Pour le contrôleur européen, le projet ePrivacy ne protège pas assez les données des internautes

Peut mieux faire 2
Accès libre
image dediée
Crédits : EDPS
Securité
Guénaël Pépin

Le contrôleur européen des données personnelles, Giovanni Buttarelli, salue le projet de règlement ePrivacy et les avancées qu'il doit apporter, mais garde quelques notes amères. Des fragilités dans ses définitions et des trous juridiques possibles doivent être comblés avant son adoption, estime-t-il.

La protection des données personnelles avance en Europe, mais ne serait pas encore suffisante. Le contrôleur européen des données personnelles, Giovanni Buttarelli, et son adjoint Wojciech Wiewiórowski ont publié leur avis sur le prochain règlement ePrivacy, qui doit protéger les communications des internautes. Un brouillon a été proposé en janvier par la Commission européenne, qui a demandé l'avis du CEDP (EDPS en anglais).

ePrivacy vient appuyer le règlement général de protection des données (RGPD), adopté l'an dernier, qui renforçe d'ici 2018 la couverture des données des citoyens. Le règlement ePrivacy doit quant à lui garantir la confidentialité des communications, notamment en contrôlant l'exploitation des métadonnées et en renforçant le consentement de l'internaute, par exemple sur les cookies.

Il s'agit aussi d'aligner les règles de sécurité pour les services de messagerie avec ceux couverts par le RGPD, par exemple sur l'obligation de signaler les fuites de données. Cela « sans créer de dérogations », martèle le contrôleur européen, qui liste de nombreux regrets sur le texte actuel.

Très strict sur la vie privée, il tient à se méfier des exceptions, des définitions laissées à d'autres textes et de tous les vides juridiques qui pourraient mettre à mal cette barrière, jugée peu ambitieuse sur certains points.

Le besoin de couvrir les services Internet

Le règlement ePrivacy doit remplacer une directive de 2002, jugée obsolète. L'intérêt d'un tel véhicule ? Il s'applique immédiatement dans l'Union européenne, contrairement à une directive qui doit être transposée dans le droit national. Buttarelli salue l'intégration des fournisseurs de services Internet (over the top), qui sont un maillon indispensable de la protection des données aujourd'hui.

Cette décision, « reflétant le progrès technologique », doit appliquer le même niveau de confidentialité pour un appel, qu'il passe comme une communication voix classique ou par Internet. « Par exemple, un utilisateur peut commencer une communication via la fonction dédiée d'un jeu vidéo, puis passer par une messagerie instantanée, puis par des SMS, des MMS et finir sur un appel entre deux téléphones » rappelle-t-il.

Garantir à tout prix le consentement

Le contrôleur européen se félicite aussi que le consentement explicite de l'internaute soit la base légale pour le traitement des données au sein d'ePrivacy. Il demande pourtant à ce qu'il soit encore renforcé, le spécialiste percevant des faiblesses dans le texte.

« Le consentement doit être demandé aux individus utilisant les services », qu'ils y soient inscrits ou non, écrit par exemple Buttarelli. Dans son avis, il affirme vouloir éviter qu'un tiers puisse fournir un consentement pour un utilisateur, ce qui lui semble possible dans la rédaction actuelle du texte. Les mentions d'utilisateur final devraient toutes être remplacées par « tous les utilisateurs finaux », estime-t-il.

Voici Tracking Cookies

Il demande aussi que le législateur empêche d'ériger des « murs de cookies » sur le web, bloquant l'internaute s'il refuse le dépôt de fichiers traceurs sur son navigateur. L'opinion répète que l'accord doit être donné librement, et non sous la menace de ne pas accéder à un contenu. La remarque doit aussi s'appliquer aux objets connectés, qui ne devraient pas pouvoir refuser une fonction au client si celui-ci refuse un traitement de données qui n'y est pas nécessaire.

Il tacle d'ailleurs la rédaction actuelle du règlement, qui ne s'assure pas que les navigateurs protègent par défaut « les empreintes de pas numériques » des internautes. L'ensemble des logiciels et objets doivent ainsi être configurés par défaut pour éviter la collecte et le stockage de données sans consentement. Dans le même sens, les exceptions sur le pistage de la position du terminal sont jugées trop larges.

Simplifier le cadre légal, les CNIL au cœur du système

Comme pour le RGPD, les autorités nationales dédiées à la protection des données (la CNIL en France) sont au centre du dispositif. Elles voient d'ailleurs leurs pouvoirs renforcés, notamment via la création d'un « European Data Protection Board », qui remplacera leur groupement actuel, le G29. Ce dernier est déjà occupé à organiser l'application du RGPD en mai 2018.

Buttarelli doute tout de même que le texte actuel puisse réellement couvrir la vie privée des Européens. « Nous avons besoin d'un cadre légal pour ePrivacy, qui soit plus intelligent, clair et fort » écrit-il, évoquant une complexité « décourageante » des règles proposées.

En l'occurrence, il mitraille le traitement différent des données, qu'elles soient un contenu, des métadonnées ou émises par un terminal, serait inutilement compliqué. « Cette complexité peut mener à des failles (peut-être involontaires) dans la protection » de la vie privée. La rédaction doit aussi éviter des trous inutiles, par exemple en indiquant que les métadonnées ne sont pas seulement celles traitées via un réseau de communication, mais toutes celles traitées électroniquement et qui ne sont pas explicitement du contenu.

Des définitions fragiles et des exceptions à surveiller

Le contrôleur européen note aussi que la plupart des définitions sur lesquelles s'appuie ePrivacy seront définies autre part. Elles doivent pour partie l'être dans le futur Code des communications électroniques européen, qui doit être mis en place via une directive, proposée en septembre par la Commission européenne. « Il n'y a pas de raison légale pour lier si fermement ces deux textes » semble s'agacer Buttarelli.

Cette base, décidée en parallèle d'ePrivacy, est estimée trop fragile. Le contrôleur demande de couper les liens entre les deux textes. Pour lui, les concepts-clés doivent directement être définis au sein d'ePrivacy. Par exemple, dans le futur code, un « utilisateur final » peut être une entité légale, alors qu'il s'agit d'individus en ligne pour le prochain règlement. Cette ambiguïté pourrait affaiblir la protection des internautes.

Il demande aussi de se pencher spécifiquement sur le traitement des données par une autre entité que celle qui a collecté les données. L'idée, selon le contrôleur européen, est d'éviter qu'une donnée soit transférée d'un service à un autre pour échapper aux règles d'ePrivacy, qui s'appliquent à des services particuliers. Il demande que le règlement empêche concrètement que des données collectées sous sa férule soient exploitées sous le régime du RGPD, potentiellement plus laxiste.

Dans son opinion, le responsable demande également de s'occuper du stockage des données personnelles, donc des communications, dans le cloud. Il ne faudrait pas que les messages ne soient protégés que pendant leur transport, mais aussi lorsqu'elles sont retenues par les services en ligne. Enfin, il réclame des garde-fous contre les éventuelles restrictions à la protection des données que pourraient mettre en place les États, encore à définir.

Il reste à voir si cet avis étayé, avec de nombreuses pistes d'amélioration, sera suivi. Le brouillon de la Commission européenne doit encore passer par le circuit des institutions européennes. Depuis début mars, le futur règlement est entre les mains du Parlement, qui doit se mettre d'accord avec la Commission et le Conseil avant mai 2018, quand il doit prendre effet.


chargement
Chargement des commentaires...