CEPD Commentaires Paquet Telecom IMCO

De La Quadrature du Net
Révision datée du 27 novembre 2008 à 22:44 par Neurone2 (discussion | contributions) (Le traitement des données de trafic, comprenant des adresses IP, à des fins de sécurité)
Aller à la navigationAller à la recherche

Commentaires du Contrôleur européen de la protection des données (CEPD) à propos de certains problèmes soulevés par le rapport IMCO sur la révision des directives 2002/22/CE (Service universel) & 2002/58/CE (ePrivacy)

Introduction

1. Globalement, le CEPD considère favorablement les amendements adoptés dans le rapport IMCO. Par exemple, le CEPD est particulièrement satisfait que l'obligation d'alerte sur les failles de sécurité s'étende aux entreprises opérant sur Internet. Il se félicite également de l'amendement permettant aux personnes morales et physiques de porter plainte lors de la violation de toute clause de la directive vie privée et communication électronique (ePrivacy) (et non plus seulement en cas de spam). Il espère fortement que le vote en session plénière du Parlement européen conservera ces amendements[1].

2. Cependant, le CEPD a quelques observations concernant des amendements ad hoc qui pourraient affaiblir la protection de données à caractère personnel et de la vie privée des individus utilisant Internet. Certains des amendements qui l'inquiètent sont liés aux données de trafic et à la protection des droits de propriété intellectuelle, ainsi qu'à la régulation des alertes sur les failles de sécurité. Toutefois, les commentaires qui suivent se limitent aux problèmes pour lesquels l'expertise du CEPD a été explicitement requise, et qui n'ont pas été couverts par l'avis précédent sur la révision de la directive ePrivacy[2], c'est-à dire aux données de trafic et à la protection des droits de propriété intellectuelle.

Analyse des amendements IMCO relatifs aux adresses IP

3. La question est soulevée de savoir si les adresses IP sont des données à caractère personnel ou non. Cela est justifié car à la fois la directive ePrivacy et la directive sur la protection des données[3] s'appliquent à chaque fois que des données à caractère personnel sont traitées. Si les adresses IP ne sont pas jugées être des données à caractère personnel, elles peuvent être collectées puis traitées sans aucune obligation juridique de se conformer aux deux directives sus-mentionnées. Par exemple, un moteur de recherche pourrait alors stocker pour une période indéfinie les adresses IP des comptes depuis lesquels des recherches portant sur une condition médicale particulière (ex. : SIDA) ont été lancées.

4. L'amendement 30 du rapport IMCO porte sur les adresses IP. L'amendement établit notamment les circonstances dans lesquelles les adresses IP doivent être considérées être des données à caractère personnel. Il établit également ainsi, a contrario, quand de telles informations ne doivent pas être considérées être des données à caractère personnel. L'amendement 130 du rapport IMCO porte sur le traitement des données de trafic, qui inclut les adresses IP.

5. Le CEPD considère que l'amendement 30 ne devrait pas établir par définition quand les adresses IP relèvent des données à caractère personnel. En outre, plutôt que d'aborder le problème immédiatement en légiférant, étant données la complexité du sujet et sa nature tributaire des faits, il pense qu'il vaudrait mieux que ces questions fassent l'objet d'une étude exhaustive et d'un rapport. L'amendement 130 devrait être supprimé ou, du moins, défini strictement.

Les adresses IP : cadre technique et juridique

6 Les adresses IP sont essentielles au fonctionnement d'Internet. Elles identifient par un nombre les appareils faisant partie d'un réseau, comme un ordinateur. Chaque fois qu'un individu se rend sur Internet, par exemple pour surfer sur le Web, le Fournisseur d'accès à internet (« FAI ») attribue une adresse IP à l'appareil qui est utilisé. Une adresse IP est une chaîne de nombres, séparés par des points, telle que 122.41.123.45.

7. L'adresse IP attribuée par le FAI à un individu peut être la même à chaque fois qu'il utilise Internet (on parle alors d'adresse IP statique). D'autres adresses IP sont dynamiques, c'est-à-dire que le FAI attribue une adresse différente à ses clients à chaque fois qu'ils se connectent à Internet. Le FAI peut évidemment relier une adresse IP (dynamique ou statique) au compte du client auquel elle a été assignée.

8. L'article 2(a) et le considérant 26 de la directive sur la protection des données[4] donnent une définition des données à caractère personnel. Qu'une information, dans ce cas une adresse IP, constitue une donnée à caractère personnel ou non doit être apprécié au cas par cas, en appliquant la définition fournie par ce cadre juridique. Le groupe de travail « Article 29 »[5] a émis un avis sur la définition des données à caractère personnel[6] pour aider les parties prenantes à mener des évaluations pour savoir si une information satisfait ou non aux conditions pour être considérée comme une « donnée à caractère personnel » et doit être, dès lors, recueillie et traitée selon les conditions imposées par les directives Protection des Données et ePrivacy.

9. Dans plusieurs avis, le groupe de travail « Article 29 » a identifié de nombreux cas où les adresses IP sont des données à caractère personnel[7]. Par exemple, il considère que les adresses IP recueillies pour faire respecter les droits de propriété intellectuelle (c'est-à-dire identifier les utilisateurs d'Internet auxquels est reproché d'avoir compromis des droits de propriété intellectuelle) sont des données à caractère personnel dans la mesure où elles sont utilisées pour l'exécution de ces droits contre un individu donné[8]. Cependant, il a également reconnu que dans certains cas, les adresses IP ne sont pas des données à caractère personnel. Le CEPD soutient pleinement ces points de vues.

Commentaire sur les amendements IMCO

Définition des adresses IP comme données à caractère personnel

10. L'amendement 30 du rapport IMCO constitue le considérant 28 bis de la directive ePrivacy. Il est rédigé ainsi : « Aux fins de la directive 2002/58/CE, les adresses de protocoles Internet devraient uniquement être considérées comme des données à caractère personnel si elles peuvent être directement associées à une personne, soit isolément, soit avec d'autres données. [...], la Commission est invitée à proposer une législation spécifique sur le traitement juridique de ces adresses en tant que données à caractère personnel dans le cadre de la protection des données, à la suite de la consultation du groupe de travail “Article 29” et du contrôleur européen de la protection des données. »

11. Le contenu de l'amendement 30 est double : premièrement, il établit une norme pour déterminer si une adresse IP doit être jugée comme une donnée à caractère personnel ou non (uniquement si elle peut être directement associée à une personne, soit isolément soit avec d'autres données). La norme créée est légèrement différente de celle suggérée par la définition des données à caractère personnel contenue dans l'article 2(a) et le considérant 26 de la directive sur la protection des données et présente peut-être une protection plus limitée puisque la portée de l'article 2(a) semble plus étendue[9]. Deuxièmement, il impose à la Commission une obligation de proposer une législation concernant le traitement juridique des adresses IP.

12. À moins qu'il n'y ait de bonnes raisons justifiant le contraire, le CEPD considère qu'il est inapproprié de légiférer sur la détermination du caractère personnel ou non d'une information. Comme indiqué au paragraphe II.2, l'article 2(a) et le considérant 26 de la directive sur les données à caractère personnel contiennent déjà une définition d'une donnée à caractère personnel, fournissant les outils pour les parties prenantes, et au final pour le contrôle judiciaire, pour établir dans les circonstances d'un cas particulier si oui ou non une information constitue ou non une donnée à caractère personnel. Plus important, en considérant que de telles évaluations sont de nature factuelle et basées sur les technologies actuelles, qui évoluent rapidement, il semble inapproprié d'adresser ce problème par une directive qui prendra du temps à être adoptée et à mise en œuvre et qui sera rapidement dépassée par de nouvelles circonstances.

13. En plus de ce qui précède, le CEPD considère qu'il n'est pas approprié de créer de nouvelles définitions d'une donnée à caractère personnel qui pourraient différer de la définition générale fournie par la directive sur la protection des données. Une telle approche pourrait mener à un cadre fragmenté où différentes informations seraient sujettes à différentes normes. Rien ne le justifie et cela n'aurait d'autre résultat que de générer de la confusion.

14. Dans le cas des adresses IP, le CEPD considère qu'il n'y a pas d'indication justifiant que la définition existante des données à caractère personnel telle qu'énoncée par l'article 2(a) de la directive sur la protection des données et interprétée par le groupe de travail « Article 29 » et la jurisprudence ne fonctionne pas pour évaluer si une adresse IP constitue ou non une donnée à caractère personnel à la lumière de faits spécifiques entourant leur obtention. Ces points de vue sont partagés par le groupe de travail « Article 29 »[10]. De plus, si les adresses IP d'utilisateurs d'Internet sont moins souvent jugées comme étant des données à caractère personnel et si leur obtention et leur utilisation sont moins restreintes du fait d'une définition plus étroite des données à caractère personnel, une telle approche pourrait encourager une société de la surveillance. Pour les raisons ci-dessus, le CEPD préconise la suppression de la première phrase de l'amendement 30 du rapport IMCO.

15. Pour les mêmes raisons soulignées précédemment, il semble illogique que la deuxième phrase de l'amendement 30 impose à la Commission une obligation de proposer une législation sur les adresses IP : si il n'y a pas d'indication qu'une telle législation soit nécessaire, pourquoi la Commission serait-elle dans l'obligation d'en proposer une ? Le CEPD concède qu'à l'avenir il puisse être utile de réfléchir à ce problème, en envisageant les différents scénarios où les adresses IP sont utilisées et en évaluant les effets du régime juridique applicable. Étant donné qu'il s'agit d'un problème juridique et technique complexe, une étude approfondie serait hautement bénéfique.

16. Pour cette raison, le CEPD souhaiterait que l'amendement 30 du rapport IMCO soit amendé pour établir le besoin de commissionner une étude sur ce sujet. Un amendement rédigé ainsi pourrait servir cet objectif : Avant XX 1, la Commission devra soumettre au Parlement européen, au Conseil, et au Comité économique et social européen une étude et un rapport avec des recommandations sur les utilisations standards des adresses IP et l'application des directives ePrivacy et Protection des données (95/46/CE) pour leur obtention et leur traitement, à la suite des consultations du CEPD, du groupe de travail « Article 29 » et des autres parties prenantes, y compris les représentants de l'industrie.

Le traitement des données de trafic, comprenant des adresses IP, à des fins de sécurité

17. L'amendement 130 du rapport IMCO crée un nouvel article 6 bis dans la directive ePrivacy qui porte sur le traitement des données de trafic à des fins de sécurité. L'amendement est le suivant : « Les données relatives au trafic peuvent être traités par toute personne physique ou morale aux fins de la mise en œuvre de mesures techniques propres à garantir la sécurité d'un service de communications électroniques public, d'un réseau public ou privé de communications électroniques, d'un service de la société de l'information ou de tout équipement de communications électronique y afférent. Ce traitement doit se limiter au strict nécessaire aux fins de l'accomplissement de ce type d'activité visant à garantir la sécurité. ».

18. Le CEPD comprend que le but de cet amendement est de permettre aux fournisseurs de service de sécurité d'obtenir puis d'utiliser les adresses IP à des fins de sécurité. Cet amendement vise à établir les « bases juridiques » autorisant l'obtention de données de trafic. Sans cet amendement, celui qui collecte des adresses IP jugées comme étant des données à caractère personnel serait soumis à l'article 7 de la directive sur la protection des données, qui exige que le traitement repose sur des bases juridiques, ainsi qu'à l'article 5 de la directive ePrivacy, qui établit la confidentialité des données de trafic[11]. Ainsi, cet amendement légitime l'obtention d'adresses IP à des fins de sécurité. Bien sûr, cet amendement n'exempte pas le traitement des données de trafic à des fins de sécurité de se soumettre aux autres clauses des directives ePrivacy et Protection des données qui s'appliquent toujours.

19. Le CEPD reconnait pleinement le besoin de sécuriser Internet et le besoin des entreprises de se lancer dans des activités qui visent ce but. De telles activités peuvent comprendre la prévention d'accès non-autorisés et la distribution de code malveillant, l'arrêt d'attaques de déni de service et les dommages infligés aux ordinateurs et aux systèmes de communications électronique[12].

20. Le CEPD comprend que certaines de ces activités puissent impliquer le traitement de certaines données de trafic, dont des adresses IP. À cet égard, il n'est pas contre la mise en place d'un cadre juridique favorable tel que celui inclus dans l'amendement 130 permettant à de tel fournisseurs de services de sécurité d'obtenir certaines données de trafic à des fin de sécurité, conditionnée à l'application des dispositions des directives ePrivacy et protection des données.

21. Toutefois, parce que l'amendement est construit de manière à ce que sa portée soit large, il ne définit pas ce qui doit être compris par sécurité et ne limite pas le type d'entités (contrôleurs de données) auquel il est censé s'appliquer, le CEPD s'inquiète qu'il puisse être interprété trop largement. notamment, le CEPD s'inquiète qu'il puisse être utilisé pour légitimer l'obtention de données de trafic à des fins qui ne soient pas purement de sécurité. Il s'inquiète également qu'il puisse ouvrir la porte à toute personne, non seulement les fournisseurs de service et de produit de sécurité, pour traiter les données de trafic en prétendant le faire à des fins de sécurité.

22. En estimant d'une part les justifications en faveur de cette disposition et d'autre part les risques d'atteinte à la vie privée dérivant d'une interprétation trop large comme illustré ci dessus, le CEPD déconseille l'adoption de cet amendement.

23. Toutefois, s'il venait à être adopté, il devrait être construit strictement en introduisant diverses garanties. À cette fin, l'amendement 130 devrait être modifié de la sorte :

24. Premièrement, il devrait être précédé de la phrase suivante pour garantir que les autres exigences de la directive sur la protection des données s'appliquent toujours (ex: droits des personnes concernées, responsabilité, faculté d'exécution) : « Sans préjudice de la conformité avec les dispositions autres que l'article 7 de la directive 95/46/CE et que l'article 5 de cette directive, les données de trafic peuvent être traitées par ... » Ce qui signifie que toutes les garanties de protection des données actuellement applicables le seront toujours.

25. Deuxièmement, la référence à « toute personne physique ou morale » devrait être remplacée par « fournisseurs de services de sécurité » pour éviter de donner carte blanche à des entités qui ne sont pas engagées dans la promotion de la sécurité d'Internet pour traiter des données à caractère personnel.

26. Troisièmement, il devrait être accompagné d'une définition du terme « sécurité » pour éviter que cet amendement soit utilisé comme justification pour traiter des données de trafic à des fins autres que la pure conduite de la sécurité. En accord avec ce qui précède, afin d'aider à adresser ce problème, le CEPD suggère d'utiliser la définition suivante des termes « réseau » et « sécurité des informations » de l'article 4(c) du règlement instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA)[13] : « la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des évènements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles ».

27. Quatrièmement', le CEPD suggère qu'un considérant soit ajouté pour illustrer les types de traitements qui seraient couverts par l'amendement et pour encourager la participation de l'ENISA et leur détermination. Le considérant pourrait être le suivant : « Le traitement de données de trafic à des fins de sécurité permettra le traitement de telles données par les fournisseurs de services de sécurité agissant en tant que contrôleurs de données aux fins d'empêcher l'accès non-autorisé et la distribution de code malveillant, d'arrêter les attaques de déni de service et les dommages aux ordinateurs et aux systèmes de communications électronique. L'ENISA devrait publier des études régulières dans le but d'illustrer les types de traitements autorisés sous l'article X de la directive ePrivacy ».

Analyse des amendements IMCO directement ou indirectement relatifs aux projets de riposte graduée

28. La question s'est posée de savoir si certains amendements contenus dans le rapport IMCO présentaient un terrain favorable à la mise en place d'une surveillance à grande échelle de l'utilisation individuelle d'Internet et des techniques de filtrage associées dans le but de détecter des infractions présumées au droit d'auteur. Notamment, il a été suggéré que certains amendements appuyaient des projets dénommés « riposte graduée », brièvement décrits ci-dessous.

29. En bref, dans ce type de projets (« riposte graduée »), les détenteurs de droits d'auteur identifieraient les infractions présumées au droit d'auteur en exerçant une surveillance systématique des activités des utilisateurs d'Internet. Après identification des utilisateurs d'Internet supposés être en infraction au droit d'auteur en collectant leurs adresses IP, les détenteurs des droits d'auteur enverraient ces adresses aux fournisseurs d'accès à Internet (FAI) qui préviendraient l'abonné auquel l'adresse appartient de sa potentielle implication à une infraction au droit d'auteur. Avoir été prévenu trois fois par son FAI provoquerait la coupure de la connexion Internet de l'utilisateur par le FAI.

30. Le CEPD ne soutient pas un cadre juridique permettant la surveillance systématique des activités des utilisateur d'Internet. Comme développé ci-dessous, un tel cadre est hautement intrusif dans la sphère privée individuelle et met aussi en danger la liberté d'expression. Pour éviter cette conséquence, le CEPD suggère de faire quelques modifications à l'amendement 9 et d'ajouter un considérant pour clarifier que les procédures de coopération ne devraient pas permettre la surveillance proactive et systématique de l'utilisation d'Internet.

Surveillance systématique de l'usage d'Internet et besoin d'une approche équilibrée

31. Le CEPD est conscient de l'importance de faire respecter les droits de propriété intellectuelle et considère qu'un équilibre doit être atteint entre les objectifs légitimes de la lutte contre les contenus illégaux et les moyens utilisés pour ce faire. Une approche équilibrée doit nécessairement prendre en considération les principes de nécessité et de proportionnalité de la législation sur la protection des données. Alors qu'une évaluation de la nécessité pourrait conclure que la surveillance d'un individu isolé suspecté de participer à une violation de droit d'auteur puisse être nécessaire, la surveillance et le filtrage proactifs et systématiques d'utilisateurs respectueux des lois seraient en conflit avec le principe de nécessité.

32. Le principe de proportionnalité[14] exige que les données personnelles obtenues et traitées soient adéquates, pertinentes et non excessives par rapport aux buts pour lesquelles elles sont obtenues et/ou traitées. En considérant : 1) le fait qu'une telle surveillance affecterait tous les utilisateurs, qu'ils soient ou non suspectés, 2) les effets potentiels de la surveillance, qui pourraient conduire à la déconnexion de l'accès à Internet, et 3) le fait que l'entité faisant l'évaluation et prenant la décision sera typiquement une entité privée (c'est à dire les détenteurs de droits d'auteur ou les FAI), il semble clair que ces types de projets ne se conforment pas au principe de proportionnalité, qui est fondamental à la protection des données.

33. Dans son avis du 18 janvier 2005, le groupe de travail « Article 29 » déclara en parlant de ce problème[15] que « Même si tout individu a naturellement le droit d’exploiter des données judiciaires dans le cadre de litiges le concernant, le principe ne va pas jusqu’à permettre l'examen approfondi, la collecte et la centralisation de données à caractère personnel par des tiers, y compris, notamment, la recherche systématique à grande échelle, comme le balayage d’Internet [...]. De telles enquêtes sont de la compétence des autorités judiciaires. ».

34. En phase avec le groupe de travail « Article 29 », le CEPD a déjà souligné[16] que manifestement ces types de projets de surveillance soulevaient des inquiétudes liées au contrôle du secteur privé (ex : celui des détenteurs de droits d'auteur ou des FAI) sur le contenu des télécommunications, un domaine qui tombe en principe sous la compétence des autorités chagées d'appliquer la loi.

35. En somme, les principes de protection des données demandent une approche graduée selon laquelle la surveillance puisse être légale dans le contexte de situations limités, spécifiques, circonstancielles, où existent des suspicions fondées d'abus de droit d'auteur, de préférence à l'échelle commerciale. Dans de tels cas, l'obtention d'informations prouvant une pratique abusive d'Internet présumée peut être estimée nécessaire et proportionnelle afin de préparer les poursuites judiciaires, y compris en contentieux. Toutefois, ces principes ne sont pas respectés dans les cas qui provoquent une surveillance proactive systématique et à grande échelle de l'utilisation d'Internet par des contrevenants suspectés ou potentiels.

36. Finalement, dans ce contexte il vaut la peine de rappeler la résolution du Parlement européen qui met l'accent sur le besoin d'une solution respectant les droits fondamentaux de l'individu en évitant l'adoption de « mesures allant à l'encontre des droits de l'homme, des droits civiques et des principes de proportionnalité, d'efficacité et d'effet dissuasif, telles que l'interruption de l'accès à Internet »[17].

Commentaire sur les amendements IMCO

37. Le CEPD a identifié les amendements suivants de la directive 2002/22/CE comme étant des dispositions qui sont ou qui pourraient être liées au sujet en question, c'est-à-dire la mise en place d'un projet de surveillance dans le but de combattre les infractions au droit d'auteur : l'amendement 9, instaurant le considérant 12 quater[18]; l'amendement 76 instaurant l'article 21, paragraphe 4 bis[19]; et l'amendement 112, instaurant l'article 33, paragraphe 2 bis[20].

38. Quel est le message principal ou l'objectif de ces amendements ? Les amendements 9 et 76 imposent aux autorités nationales de travailler avec les services de communications électroniques, tels que les fournisseurs d'accès à Internet, pour concevoir et apporter aux abonnés des informations d'intérêt public. Les amendements 9 et 76 donnent des exemples des types d'informations à fournir, qui comprennent « le respect des droits d'auteur et des droits voisins » et « les mises en garde concernant les infractions au droit d'auteur ». En ce qui concerne le calendrier de délivrance de ces informations, l'amendement 9 énonce qu'elles « devraient être produites à titre préventif ou en réaction à des problèmes particuliers ».

39. L'amendement 112 met en place une procédure de coordination imposant aux autorités régulatrices nationales et aux autres autorités de promouvoir la coopération entre fournisseurs de services de communications électroniques et représentants des fournisseurs de contenus. Un exemple d'une telle coopération est le développement et la distribution d'informations d'intérêt public aux abonnés. En mettant en place les obligations précédentes[21], les amendements 9, 76 et 112 restent vagues et sujets à interprétation.

40. À l'origine, le CEPD indique qu'il soutient dans l'absolu les procédures de coopération entre les industries du droit d'auteur et des télécommunications, et considère qu'une telle coopération est importante pour garantir le fonctionnement correct d'Internet. Malgré cette remarque d'ordre général, le CEPD fait les observations suivantes quant à savoir si les amendements proposés créent une « riposte graduée » :

41. Premièrement, les amendements ne créent pas explicitement un système de surveillance permettant à l'industrie du droit d'auteur de surveiller l'utilisation d'Internet et de filtrer les adresses IP des utilisateurs d'Internet afférents suspectés d'enfreindre des droits d'auteurs. Toutefois, si les amendements 30 et 130 discutés dans la partie II étaient adoptés dans leur formulation actuelle, ils pourraient faciliter la capacité des détenteurs des droits d'auteur à surveiller systématiquement les adresses IP des utilisateurs d'Internet, ce qui pourrait être utilisé pour faciliter la mise en place d'un projet de « riposte graduée ».

42. Deuxièmement, les amendements ne créent pas explicitement un projet de coordination selon lequel l'industrie des droits d'auteur pourrait obtenir les adresses IP de contrevenants suspectés et les fournir aux industries de télécommunication. Le but du projet de coopération mis en place par les amendements est, entre autres, de déterminer quels types d'informations d'intérêt public, dont celles relatives aux droits d'auteur, doivent être transmises aux abonnés. Le type d'informations semble être général par nature, par exemple, des informations sur l'existence d'un site Web qui promeut le partage illégal d'informations soumises au droit d'auteur. Bien qu'il ne semble pas être question d'informations liées à des infractions présumées spécifiques, cela n'est pas entièrement clair.

43. En somme, il semble correct de dire que les amendements ne mettent pas en place un système non équivoque de « riposte graduée ». Ils ne précisent pas les détails d'un tel système. Cependant, selon l'opinion du CEPD, ces amendements aménagent une « pente glissante » et peuvent être interprétés comme posant les fondements d'un tel système et même d'en favoriser l'émergence, préparant un développement en détail au niveau national ou de l'UE.

44. Le CEPD comprend qu'il n'est pas dans l'intention de ces amendements de créer un système de « riposte graduée ». Toutefois, à la lumière des points précédents, ceci doit être clarifié dans un considérant, qui pourrait être rédigé ainsi : « Les procédures de coopération mises en place selon cette directive ne doivent pas permettre la surveillance proactive et systématique de l'utilisation d'Internet. ».

45. 'De plus, le CEPD recommande également la suppression de l'amendement 9 dans son ensemble, ou alternativement de le réécrire en prenant en compte ce qui suit : 1) dans la première phrase, ajouter l'adjectif « d'intérêt public » au mot « informations » ; 2) dans la deuxième phrase, le mot « avertissement » devrait être clarifié pour s'assurer qu'il s'agisse d'« avertissement d'intérêt public » ; 3) retirer la référence à « une réponse à des problèmes particuliers » qui évoque des avertissements individuels plutôt que généralisés.

Analyse des amendements IMCO relatifs à la normalisation de la détection, de l'interception et de la prévention des infractions aux droits de propriété intellectuelle

46. La question s'est aussi posée de savoir si certains amendements du rapport IMCO pouvaient encourager le contrôle des activités des utilisateurs d'Internet. Cela peut se faire en habilitant les États membres à délivrer des normes d'équipement de communications électroniques afin de contrôler le contenu, principalement sous droit d'auteur, auquel accèdent ou qu'utilisent par les utilisateurs d'Internet. Les moyens techniques permettant un tel contrôle sont généralement dénommés gestion des droits numériques (« DRM »). Par exemple, les technologies DRM peuvent contrôler l'accès aux fichiers (nombre et durée des consultations), leur modification, leur partage, leur copie, leur impression et leur sauvegarde. Ces technologies peuvent être contenues dans le système d'exploitation, dans un logiciel ou dans la partie physique d'un composant.

47. Les effets mentionnés ci-dessus sont censés être atteints par l'amendement 134, qui modifie l'article 14(1) de la directive ePrivacy concernant la normalisation et également par l'amendement 81 qui modifie l'article 22.3 de la directive 2002/22/CE. Cette partie analyse les deux amendements et évalue leurs effets en concluant que les deux amendements ne devraient pas être adoptés sans analyses et recherches supplémentaires.

Normalisation pour l'élaboration de produits respectueux de la vie privée

48. L'application effective des obligations relatives à la protection des données est parfois plus difficile à l'âge de l'Internet et est facilitée si les produits des technologies de l'information sont conçus et fabriqués en ayant en têtes dès le départ ces exigences juridiques. Cette approche garantit que les données seront traitées dès le départ en conformité avec le droit et élimine le besoin d'action a posteriori pour appliquer la loi.

49. L'article 14 de la directive ePrivacy traite de ce problème et illustre le concept de « respecter la vie privée par construction ». En particulier, il traite de la normalisation pour faire des produits respectueux de la vie privée. La proposition initiale de la Commission ne contient pas d'amendement à cette disposition. En particulier, l'article 14 (3) de la directive ePrivacy stipule que « Au besoin, des mesures peuvent être adoptées afin de garantir que les équipements terminaux seront construits de manière compatible avec le droit des utilisateurs de protéger et de contrôler l'utilisation de leurs données à caractère personnel, conformément à la directive 1999/5/CE ». L'article 14 (1) établit que de tels impératifs techniques ne doivent pas entraver la mise sur le marché d'équipements et leur libre circulation dans les États membres et entre ces derniers.

50. En somme, ces articles permettent aux États membres d'imposer des exigences pour que les produits des technologies de l'information remplissent certaines normes garantissant et facilitant le contrôle des utilisateurs sur leurs données personnelles et pour qu'ils se conformes ainsi aux directives sur la protection des données. En élaborant des norme, l'article 14 (1) exige que les États membres garantissent que ces exigences n'empêchent par la mise sur le marché d'équipements et n'entravent pas leur circulation dans les États membres et entre ces derniers.

Commentaire sur les amendements IMCO

51. L'amendement 134 modifierait l'article 14 (1) pour y inclure la phrase suivante en italiques : « 1. Lors de la mise en œuvre des dispositions de la présente directive, les États membres veillent, sous réserve des paragraphes 2 et 3, à ce qu'aucune exigence relative à des caractéristiques techniques spécifiques, notamment, et sans restriction, aux fins de la détection, de la poursuite et de la prévention de toute violation des droits de propriété intellectuelle par des utilisateurs, ne soit imposée aux terminaux ou à d'autres équipements de communications électroniques si elle risque d'entraver la mise sur le marché d'équipements et la libre circulation de ces équipements dans les États membres et entre ces derniers. ».

52. Pour les raisons soulignés ci-dessous, le CEPD recommande de rejeter cet amendement.

53. Premièrement, le contenu de l'amendement n'a aucun rapport avec l'objet - « respecter la vie privée par construction » - de l'article qu'il amenderait. En effet, comme expliqué ci-dessus, les articles 14 (1) et 14 (3) de la directive ePrivacy actuelle traitent de la normalisation des produits des technologies de l'information de manière à garantir qu'il sont fabriqués de manière respectueuse de la vie privée. Ces articles sont cohérents avec l'objet général de la directive, qui se concentre sur la vie privée dans le secteur des communications électroniques.

54. À l'opposé, l'amendement 134 proposé se réfère à la normalisation pour des objectifs totalement différents, i.e. pour la détection, l'interception et la prévention des infractions aux droits de propriété intellectuelle par les utilisateurs. Ce type de normalisation concerne l'élaboration de produits logiciels et matériels permettant aux détenteurs de droits d'auteur de facilement surveiller l'utilisation de leurs œuvres et de détecter les infractions au droit d'auteur et les violations des dispositions contractuelles. Il concerne la normalisation de systèmes de gestion de droit numériques (DRM).

55. Le CEPD croit que cela n'a aucun sens que l'article 14 (1), qui porte sur la normalisation dans l'objectif d'améliorer la protection des données et de la vie privée, soit étendu à la normalisations d'autres sujets n'ayant aucun rapport.

56. Deuxièmement, en insérant dans l'article 14 (1) une référence à la normalisation pour des objectifs de détection, d'interception et de prévention des infractions aux droits de propriété intellectuelle, cet article reconnaît que les États membres peuvent imposer des normes dans ce domaine également (et non seulement pour des objectifs de respect de la vie privée comme stipulé dans l'article 14.3), pourvu que de telles normes garantissent la libre circulation de ces équipement dans les États membres et entre ces derniers.

57. Dans ce contexte, il se pose la question de savoir s'il est approprié que les États membres exigent que les technologies de l'information respectent certaines normes, i.e. incorporent certaines fonctionnalités, pour détecter, intercepter ou prévenir les infractions aux droits de propriété intellectuelle par les utilisateurs. De telles mesures, dénommées DRM, entraînent des conséquences significatives sur la vie privée des individus dans la mesure où elles facilitent la surveillance de leurs activités vis-à-vis d'un contenu particulier soumis au droit d'auteur. Par exemple, cela permettrait à un détenteur de droits d'auteur de savoir quelles pages sont vues, copiées ou transférées par un individu. Un exemple comparable du monde matériel serait que quelqu'un soit capable de surveiller quelles page d'un magazine sont lues par un individu. Si ces mesures étaient adoptées, elles devraient intégrer des gardes-fou pour la protection des données et de la vie privée.

58. Pour les raisons soulignées ci-dessus, l'adoption de tout amendement autorisant de telles mesures devrait être précédée d'une recherche sur les problèmes en question se déroulant dans le cadre approprié, comprenant une consultation publique avec les parties prenantes, qui n'a pas encore eu lieu à ce stade. En tenant compte de ceci, le CEPD ne croit pas qu'il soit approprié à ce stade d'adopter de telles mesures.

59. Le CEPD remrque un autre amendement, l'amendement 81 qui modifie l'article 22 (3) de la directive 2002/22/CE. L'amendement 81, en italique ci-dessous, reconnaît qu'une « autorité règlementaire nationale peut adopter des orientations définissant des exigences minimales en matière de qualité de service et, s'il y lieu, prendre d'autres mesures afin de prévenir la dégradation du service et le ralentissement du trafic sur les réseaux et de faire en sorte que les possibilités pour les utilisateurs d'accéder à des contenus licites ou de les distribuer ou d'utiliser des applications et services licites de leur choix ne soient pas indûment restreintes ».

60. L'amendement permet aux autorités nationales d'adopter des exigences à imposer aux produits logiciels et matériels pour permettre l'accès et la distribution de contenus licites, incluant la propriété intellectuelle , exigences que l'on a désignées ci-dessus comme étant des DRM.

61. Comme pour l'amendement 134, l'amendement 81 utilise également une disposition de la directive 2002/22/CE relative à un sujet totalement différent - la dégradation de service. Cet amendement se concentre sur la distribution de contenus licites, incluant la propriété intellectuelle, et n'a aucun rapport avec la dégradation de service. Comme dit précédemment, à la lumière de l'importance des mesures proposées et de leurs conséquences directes sur la vie privées des individus, le CEPD recommande le rejet de cet amendement sans avoir auparavant conduit une analyse en profondeur et exhaustive de ses conséquences.

Conclusion

62. Le CEPD s'inquiète d'amendements ad hoc faisant partie du rapport IMCO, qui, s'ils étaient adoptés, finiraient par affaiblir la protection des données personnelles et de la vie privée des individus utilisant Internet. Il s'inquiète des amendements 9, 30, 76, 81, 112, 130 et 134 du rapport IMCO relatifs au traitement des données de trafic et à la protection des droits de propriété intellectuelle.

63. Bien que chacun de ces amendements, pris individuellement, n'entraîne pas la surveillance massive des utilisateurs d'Internet, pris globalement, l'adoption de l'ensemble d'amendements identifiés ci-dessus favoriserait sans conteste l'aboutissement à une telle surveillance. En effet, si la collecte d'adresses IP était autorisés dans le but de déconnecter les abonnés d'Internet (amendements 9, 76 et 112) et si l'adoption de normes techniques pour le filtrage et la surveillance de contenus était favorisée (amendements 134 et 81), le résultat final serait l'accroissement de la surveillance des utilisateurs d'Internet, ce qui contreviendrait inévitablement à la protection de leurs données et de leur droit à la vie privée.

64. Pour éviter cette conséquence indésirable et garantir correctement la protection de la vie privée et des droits à la protection des données, le CEPD préconise vivement de prendre en compte ce qui suit.

65. Premièrement, supprimer la première phrase de l'amendement 30, qui établit une norme distincte pour déterminer si une adresse IP doit être jugée comme une donnée à caractère personnel ou non. Comme montré dans la partie II, ceci n'est pas nécessaire, injustifié et n'aurait d'autre résultat que de générer de la confusion. Pour les mêmes raison, modifier la seconde phrase de l'amendement 30 qui exige de la Commission qu'elle propose une législation sur les adresses IP de la manière suivante : « Avant XX 1, la Commission devra soumettre au Parlement européen, au Conseil, et au Comité économique et social européen une étude et un rapport avec des recommandations sur les utilisations standards des adresses IP et l'application des directives ePrivacy et Protection des données (95/46/CE) pour leur obtention et leur traitement, à la suite des consultations du CEPD, du groupe de travail “Article 29” et des autres parties prenantes, y compris les représentants de l'industrie. ».

66. Deuxièmement, à la lumière des risques pour la vie privée associés à une interprétation potentiellement trop large, rejeter l'amendement 130. Alternativement, modifier l'amendement 130 ainsi : 1) ajouter la phrase suivante pour garantir que les autres exigences de la directive sur la protection des données s'appliquent toujours : « Sans préjudice de la conformité avec les dispositions autres que l'article 7 de la directive 95/46/CE et que l'article 5 de cette directive ; 2) remplacer la référence à « toute personne physique ou morale » par « fournisseurs de services de sécurité » pour éviter de donner carte blanche à des entités qui ne sont pas engagées dans la promotion de la sécurité d'Internet pour traiter des données à caractère personnel ; 3) ajouter la définition du terme « sécurité des réseaux » contenue dans l'article 4(c) du règlement instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) ; et 4) ajouter un considérant pour illustrer les types de traitements qui seraient couverts par l'amendement et pour encourager la participation de l'ENISA et leur détermination : « Le traitement de données de trafic à des fins de sécurité permettra le traitement de telles données par les fournisseurs de services de sécurité agissant en tant que contrôleurs de données aux fins d'empêcher l'accès non-autorisé et la distribution de code malveillant, d'arrêter les attaques de déni de service et les dommages aux ordinateurs et aux systèmes de communications électronique. L'ENISA devrait publier des études régulières dans le but d'illustrer les types de traitements autorisés sous l'article X de la directive ePrivacy ».

67. Troisièmement, clarifier dans un considérant que l'intention des amendements 9, 76 et 112 n'est pas de permettre la surveillance systématique des utilisateurs d'Internet : « Les procédures de coopération mises en place selon cette directive ne doivent pas permettre la surveillance proactive et systématique de l'utilisation d'Internet. ».

68. Quatrièmement, supprimer l'amendement 9 dans son ensemble, car la manière vague dont il est rédigé en favoriserait une interprétation erronée. Alternativement, le réécrire en prenant en compte ce qui suit : 1) dans la première phrase, ajouter l'adjectif « d'intérêt public » au mot « informations » ; 2) dans la deuxième phrase, le mot « avertissement » devrait être clarifié pour s'assurer qu'il s'agisse d'« avertissement d'intérêt public » ; 3) retirer la référence à « une réponse à des problèmes particuliers » qui évoque des avertissements individuels plutôt que généralisés.

69. Cinquièmement, rejeter les amendements 134 et 81. L'adoption de mesures techniques exigeant que les équipements terminaux incorporent certaines fonctionnalités, pour détecter, intercepter ou prévenir les infractions aux droits de propriété intellectuelle par les utilisateurs entraîne des conséquences significatives sur la vie privée des individus dans la mesure où elles facilitent la surveillance de leurs activités vis-à-vis d'un contenu particulier soumis au droit d'auteur. L'adoption potentielle de tout amendement autorisant de telles mesures devrait être précédée d'une recherche sur les problèmes en question se déroulant dans le cadre approprié, comprenant une consultation publique avec les parties prenantes, qui n'a pas encore eu lieu à ce stade.

Bruxelles, le 2 septembre 2008

Notes de bas de page

  1. Afin d'inclure les entreprises opérant sur Internet dans le champ de l'obligation d'alerte sur les failles de sécurité, le rapport IMCO a inséré dans divers amendements une référence explicite aux entreprises opérant sur Internet parmi les fournisseurs de services de communications électroniques. Notamment, les amendements dans lesquels de telles références ont été ajoutées comprennent les amendements 33, 123, 124, 126 et 136. Afin de donner le moyen à tout personne légale de recourir au droit civil, le rapport IMCO a adopté l'amendement 133.
  2. Avis du CEPD du 10 avril 2008 sur la proposition de directive amendant, entre autres, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive sur la vie privée et les communications électroniques)
  3. Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
  4. Selon l'article 2(a) « “données à caractère personnel“ [signifie] toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ». Le considérant 26 stipule : « considérant que les principes de la protection doivent s'appliquer à toute information concernant une personne identifiée ou identifiable; que, pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne; que les principes de la protection ne s'appliquent pas aux données rendues anonymes d'une manière telle que la personne concernée n'est plus identifiable [...] ».
  5. Ce groupe de travail a été mis en place selon l'article 29 de la directive 95/46/CE. Il s'agit d'une instance européenne indépendante consultative sur la protection des données et de la vie privée. Ses tâches sont définies à l'article 30 de la directive 95/46/CE et à l'article 15 de la directive 2002/58/CE.
  6. Avis 136 du groupe de travail sur le concept des données à caractère personnel, adopté le 20 juin 2007.
  7. Par exemple, le document de travail 37 « Le respect de la vie privée sur Internet - Une approche européenne intégrée sur la protection des données en ligne », adopté le 21 novembre 2000 et l'avis 136 du groupe de travail sur le concept des données à caractère personnel, adopté le 20 juin 2007.
  8. Document de travail 104 sur les questions de protection des données liées aux droits de propriété intellectuelle, adopté le 18 janvier 2005.
  9. Selon l'article 2(a) une personne identifiable est celle qui peut être identifiée, directement ou indirectement. Le considérant 30 ne comprends pas la formulation « indirectement ». Il n'inclue pas non plus la nécessité pour déterminer si une personne est identifiable ou non de considérer « l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne » ainsi qu'établit par le considérant 26 de la directive sur la protection des données.
  10. Voir la lettre datée du 5 mai 2007 adressée par le président du groupe de travail « Article 29 » à M. Gérard DEPREZ, président de la commission LIBE, à propos des adresses IP.
  11. Les exemples de bases juridiques avancées par l'article 7 comprenne la permission de traiter des données lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie (point b), et lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public (point e). Est également compris au point f, le traitement nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er.
  12. Voir les menaces identifiées par la décision-cadre 2005/222/JAI du Conseil, du 24 février 2005, relative aux attaques visant les systèmes d'information, notamment l'article 2 (accès illicite à des systèmes d'information), l'article 3 (atteinte à l'intégrité d'un système), l'article 4 (atteinte à l'intégrité des données) et l'article 5 (incitation, aide et complicité et tentative).
  13. Règlement (CE) n° 460/2004 du Parlement européen et du Conseil du 10 mars 2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information
  14. Article 6.1 c) de la directive sur la protection des données.
  15. Document de travail 104 sur les questions de protection des données liées aux droits de propriété intellectuelle, adopté le 18 janvier 2005.
  16. Avis du CEPD du 23 juin 2008 sur la proposition de décision instituant un programme communautaire pluriannuel visant à protéger les enfants lors de l'utilisation de l'internet et d'autres technologies de communication.
  17. Résolution du Parlement européen du 10 avril 2008 sur les industries culturelles en Europe (2007/2153(INI)).
  18. « Pour régler des questions d'intérêt public concernant l'utilisation des services de communications et pour encourager la protection des droits et des libertés d'autrui, les autorités nationales compétentes devraient pouvoir produire et diffuser, avec l'aide des fournisseurs, des informations relatives à l'utilisation des services de communications. Ces informations devraient comporter des mises en garde concernant les infractions au droit d'auteur, d'autres utilisations illicites de contenus préjudiciables et leur diffusion ainsi que des conseils et des moyens de protection contre les risques d'atteinte à la sécurité individuelle, pouvant résulter par exemple de la révélation de données personnelles dans certaines circonstances, ou de données relatives à la vie privée ou à caractère personnel. Ces informations pourraient être coordonnées dans le cadre de la procédure de coopération établie à l'article 33, paragraphe 2 bis, de la directive 2002/22/CE. Ces informations d'intérêt public devraient être produites à titre préventif ou en réaction à des problèmes particuliers, être actualisées chaque fois que nécessaire et être présentées sous une forme aisément compréhensible, imprimée et électronique, selon ce que décide chaque État membre, ainsi que sur les sites Internet des autorités publiques nationales. Les autorités règlementaires nationales devraient pouvoir obliger les fournisseurs à mettre ces informations à disposition de leurs clients d'une façon jugée appropriée par elles. Les frais additionnels significatifs encourus par le fournisseur de services pour la diffusion de ces informations, par exemple s'il est obligé d'envoyer les informations par la poste et donc d'assumer des frais d'affranchissement supplémentaires, devraient faire l'objet d'un accord entre les fournisseurs et les autorités compétentes et être pris en charge par celles-ci. Les informations devraient aussi figurer dans les contrats. »
  19. « Les États membres veillent à ce que les autorités règlementaires nationales obligent les entreprises visées au paragraphe 4 à communiquer, le cas échéant, aux abonnés existants et nouveaux des informations d'intérêt public. Ces informations sont produites par les autorités publiques compétentes sous une forme normalisée et couvrent entre autres les sujets suivants: a) les modes les plus communs d'utilisation des services de communications électroniques pour se livrer à des activités illicites ou diffuser des contenus préjudiciables, notamment lorsque cela peut porter atteinte aux droits et aux libertés d'autrui, y compris le respect des droits d'auteur et des droits voisins, et leurs conséquences; et b) les moyens de protection contre les risques d'atteinte à la sécurité individuelle et à la protection de la vie privée et des données à caractère personnel dans l'utilisation des services de communications électroniques. Les frais additionnels significatifs découlant pour l'entreprise du respect de ces obligations sont remboursés par les autorités publiques compétentes. »
  20. « Sans préjudice des règlementations nationales conformes au droit communautaire visant à promouvoir des objectifs politiques en matière culturelle et de médias, tels que la diversité culturelle et linguistique et le pluralisme des médias, les autorités réglementaires nationales et les autres autorités compétentes favorisent, autant qu'il convient, une coopération entre les entreprises fournissant des réseaux et/ou services de communications électroniques et les secteurs intéressés par la promotion de contenus licites dans les réseaux et services de communications électroniques. Cette coopération peut inclure la coordination des informations d'intérêt public à fournir en vertu de l'article 21, paragraphe 4 bis, et de l'article 20, paragraphe 2. »
  21. Ces obligations pourraient être résumées ainsi : (i) les autorités nationales devraient produire des informations comprenant entre autres des avertissements sur les infractions au droit d'auteur ; (ii) les autorités nationales sont incitées à mettre en place une procédure de coopération entre l'industrie des télécommunications et celle du droit d'auteur, dont la portée devrait inclure la détermination des informations (auxquelles on se réfère en (i)) à délivrer aux abonnés ; et (iii) les autorités nationales auront le pouvoir d'imposer aux services de communications électroniques telles que les fournisseurs d'accès à Internet à délivrer à leurs abonnés les informations sur lesquelles on s'est accordé en (i) et (ii).