor des Etats-Unis, dans laquelle ils réclamaient une meilleure prise en compte des principes de la protection des données dans la mise en œuvre de l’accord TFTP. La lettre contenait un catalogue de dix points avec des questions, qui s’étaient posées en pratique et qui avaient rendu difficile le respect des droits des personnes concernées jusqu'à ce moment-là.

Le chargé allemand de la protection des données, Peter Schaar, a déclaré qu’il n’était toujours pas garanti que chaque citoyen européen ait été informé sans délai lorsque les autorités américaines avaient accédé à ses données, et il s’inquiétait des conditions sous lesquelles cela avait eu lieu. Conjointement avec les autorités de protection des données européennes, il voulait s’assurer que les droits contenus dans l’accord SWIFT, notamment les droits d’accès et de rectification, ainsi que l’effacement ou le blocage de données incorrectes, étaient respectés.

Vers un "Terrorist Finance Tracking System" européen ?

En septembre 2011, le groupe Article 29 a réagi par une lettre à la communication de la Commission européenne sur les options envisageables pour la création d’un système européen de surveillance du financement du terrorisme. Il était prévu que le "Terrorist Finance Tracking System" (TFTS) serait l’équivalent européen du TFTP américain.

Le groupe Article 29 n’est toujours pas convaincu que l’adoption d’un TFTS européen soit nécessaire et proportionnée à la menace existante. Les problématiques des transferts de données en masse, des types de données traitées et partagées, du temps de rétention et des droits des personnes concernées étaient également soulevées dans la lettre. Enfin, le groupe de travail a formulé 44 recommandations concernant la protection de la vie privée et des données dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme dans un avis adopté le 13 juin 2011.

Les données des dossiers passagers

Dans un avis adopté le 5 avril 2011, le groupe Article 29 a critiqué la nouvelle proposition de la Commission européenne visant à imposer aux transporteurs aériens de fournir aux États membres de l’Union les données des dossiers passagers ("Passenger Name Record" ou "PNR") de vols à destination ou en provenance du territoire de l’Union européenne, afin de lutter contre les infractions graves et le terrorisme. Il a cependant constaté des améliorations relatives à la protection des données par rapport à la proposition de 2007.

Ce groupe de travail a noté que la nécessité d’un système PNR propre à l’UE n’a pas encore été établie et que les autres mesures proposées ne sont pas conformes au principe de proportionnalité. En effet, ce système envisage la collecte et la conservation de l’ensemble des données de tous les voyageurs sur la totalité des vols. La collecte et le traitement des données PNR aux fins de lutte contre le terrorisme et les formes graves de criminalité ne devraient pas permettre de surveiller l’ensemble des voyageurs sans distinction.

Le groupe Article 29 a également de sérieux doutes sur la proportionnalité de la mise en concordance systématique des données de l’ensemble des passagers avec des critères préétablis.

De plus, les catégories de données sont les mêmes que les dix-neuf éléments d’information figurant dans les accords PNR conclus entre l’UE et les Etats-Unis et entre l’UE et le Canada. Concernant celles-ci, le groupe Article 29 maintient sa position selon laquelle aucun élément de preuve satisfaisant ne permet de connaître les données qui se sont avérées nécessaires, de sorte qu’une telle liste est disproportionnée. Bien que la durée de conservation ait été clairement réduite par rapport à la proposition précédente, le groupe de travail est d’avis qu’il n’a pas été démontré de manière suffisamment convaincante que les données de l’ensemble des voyageurs doivent être conservées pendant cinq ans.

Publicité comportementale en ligne

La directive 2009/136/CE, modifiant la directive 2002/58/CE, a été transposée en droit national par la loi du 28 juillet 2011 portant modification de la loi modifiée du 30 mai 2005 concernant la vie privée dans le secteur des communications électroniques. Une des innovations importantes de cette loi a trait aux témoins de connexions sur Internet (généralement appelés cookies) et à d’autres technologies permettant de collecter des informations sur les utilisateurs.

Initialement, les cookies étaient utilisés pour faciliter l’interaction entre le navigateur et le serveur. Sous la direction des industriels de la publicité, ils étaient employés à d’autres fins : gestion publicitaire, profilage, traçage, etc. Pour cette raison, de nombreux citoyens, politiciens, autorités de protection des données et organisations de défense des consommateurs ont exprimé leurs inquiétudes quant à la publicité comportementale en ligne (Online Behavioural Advertising) et l’utilisation de cookies.

Depuis la révision de la directive "e-Privacy", les régies publicitaires doivent obtenir le consentement préalable actif (principe de l’opt-in) des utilisateurs avant d’installer des cookies sur l’ordinateur ou d'y accéder. Le principe de l’optout n’est plus applicable.

Cette mesure devrait augmenter la transparence pour les utilisateurs, qui souvent ne sont pas conscients que les données les concernant sont collectées et utilisées par les régies publicitaires.

Dans un avis adopté le 22 juin 2010, le groupe Article 29 avait déjà demandé aux réseaux publicitaires et aux fournisseurs de navigateurs de développer et d’implémenter des mécanismes simples et effectifs pour recueillir le consentement actif des utilisateurs pour la publicité comportementale en ligne.

En avril 2011, les acteurs du secteur de la publicité comportementale en ligne, représentés à la fois par l’EASA (European Advertising Standards Alliance) et l’IAB (Internet Advertising Bureau Europe), ont adopté un code de conduite autorégulateur.

En août 2011, le groupe Article 29 a adressé une lettre ouverte à l’EASA et à l’IAB faisant valoir ses craintes, en matière de protection des données, à l’égard de l’approche de l'opt-out proposée dans le code. Si le groupe de travail se félicite des initiatives prises par le secteur de la publicité comportementale en matière d’autorégulation, il doit néanmoins constater que ce code, tel qu’il est complété par le site Internet www.youronlinechoices.eu est insuffisant pour assurer la conformité avec la directive "e-Privacy". Selon le groupe, on a l’impression qu’il est possible de choisir de ne pas être tracé lors de la navigation sur Internet. Cette impression peut être nuisible aux utilisateurs, mais également à l’industrie si elle pense que ce code répond aux exigences de la directive. Le groupe Article 29 a en outre montré dans son avis qu’il est possible d’envisager des solutions pratiques assurant un bon niveau de protection des données sans rendre la navigation difficile et les sites non fonctionnels.

La définition du consentement

Le groupe Article 29 a adopté en juillet 2011 un avis portant sur le cadre juridique relatif à la notion de "consentement", en application des directives 95/46/CE et 2002/58/CE. Il tend à clarifier les exigences légales existantes et à illustrer leur fonctionnement dans la pratique à l’aide de nombreux exemples de consentement valable et non valable. Il précise aussi certains aspects de la notion de consentement, comme le moment où celui-ci doit être obtenu ou la différence entre le droit d’opposition et le consentement.

Le consentement de la personne concernée a toujours été une notion clé en matière de protection des données. Cependant, il n’est pas toujours aisé de déterminer quand un consentement est nécessaire et quelles sont les conditions qui doivent être remplies pour  qu’un consentement soit valable. Ce manque de clarté peut conduire à des divergences de vues sur les bonnes pratiques entre États membres. Il peut également affaiblir la position des personnes concernées.

S’il est utilisé à bon escient, le consentement est un instrument qui permet à la personne concernée de contrôler le traitement de ses données. S’il est, par contre, mal utilisé, le contrôle pour la personne concernée devient illusoire et le consentement constitue une base inappropriée pour le traitement de données.

Actuellement, les conditions du consentement font l’objet d’interprétations diverses, allant de l’obligation systématique d’obtenir un consentement écrit à l’acceptation d’un consentement implicite. C’est pour cette raison que la Commission européenne avait demandé un avis dans le cadre de la révision de la directive 95/46/CE. Il a pour but de clarifier la situation afin de garantir une compréhension commune du cadre juridique existant.

Les compteurs intelligents

La problématique de la sécurité et de la confidentialité des données de consommation d’électricité et de gaz a également été abordée par le groupe Article 29.

Le comptage intelligent consiste à installer chez les particuliers des compteurs de gaz et d’électricité pouvant communiquer de façon bidirectionnelle avec un système informatique central de collecte et de gestion des données situé chez les gestionnaires de réseaux. Les compteurs intelligents informent les clients de la quantité d’énergie qu’ils consomment et ces informations peuvent aussi être transmises aux fournisseurs désignées. Ils offrent de nouvelles fonctionnalités, comme la production d’information détaillée sur la consommation d’énergie, la possibilité d’effectuer des relevés à distance, l’élaboration de nouveaux tarifs et services sur la base de profils énergétiques, et la possibilité d’interrompre la fourniture à distance. Ils revêtent une importance particulière dans la mesure où ils peuvent avoir une incidence sur la  vie de tous les citoyens susceptibles de recevoir un approvisionnement en électricité et en gaz.

L’objectif de l’Union européenne est d’atteindre une couverture de 80 % des consommateurs d’ici 2020. Les avantages de l’utilisation intelligente de l’énergie sont notamment la possibilité pour les consommateurs de réduire leurs factures en changeant leurs habitudes, par exemple en utilisant l’énergie à des moments différents de la journée pour profiter de tarifs plus bas, ainsi que des possibilités pour l’industrie de prévoir de façon plus précise la demande et donc d’éviter des coûts élevés de stockage de l’électricité.

Si ces programmes offrent de nombreux avantages, ils permettent aussi de traiter de plus en plus de données à caractère personnel et de rendre ces données aisément accessibles à un cercle d’utilisateurs plus large qu’avec un compteur traditionnel. Le risque d’intrusion dans la vie privée est plus grand dans la mesure où les fournisseurs ont un aperçu des habitudes personnelles de consommation.

Dans un avis adopté en avril 2011, le groupe Article 29 a démontré que des données à caractère personnel étaient traitées par les compteurs et que, par conséquent, les législations relatives à la protection des données s’appliqueraient. Il a également préconisé que le responsable du traitement devait être clairement identifié et avoir connaissance des obligations que lui impose la législation, notamment du point de vue de la prise en compte du respect de la vie privée dès la conception, de la sécurité et des droits des personnes concernées. Celles-ci devaient être  correctement informées de la façon dont sont traitées leurs données et avoir conscience des différences fondamentales dans les modes de traitement pour être en mesure de donner valablement leur consentement.