CEPD Commentaires Paquet Telecom IMCO

De La Quadrature du Net
Révision datée du 15 septembre 2008 à 16:38 par Neurone2 (discussion | contributions) (ok until 7.)
Aller à la navigationAller à la recherche

Commentaires du Contrôleur européen de la protection des données (CEDP) à propos de certains problèmes soulevés par le rapport IMCO sur la révision des directives 2002/22/CE (Service universel) & 2002/58/CE (ePrivacy)

Introduction

1. Globalement, le CEDP considère favorablement les amendements adoptés dans le rapport IMCO. Par exemple, le CEDP est particulièrement satisfait que l'obligation d'alerte sur les failles de sécurité s'étande aux entreprises opérant sur Internet. Il se félicite également de l'amendement permettant aux personnes morales et physiques de porter plainte lors de la violation de toute clause de la directive vie privée et communication électronique (ePrivacy) (et non plus seulement en cas de spam). Il espère fortement que le vote en session plénière du Parlement européen conservera ces amendements[1].

2. Cependant, le CEDP a quelques observations concernant des amendements ad hoc qui pourraient affaiblir la protection de données personnelles et de la vie privée des individus utilisant Internet. Certains des amendements qui l'inquiètent sont liés aux données de trafic et à la protection des droits de propriété intellectuelle, ainsi qu'à la régulation des alertes sur les failles de sécurité. Toutefois, les commentaires qui suivent se limitent aux problèmes pour lesquels l'expertise du CEDP a été explicitement requise, et qui n'ont pas été couverts par l'avis précédent sur la révision de la directive ePrivacy[2], c'est-à dire aux données de trafic et à la protection des droits de propriété intellectuelle.

Analyse des amendements IMCO liés aux adresses IP

3. La question est soulevée de savoir si les adresses IP sont des données personnelles ou non. Cela est justifié car à la fois la directive ePrivacy et la directive sur la protection des données[3] s'appliquent à chaque fois que des données personnelles sont traitées. Si les adresses IP ne sont pas jugées être des données personnelles, elles peuvent être collectées puis traitées sans aucune obligation légale de se conformer aux deux directives sus-mentionnées. Par exemple, un moteur de recherche pourrait alors stocker pour une période indéfinie les adresses IP des comptes depuis lesquels des recherches portant sur une condition médicale particulière (ex. : SIDA) ont été lancées.

4. L'amendement 30 du rapport IMCO porte sur les adresses IP. L'amendement établit notamment les circonstances dans lesquelles les adresses IP doivent être considérées être des données personnelles. Il établit également ainsi, a contrario, quand de telles informations ne doivent pas être considérées être des données personnelles. L'amendement 130 du rapport IMCO porte sur le traitement des données de trafic, qui inclut les adresses IP.

5. Le CEDP considère que l'amendement 30 ne devrait pas établir par définition quand les adresses IP relèvent des données personnelles. En outre, plutôt que d'aborder le problème immédiatement en légiférant, étant données la complexité du sujet et sa nature tributaire des faits, il pense qu'il vaudrait mieux que ces questions fassent l'objet d'une étude exhaustive et d'un rapport. L'amendement 130 devrait être supprimé ou, du moins, défini strictement.

Les adresses IP : cadre technique et légal

6 Les adresses IP sont essentielles au fonctionement d'Internet. Elles identifient par un nombre les appareils faisant partie d'un réseau, comme un ordinateur. Chaque fois qu'un individu se rend sur Internet, par exemple pour surfer sur le Web, le Fournisseur d'accès à internet ("FAI") attribue une adresse IP à l'appareil qui est utilisé. Une adresse IP est une chaîne de nombres séparés par des points, telle que 122.41.123.45.

7. L'adresse IP attribuée par le FAI à un individu peut être la même à chaque fois qu'il utilise Internet (on parle alors d'adresse IP statique). D'autres adresses IP sont dynamiques, c'est-à-dire que le FAI attribue une adresse différente à ses clients à chaque fois qu'ils se connectent à Internet. Le FAI peut évidemment relier une adresse IP (dynamique ou statique) au compte du client auquel elle a été assignée.

8. L'article 2(a) et le considérant 26 de la directive sur la protection des données(****) contient une définition des données personnelles. Qu'une information, dans ce cas une adresse IP, constitue une donnée personnelle ou non doit être apprécié au cas par cas, en applicant la définition fournie par ce cadre légal. Le groupe de travail de l'article 29 a émis une opinion sur la définition des données personnelles pour aider les parties prenantes à mener des évaluation pour savoir si une information satisfait aux conditions pour être considérée "donnée personnelle" et doit être, dès lors, recueillie et traitée sous les conditions des directives de Protection des Données et ePrivacy.

9. Dans plusieurs avis, le groupe de travail desur l'article 29 a identifié de nombreux cas où les adresses IP sont des données personnelles. Par exemple, il considère que les adresses IP recueillies pour faire respecter les droits à la propriété intellectuelle (c'est à dire identifier les utilisateurs d'Internet auquels est reproché d'avoir compromis un droit à la propriété intellectuelle) sont des données personnelles dans la mesure où elles sont utilisées pour l'exécution de ces droits contre un individu donné. Il a également reconnu que dans certains cas, les adresses IP ne sont pas des données personnelles. Le CEDP soutient pleinement ces points de vues.

II.2 Commentaire des amendements IMCO

(a) Definition des adresses IP comme données personnelles

10. L'amendement 30 du rapport IMCO constitue le considérant 28(a) de la directive ePrivacy. Il dit : "Pour la directive 2002/58/EC, les adresses IP doivent être considérées comme des données personnelles seulement si elles peuvent être directement liées à un individu seules ou en conjonction avec d'autres données. (...), la Commission devrait proposer une législation spécifique pour le traitement légal des adresses IP comme des données personnelles dans le cadre de la protection de données après consultation du groupe de travail de l'article 29 et du CEDP."

11. Le contenu de l'amendement 30 est double : premièrement, il établit une norme pour déterminer si une adresse IP doit être jugée donnée personnelle ou non (seulement si elle peut être directement liée à un individu seule ou avec des données supplémentaires). La norme crée est légèrement différente de celle suggérée par la définition des données personnelles contenue dans l'article 2(a) et le considérant 26 de la Directive sur la Protection de Données et présente peut être une protection plus limitée puisque la portée de l'article 2(a) semble plus grande. Deuxièmement, il impose à la commission une obligation de proposer une législation concernant le traitement légal des adresses IP.

12. A moins qu'il n'y ait de bonnes raisons justifiant le contraire, le CEDP considère qu'il est innaproprié de légiférer sur si une information constitue ou non une information personnelle. Comme indiqué au paragraphe II.2, l'article 2(a) et le considérant 26 de la Directive sur les Données Personnelles contiennent déjà une définition d'une donnée personnelle, fournissant les outils pour les parties prenantes, et au final pour le contrôle judiciaire, pour établir dans les circonstances d'un cas particulier si oui ou non une information est ou non une donnée personnelle. Plus important, en considérant que de telles évaluations sont de nature factuelle et basées sur les technologies actuelles, qui évoluent rapidement, il semble innaproprié d'addresser ce problème par une directive qui prendra du temps à être adoptée et à implémenter et qui sera rapidement dépassée par de nouvelles circonstances.

13. En plus de ce qui précède, le CEDP considère qu'il n'est pas approprié de créer de nouvelles définitions de données personnelles qui pourraient différer de la définition générale fournie par la Directive de Protection des Données. Une telle approche pourrait mener à un cadre fragmenté où différentes informations seraient subjecte à différents standards. Cela n'est pas justifié et servirait seulement à créer de la confusion.

14. Dans le cas des adresses IP, le CEDP considère qu'il n'y a pas d'indication justifiant que la définition existante des données personnelles fournie par l'article 2(a) de la Directive sur la Protection des Données et interprétée par le groupe de travail de l'article 29 et le contrôle judiciaire ne fonctionne pas lors pour évaluer si une addresse IP constitue ou non une donnée personnelle à la lumière de faits spécifiques concernants leur obtention. Ces vues sont partagées par le groupe de travail de la'article 29 (**********). De plus, si les addresses IP d'utilisateurs d'Internet sont jugées des données personnelles à des occasions plus limitées, et si leur obtention et leur utilisation sont moins restreinte du fait d'une définition plus étroite des données personnelles, une telle approche pourrait encourager une [société de la surveillance]. Pour les raisons ci dessus, le CEDP précognise la suppression du premier arrêt de l'ammendement 30 du rapport IMCO.

15. Pour les mêmes raisons soulignées précédemment, il semble illogique pour le deuxième arrêt de l'amendement 30 d'imposer une obligation à la Commission de proposer une législation sur les adresses IP : Si il n'y a pas d'indication qu'une telle législation soit nécessaire, pourquoi la Commission serait-elle dans l'obligation d'en proposer une ? Le CEDP accepte qu'à l'avenir il puisse être utile de réfléchir à ce problème, en envisageant les différents scénarios où les adresses IP sont utilisées et en évaluant les effets du régime légal applicable. Étant donné qu'il s'agit d'un problème légal et technique complexe, une étude en profondeur serait hautement bénéfique.

16. Pour cette raison, le CEDP souhaiterait que l'amendement 30 du rapport IMCO soit amendé pour établir le besoin de commissionner une étude sur ce sujet. Un amendement selon ces lignes pourrait servir cet objectif : Avant XX 1, la Commission devra soumettre au Parlement Européen, au Conseil, et au Comité économique et social européen une étude et un rapport avec des recommendations sur l'utilisation [standard] des adresses IP et l'application des directives ePrivacy et Protection des Données (95/46/EC) pour leur obtention leur traitement, à la suite des consultations du CEDP, du groupe de travail de l'article 29, et des autres parties prenantes incluant les représentants de l'industrie.

(b) Le traitement des données de trafic, comprenant des adresses IP, à des fins [de sécurité]

17. L'amendement 130 du rapport IMCO crée un nouvel article 6a dans la directive ePrivacy qui porte sur le traitement des données de trafic à des fins de sécurité. L'amendement est le suivant : "Les données de trafic peuvent être traités par toute personne légale ou physique afin d'implémenter des mesures techniques pour assurer la sécurité d'un service publique de communication électronique, d'un réseau de communication électronique publique ou privé, d'un [service de société d'information] ou d'un équipement de communication électronique ou [terminal]. De tels traitements doivent être limités au strict nécessaire dans la visée d'une telle activité de sécurité".

18. Le CEDP comprend que le but de cet amendement est de permettre aux fournisseurs de service de sécurité d'obtenir puis d'utiliser les adresses IP à des fins de sécurité. Cet amendement vise à établir un "terrain légal" autorisant l'obtention de données de trafic. Sans cet amendement, le receveur d'adresses IP jugées données personnelles serait sujet à l'article 7 de la Directive sur la Protection des Données, qui nécessite un terrain légal pour justifier le traitement, ainsi qu'à l'article 5 de la Directive ePrivacy, qui établit la confidentialité des données de trafic(***********). Ainsi, cet amendement légitime l'obtention d'adresses IP à des fins de sécurité. Bien sûr, cet amendement n'exempte pas le traitement des données de trafic à des fins de sécurité de se soumettre aux autres claises des directives ePrivacy et Protection des Données qui s'appliquent toujours.

19. Le CEDP reconnait pleinement le besoin de sécuriser Internet et le besoin des entreprises de se lancer dans des activités qui visent ce but. De telles activités peuvent comprendre la prévention d'accès non-autorisés et la distribution de code malveillant, l'arrêt d'attaques de déni de service et les dommages infligés aux ordinateurs et aux systèmes de communication électronique(************).

20. Le CEDP comprend que certaines de ces activités puissent nécessiter le traitement de certaines données de trafic, dont des adresses IP. À cette fin, il n'est pas contre la mise en place d'un cadre légal tel que celui présenté dans l'amendement 130 permettant à de tel fournisseurs de service de sécurité d'obtenir certaines données de trafic à des fin de sécurité, sujet à l'application des dispositions des directives ePrivacy et Protection des Données.

21. Toutefois, parce que l'amendement est vague, par exemple, il ne définit pas ce qui doit être compris par sécurité et ne limite pas le type d'entité (contrôleurs de données) auquel il peut s'appliquer, le CEDP s'inquiète qu'il puisse être interprété trop largement. En particulier, le CEDP s'inquiète qu'il puisse être utilisé pour légitimer l'obtention de données de traffic à des fins qui ne soient pas purement de sécurité. Il s'inquiète également qu'il puisse ouvrir la porte à toute personne, non seulement les fournisseurs de service et de produit de sécurité, de traiter les données de trafic en prétendant le faire à des fins de sécurité.

22. En estimant d'une part les justifications en faveur de cette disposition et d'autre part les risques d'atteinte à la vie privée provenants d'une interprétation trop large comme illustrée ci dessus, le CEDP déconseille l'adoption de cet amendement.

23. Toutefois, si il était adopté, il devrait être construit strictement en introduisant diverses garanties. À cette fin, l'amendement 130 devrait être modifié de la sorte :

24. Premièrement, il devrait être précédé de l'arrêt suivant pour assurer que les autres exigences de la Directive de Protection des Données s'appliquent toujours (ex: les droits des sujets des données, [la responsabilité, faculté d'exécution]) : "Sans préjudice de la conformité avec les dispositions autres que l'article 7 de la directive 95/46/EC et que l'article 5 de cette directive, les données de trafic peuvent être traitées par ..." Ce qui signifie que toutes les garanties de protection des données actuellement applicables continueront à s'appliquer.

25. Deuxièmement, la référence à "toute personne physique ou légale" devrait être remplacée par "fournisseurs de service de sécurité" pour éviter de donner carte blanche à des entités qui ne sont pas engagées dans la promotion de la sécurité d'Internet pour traiter des données personnelles.

26. Troisièmement, il devrait être accompagné d'une définition du terme "sécurité" pour éviter que cet amendement soit utilisé comme justification pour traiter des données de trafic à des fins autres qu'une poursuite de sécurité exclusivement. En accord avec ce qui précède, afin d'adresser ce problème, le CEDP suggère d'utiliser la définition suivante [des termes] réseau et sécurité des informations de l'article 4(c) de l'arrêté établissant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA)(*************) : "la capacité pour un réseau ou un système d'information de résister, avec un certain niveau de confiance, aux évenements accidentels ou aux actions illicites ou malveillantes qui compromettent la disponibilité, authenticité, l'intégrité ou la confidentialité des données transmises ou stockées et les services offerts par ces réseaux et systèmes ou accessibles par eux."

27. Quatrièmement, le CEDP suggère qu'un considérant soit ajouté pour illustrer les types de traitements qui seraient couverts par l'amendement et pour encourager la participation de l'ENISA et leur détermination. Le considérant pourrait être le suivant : "Le traitement de données de trafic à des fins de sécurité permettra le traitement de telles données par les fournisseurs de services de sécurité prenant le rôle de contrôleurs de données afin de prévenir l'accès non-autorisé et la distribution de code malveillant, d'arrêter les attaques de déni de service et les dommages aux ordinateurs et aux systèmes de communication électronique. ENISA devrait publier des études régulières dans le but d'illustrer les types de traitements autorisés sous l'article X de la Directive ePrivacy".

III Analyse des amendements IMCO directement ou indirectement reliés aux projets de réponse gradué

28. Une question s'est posée de savoir si certains amendements contenus dans le rapport IMCO présenteraient un terrain favorable à la mise en place d'une surveillance étendue de l'utilisation individuelle d'Internet et de techniques de filtrage associées dans le but de détecter des infractions présumées au droit d'auteur. En particulier, il a été suggéré que certains amendements appuient des projets dénomés "approche en 3 coups" ou "réponse graduée", brièvement décrits ci après.

29. En bref, dans ce type de projets ("approche en 3 coups" ou "réponse graduée"), les détenteurs de droits d'auteur identifieraient les infractions présumées au droit d'auteur en exerçant une surveillance systématique des activités des utilisateurs d'Internet. Après identification des utilisateurs d'Internet supposés être en infraction au droit d'auteur en percevant leurs adresses IP, les détenteurs des droits d'auteur enverraient ces adresses aux Fournisseurs d'Accès à Internet qui préviendraient leurs abonnés auquelles ces adresses appartiennent des [potentielles participations à des ruptures de droit d'auteur]. Être prévenus trois fois par leur Fournisseur d'Accès à Internet provoquerait la coupure de la connection Internet de l'utilisateur par le FAI.

30. Le CEDP ne soutient pas un cadre légal qui permet la surveillance systématique des activités des utilisateur d'Internet. Comme développé dessous, un tel cadre est hautement intrusif dans la sphère privée individuelle et met aussi en danger la liberté d'expression. Pour éviter cette conséquence, le CEDP suggère de faire quelques modification à l'amendement 9 et ajouter un considérant pour clarifier que les procédures de coopération ne devraient pas être autorisées pour la surveillance proactive et systématique de l'utilisation d'Internet.

III.1 Surveillance systematique de l'usage d'Internet et le besoin d'une approche équilibrée

31. Le CEDP est conscient de l'importance de faire respecter les droits de propriété intellectuelle et considère qu'un équilibre doit être atteint entre les objectifs légitimes de la lutte contre les contenus illégaux et les moyens utilisés pour ce faire. Une approche équilibrée doit nécessairement prendre en considération les principes de nécessité et de proportionalité de la legislation sur la protection des données. Qu'une analyse de nécessité puisse conclure que la surveillance d'un individu seul suspecté de participer à une violation de droit d'auteur puisse être nécessaire, la surveillance et le filtrage proactifs, systématiques d'utilisateurs respectueux des lois serait en conflit avec le principe de nécessité.

32. Le principe de proportionalité exige que les données personelles obtenues et traitées soient adéquates, pertinentes et non excessives en relation avec les buts pour lesquelles elles sont obtenues et/ou traitées. En considérant : 1) le fait qu'une telle surveillance affecterait tous les utilisateurs, sans se soucier de si ils sont suspectés, 2) les effets potentiels de la surveillance, qui pourraient conduire à la déconnection de l'accès à Internet, et 3) le fait que l'entité faisant l'évaluation et prenant la décision sera typiquement une entité privée (c'est à dire les détenteurs de droit d'auteur ou les FAI), il semble clair que ce type de projet ne se soumet pas avec le principe de proportionalité, qui est fondamental à la protection de données.

33. Dans son avis du 18 janvier 2005, le groupe de travail de l'article 29 déclara en parlant de ce problème que "Bien que tout individu a le droit de traiter des données judiciaires à l'occasion d'un contentieux qui le concerne, le principe ne va pas jusqu'à permettre l'exploration en profondeur, l'obtention et la centralisation de données personnelles par des tiers, ce qui inclue en particulier la recherche systématique à grande échelle telle que le balayage d'Internet.(...) Une telle exploration tombe sous la compétence des autorités judiciaires.

34. Conformément avec le groupe de travil de l'article 29, le CEDP a déjà souligné que manifestement ce type de projet de surveillance soulève des inquiétudes liées au contrôle du secteur privé (ex: celui des detenteurs de droits d'auteur ou des FAI) sur le contenu des télécomunications, un domaine qui tombe en principe sous la compétence des autorités d'application de la loi.

35. En somme, les principes de protection des données demande une approche graduée selon laquelle la surveillance puisse être légale dans le contexte de situations limités, spécifiques, circonstancielles, où des suspicions fondées d'abus de droit d'auteur, de préférence à échelle commerciale, existent. Dans de tels cas, l'obtention d'information relevant une pratique abusive d'internet apparente peut être estimée nécessaire et proportionelle afin de préparer les poursuites judiciaires y compris l'arbitrage [*à vérifier*]. Toutefois, ces principes ne sont pas respectés dans les cas qui provoquent une surveillance proactive systématique et à grande échelle de l'utilisation d'Internet par des contrevenants suspectés ou potentiels.

36. Finalement, dans ce contexte il vaut la peine de rappeler la résolution du Parlement Europpéen qui met l'accent sur le beoin d'une solution en accord avec les droits fondamentaux de l'individu en évitant l'adoption de "mesures en conflit avec les libertés civiles et les droits de l'homme et les principes de proportionalité, d'efficacité et de disuasion, tels que la coupure de l'accès à Internet".(******************)

III.2 Commentaires sur les amendements IMCO

37. Le CEDP a identifié les amendements de la directive 2002/22/EC comme des dispositions qui sont ou qui pourraient être liées au sujet en question, c'est à dire la mise en place d'un projet de surveillance dans le but de combattre les infractions au droit d'auteur : Amendement 9, considérant 12 c); amendement 76, article 21, paragraphe 4a); amendement 112, article 33, paragraphe 2a).

38. Quel sont le message initial ou l'intention de ces amendements ? Les amendements 9 et 76 imposent aux autorités nationales de travailler avec les services de communications électroniques, tels que les fournisseurs d'accès à Internet, de développer et de fournir aux abonnés des informaitons d'intérêt public. Les amendements 9 et 76 donnent des exemples des types d'informations à fournir, qui comprennent "violation de droit d'auteur et autres droits" et "avertissements concernant la violation de droit d'auteur". En ce qui concerne le calendrier de la délivrance de ces information, l'amendement 9 énonce qu'"il devra être produit comme une mesure préventive ou en réponse à des problèmes particuliers".

39. L'amendement 112 met en place une procédure de coordination qui impose aux autorités régulatrices nationales et aux autres autorités de développer la coopération entre fournisseurs de services de communication électronique et représentants des fournisseurs de contenus. Un exemple d'une telle coopération comprend le développement et la distribution d'informations d'intérêt publique aux abonnés. En mettant en place les obligations précédentes, les amendements 9, 76 et 112 sont vagues et sujets à interprétation.

40. À l'origine, le CEDP indique qu'il appuie les procédures de coopération entre les détenteurs de droit d'auteur et les industries de télécommunications, et considère qu'une telle coopération est importante pour garantir le fonctionnement conforme d'Internet. Avec cet arrière plan, le CEDP fait les observations suivantes à propos de si les amendements proposés créent une "réponse graduée" :

41. Premièrement, les amendements ne créent pas explicitement un système de surveillance permettant à l'industrie du droit d'auteur de surveiller l'utilisation d'Internet et de filtrer les adresses IP d'utilisateurs d'Internet suspectés d'enfreindre des droits d'auteurs. Toutefois, si les amendements 30 et 130 discutés dans la section II étaient adoptés sous leur formes actuelles, ils pourraient faciliter la capacité des detenteurs des droits d'auteur de surveiller systématiquement les adresses IP des utilisateurs d'Internet, ce qui pourrait être utilisé pour faciliter la mise en place d'un projet de "réponse graduée".

42. Deuxièmement, les amendements ne fournissent pas explicitement un projet de coordination conformément auquel l'industrie de droits d'auteur pourrait obtenir les adresses IP de contrevenants suspectés et les fournir aux industries de télécomunication. Le but du projet de coopération mis en place par les amendements est, entre autres, de déterminer quels types d'informations d'intérêt public, dont celles liées à des droits d'auteur, doivent être transmises aux abonnés. Le type d'informations semble être général par nature, par exemple, des informations sur l'existence d'un site Web qui promeut le partage illégal d'[informations sous copyright]. Bien qu'il ne semble pas y avoir d'information liée aux [infractions présumées spécifiques], cela n'est pas entièrement clair.

43. En somme, il semble correct de dire que les amendements ne mettent pas en place un système non équivoque de "réponse graduée". Ils ne précisent pas les détails d'un tel système. Toutefois, selon les vues de le CEDP, ces amendements amménagent une "pente glissante", et peuvent être interprétés comme posant les fondements d'un tel système et même en favoriser l'émergence, qui serait développée plus en profondeur à des niveaux national ou de l'UE.

44. Le CEDP comprend qu'il n'est pas dans l'intention de ces amendements de créer un système de "réponse graduée". Toutefois, à la lumière des points précédents, celà doit être clarifié dans un considérant, qui pourrait être le suivant : "Les procédures de coopération mises en place à la suite de cette directive ne doivent pas permettre la surveillance proactive et systématique de l'utilisation d'Internet".

45. De plus, le CEDP recommande également la suppression de l'amendement 9 dans son ensemble, ou alternativement de le réécrire en prenant en compte ce qui suit : 1) dans la première phrase, ajouter l'adjectif "d'intérêt public" au mot "informations"; 2) dans la deuxième phrase, le mot "avertissement" devrait être clarifié pour s'assurer qu'il s'agisse d'"avertissement d'intérêt public"; 3) retirer la référence à "une réponse à des problèmes particuliers" qui évoque des avertissements individuels plutôt que généralisés.

IV. Analyse des amendements IMCO liés à la standadisation de la détection, de l'interception et de la prévention de la violation de propriété intellectuelle

46. La question s'est aussi posée si certains amendements du rapport IMCO n'encourageraient pas le contrôle des activités des utilisateurs d'Internet. Cela peut se faire en habilitant les États Membres à délivrer des [standards d'équipement de communication électroniques] afin de contrôler le contenu, principalement propriétaire, accédé ou utilisé par les utilisateurs d'Internet. Les moyens techniques permettant un tel contrôle sont généralement dénomés gestion des droits numériques ("DRM"). Par exemple, les technologies DRM peuvent contrôler l'accès aux fichiers (nombre et durée des accès), leur modification, leur partage, leur copie, leur impression, leur sauvegarde. Ces technologies peuvent être contenues dans le système d'exploitation, un logiciel ou dans la partie physique d'un composant.

47. Les effets mentionés ci-dessus sont sensés être atteint par l'amendement 134, qui modifie l'article 14(1) de la Directive ePrivacy concernant la standardisation et aussi par l'amendement 81 qui modifie l'article 22.3 de la directive 2002/22/EC. Cette section analyse les deux amendements et évalue leurs effets en concluant que les deux amendements ne devraient pas être adoptés sans analyses et examinations supplémentaires.

  1. Afin d'inclure les entreprises opérant sur Internet dans le champ de l'obligation d'alerte sur les failles de sécurité, le rapport IMCO a inséré dans divers amendements une référence explicite aux entreprises opérant sur Internet parmi les fournisseurs de services de communications électroniques. En particulier, les amendements dans lesquels de telles références ont été ajoutées comprennents les amendements 33, 123, 124, 126 et 136. Afin de donner le moyen à tout personne légale de recourir au droit civil, le rapport IMCO a adopté l'amendement 133.
  2. Avis du CEDP du 10 avril 2008 sur la proposition de directive amendant, entre autres, la directive 2002/58/CE concerant le traitement des donées personnelles et la protection de la vie privée dans le secteur des communications électroniques (Directive sur la vie privée et les communications électroniques)
  3. Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.