CEPD Commentaires Paquet Telecom IMCO

Traduction en cours Commentaires du Contrôleur européen de la protection des données (CEPD) à propos de certains problèmes soulevés par le rapport IMCO sur la révision des directives 2002/22/CE (Service universel) & 2002/58/CE (ePrivacy)

Sommaire

1 Introduction
2 Analyse des amendements IMCO liés aux adresses IP
- 2.1 Les adresses IP : cadre technique et juridique
- 2.2 Commentaire sur les amendements IMCO
  - 2.2.1 Définition des adresses IP comme données à caractère personnel
  - 2.2.2 Le traitement des données de trafic, comprenant des adresses IP, à des fins de sécurité

Introduction

1. Globalement, le CEPD considère favorablement les amendements adoptés dans le rapport IMCO. Par exemple, le CEPD est particulièrement satisfait que l'obligation d'alerte sur les failles de sécurité s'étande aux entreprises opérant sur Internet. Il se félicite également de l'amendement permettant aux personnes morales et physiques de porter plainte lors de la violation de toute clause de la directive vie privée et communication électronique (ePrivacy) (et non plus seulement en cas de spam). Il espère fortement que le vote en session plénière du Parlement européen conservera ces amendements^[1].

2. Cependant, le CEPD a quelques observations concernant des amendements ad hoc qui pourraient affaiblir la protection de données à caractère personnel et de la vie privée des individus utilisant Internet. Certains des amendements qui l'inquiètent sont liés aux données de trafic et à la protection des droits de propriété intellectuelle, ainsi qu'à la régulation des alertes sur les failles de sécurité. Toutefois, les commentaires qui suivent se limitent aux problèmes pour lesquels l'expertise du CEPD a été explicitement requise, et qui n'ont pas été couverts par l'avis précédent sur la révision de la directive ePrivacy^[2], c'est-à dire aux données de trafic et à la protection des droits de propriété intellectuelle.

Analyse des amendements IMCO liés aux adresses IP

3. La question est soulevée de savoir si les adresses IP sont des données à caractère personnel ou non. Cela est justifié car à la fois la directive ePrivacy et la directive sur la protection des données^[3] s'appliquent à chaque fois que des données à caractère personnel sont traitées. Si les adresses IP ne sont pas jugées être des données à caractère personnel, elles peuvent être collectées puis traitées sans aucune obligation juridique de se conformer aux deux directives sus-mentionnées. Par exemple, un moteur de recherche pourrait alors stocker pour une période indéfinie les adresses IP des comptes depuis lesquels des recherches portant sur une condition médicale particulière (ex. : SIDA) ont été lancées.

4. L'amendement 30 du rapport IMCO porte sur les adresses IP. L'amendement établit notamment les circonstances dans lesquelles les adresses IP doivent être considérées être des données à caractère personnel. Il établit également ainsi, a contrario, quand de telles informations ne doivent pas être considérées être des données à caractère personnel. L'amendement 130 du rapport IMCO porte sur le traitement des données de trafic, qui inclut les adresses IP.

5. Le CEPD considère que l'amendement 30 ne devrait pas établir par définition quand les adresses IP relèvent des données à caractère personnel. En outre, plutôt que d'aborder le problème immédiatement en légiférant, étant données la complexité du sujet et sa nature tributaire des faits, il pense qu'il vaudrait mieux que ces questions fassent l'objet d'une étude exhaustive et d'un rapport. L'amendement 130 devrait être supprimé ou, du moins, défini strictement.

Les adresses IP : cadre technique et juridique

6 Les adresses IP sont essentielles au fonctionement d'Internet. Elles identifient par un nombre les appareils faisant partie d'un réseau, comme un ordinateur. Chaque fois qu'un individu se rend sur Internet, par exemple pour surfer sur le Web, le Fournisseur d'accès à internet (« FAI ») attribue une adresse IP à l'appareil qui est utilisé. Une adresse IP est une chaîne de nombres séparés par des points, telle que 122.41.123.45.

7. L'adresse IP attribuée par le FAI à un individu peut être la même à chaque fois qu'il utilise Internet (on parle alors d'adresse IP statique). D'autres adresses IP sont dynamiques, c'est-à-dire que le FAI attribue une adresse différente à ses clients à chaque fois qu'ils se connectent à Internet. Le FAI peut évidemment relier une adresse IP (dynamique ou statique) au compte du client auquel elle a été assignée.

8. L'article 2(a) et le considérant 26 de la directive sur la protection des données^[4] donnent une définition des données à caractère personnel. Qu'une information, dans ce cas une adresse IP, constitue une donnée à caractère personel ou non doit être apprécié au cas par cas, en applicant la définition fournie par ce cadre juridique. Le groupe de travail « Article 29 »^[5] a émis un avis sur la définition des données à caractère personnel^[6] pour aider les parties prenantes à mener des évaluations pour savoir si une information satisfait ou non aux conditions pour être considérée comme une « donnée à caractère personel » et doit être, dès lors, recueillie et traitée selon les conditions imposées par les directives Protection des Données et ePrivacy.

9. Dans plusieurs avis, le groupe de travail « Article 29 » a identifié de nombreux cas où les adresses IP sont des données à caractère personnel^[7]. Par exemple, il considère que les adresses IP recueillies pour faire respecter les droits de propriété intellectuelle (c'est-à-dire identifier les utilisateurs d'Internet auquels est reproché d'avoir compromis des droits de propriété intellectuelle) sont des données à caractère personnel dans la mesure où elles sont utilisées pour l'exécution de ces droits contre un individu donné^[8]. Cependant, il a également reconnu que dans certains cas, les adresses IP ne sont pas des données à caractère personnel. Le CEPD soutient pleinement ces points de vues.

Commentaire sur les amendements IMCO

Définition des adresses IP comme données à caractère personnel

10. L'amendement 30 du rapport IMCO constitue le considérant 28 bis de la directive ePrivacy. Il est rédigé ainsi : « Aux fins de la directive 2002/58/CE, les adresses de protocoles Internet devraient uniquement être considérées comme des données à caractère personnel si elles peuvent être directement associées à une personne, soit isolément, soit avec d'autres données. [...], la Commission est invitée à proposer une législation spécifique sur le traitement juridique de ces adresses en tant que données à caractère personnel dans le cadre de la protection des données, à la suite de la consultation du groupe de travail “Article 29” et du contrôleur européen de la protection des données. »

11. Le contenu de l'amendement 30 est double : premièrement, il établit une norme pour déterminer si une adresse IP doit être jugée comme une donnée à caractère personnel ou non (uniquement si elle peut être directement associée à une personne, soit isolément soit avec d'autres données). La norme créée est légèrement différente de celle suggérée par la définition des données à caractère personnel contenue dans l'article 2(a) et le considérant 26 de la directive sur la protection des données et présente peut-être une protection plus limitée puisque la portée de l'article 2(a) semble plus étendue^[9]. Deuxièmement, il impose à la Commission une obligation de proposer une législation concernant le traitement juridique des adresses IP.

12. À moins qu'il n'y ait de bonnes raisons justifiant le contraire, le CEPD considère qu'il est innaproprié de légiférer sur la détermination du caractère personnel ou non d'une information. Comme indiqué au paragraphe II.2, l'article 2(a) et le considérant 26 de la directive sur les données à caractère personnel contiennent déjà une définition d'une donnée à caractère personel, fournissant les outils pour les parties prenantes, et au final pour le contrôle judiciaire, pour établir dans les circonstances d'un cas particulier si oui ou non une information constitue ou non une donnée à caractère personel. Plus important, en considérant que de telles évaluations sont de nature factuelle et basées sur les technologies actuelles, qui évoluent rapidement, il semble innaproprié d'adresser ce problème par une directive qui prendra du temps à être adoptée et à mise en œuvre et qui sera rapidement dépassée par de nouvelles circonstances.

13. En plus de ce qui précède, le CEPD considère qu'il n'est pas approprié de créer de nouvelles définitions d'une donnée à caractère personnel qui pourraient différer de la définition générale fournie par la directive sur la protection des données. Une telle approche pourrait mener à un cadre fragmenté où différentes informations seraient subjectes à différentes normes. Rien ne le justifie et cela n'aurait d'autre résultat de générer de la confusion.

14. Dans le cas des adresses IP, le CEPD considère qu'il n'y a pas d'indication justifiant que la définition existante des données à caractère personnel telle qu'énnoncée par l'article 2(a) de la directive sur la protection des données et interprétée par le groupe de travail « Article 29 » et la jurisprudence ne fonctionne pas pour évaluer si une addresse IP constitue ou non une donnée à caractère personel à la lumière de faits spécifiques entourant leur obtention. Ces points de vue sont partagés par le groupe de travail « Article 29 »^[10]. De plus, si les addresses IP d'utilisateurs d'Internet sont moins souvent jugées comme étant des données à caractère personnel et si leur obtention et leur utilisation sont moins restreintes du fait d'une définition plus étroite des données à caractère personnel, une telle approche pourrait encourager une société de la surveillance. Pour les raisons ci-dessus, le CEPD préconise la suppression de la première phrase de l'ammendement 30 du rapport IMCO.

15. Pour les mêmes raisons soulignées précédemment, il semble illogique que la deuxième phrase de l'amendement 30 impose à la Commission une obligation de proposer une législation sur les adresses IP : si il n'y a pas d'indication qu'une telle législation soit nécessaire, pourquoi la Commission serait-elle dans l'obligation d'en proposer une ? Le CEPD concède qu'à l'avenir il puisse être utile de réfléchir à ce problème, en envisageant les différents scénarios où les adresses IP sont utilisées et en évaluant les effets du régime juridique applicable. Étant donné qu'il s'agit d'un problème juridique et technique complexe, une étude approfondie serait hautement bénéfique.

16. Pour cette raison, le CEPD souhaiterait que l'amendement 30 du rapport IMCO soit amendé pour établir le besoin de commissionner une étude sur ce sujet. Un amendement rédigé ainsi pourrait servir cet objectif : Avant XX 1, la Commission devra soumettre au Parlement européen, au Conseil, et au Comité économique et social européen une étude et un rapport avec des recommendations sur les utilisations standards des adresses IP et l'application des directives ePrivacy et Protection des données (95/46/EC) pour leur obtention et leur traitement, à la suite des consultations du CEPD, du groupe de travail « Article 29 » et des autres parties prenantes, y compris les représentants de l'industrie.

Le traitement des données de trafic, comprenant des adresses IP, à des fins de sécurité

17. L'amendement 130 du rapport IMCO crée un nouvel article 6 bis dans la directive ePrivacy qui porte sur le traitement des données de trafic à des fins de sécurité. L'amendement est le suivant : « Les données relatives au trafic peuvent être traités par toute personne physique ou morale aux fins de la mise en œuvre de mesures techniques propres à garantir la sécurité d'un service de communication électroniques public, d'un réseau public ou privé de communications électroniques, d'un service de la société de l'information ou de tout équipement de communication électronique y afférent. Ce traitement doit se limiter au strict nécessaire aux fins de l'accomplissement de ce type d'activité visant à garantir la sécurité. ».

18. Le CEPD comprend que le but de cet amendement est de permettre aux fournisseurs de service de sécurité d'obtenir puis d'utiliser les adresses IP à des fins de sécurité. Cet amendement vise à établir les « bases juridiques » autorisant l'obtention de données de trafic. Sans cet amendement, celui qui collecte des adresses IP jugées comme étant des données à caractère personnel serait soumis à l'article 7 de la directive sur la protection des données, qui exige que le traitement repose sur des bases juridiques, ainsi qu'à l'article 5 de la directive ePrivacy, qui établit la confidentialité des données de trafic^[11]. Ainsi, cet amendement légitime l'obtention d'adresses IP à des fins de sécurité. Bien sûr, cet amendement n'exempte pas le traitement des données de trafic à des fins de sécurité de se soumettre aux autres clauses des directives ePrivacy et Protection des données qui s'appliquent toujours.

19. Le CEPD reconnait pleinement le besoin de sécuriser Internet et le besoin des entreprises de se lancer dans des activités qui visent ce but. De telles activités peuvent comprendre la prévention d'accès non-autorisés et la distribution de code malveillant, l'arrêt d'attaques de déni de service et les dommages infligés aux ordinateurs et aux systèmes de communication électronique^[12].

20. Le CEPD comprend que certaines de ces activités puissent nécessiter le traitement de certaines données de trafic, dont des adresses IP. À cette fin, il n'est pas contre la mise en place d'un cadre juridique tel que celui présenté dans l'amendement 130 permettant à de tel fournisseurs de service de sécurité d'obtenir certaines données de trafic à des fin de sécurité, sujet à l'application des dispositions des directives ePrivacy et Protection des Données.

21. Toutefois, parce que l'amendement est vague, par exemple, il ne définit pas ce qui doit être compris par sécurité et ne limite pas le type d'entité (contrôleurs de données) auquel il peut s'appliquer, le CEPD s'inquiète qu'il puisse être interprété trop largement. En particulier, le CEPD s'inquiète qu'il puisse être utilisé pour légitimer l'obtention de données de traffic à des fins qui ne soient pas purement de sécurité. Il s'inquiète également qu'il puisse ouvrir la porte à toute personne, non seulement les fournisseurs de service et de produit de sécurité, de traiter les données de trafic en prétendant le faire à des fins de sécurité.

22. En estimant d'une part les justifications en faveur de cette disposition et d'autre part les risques d'atteinte à la vie privée provenants d'une interprétation trop large comme illustrée ci dessus, le CEPD déconseille l'adoption de cet amendement.

23. Toutefois, si il était adopté, il devrait être construit strictement en introduisant diverses garanties. À cette fin, l'amendement 130 devrait être modifié de la sorte :

24. Premièrement, il devrait être précédé de l'arrêt suivant pour assurer que les autres exigences de la Directive de Protection des Données s'appliquent toujours (ex: les droits des sujets des données, [la responsabilité, faculté d'exécution]) : « Sans préjudice de la conformité avec les dispositions autres que l'article 7 de la directive 95/46/EC et que l'article 5 de cette directive, les données de trafic peuvent être traitées par ... » Ce qui signifie que toutes les garanties de protection des données actuellement applicables continueront à s'appliquer.

25. Deuxièmement, la référence à « toute personne physique ou légale » devrait être remplacée par « fournisseurs de service de sécurité » pour éviter de donner carte blanche à des entités qui ne sont pas engagées dans la promotion de la sécurité d'Internet pour traiter des données à caractère personnel.

26. Troisièmement, il devrait être accompagné d'une définition du terme « sécurité » pour éviter que cet amendement soit utilisé comme justification pour traiter des données de trafic à des fins autres qu'une poursuite de sécurité exclusivement. En accord avec ce qui précède, afin d'adresser ce problème, le CEPD suggère d'utiliser la définition suivante [des termes] réseau et sécurité des informations de l'article 4(c) de l'arrêté établissant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA)(*************) : « la capacité pour un réseau ou un système d'information de résister, avec un certain niveau de confiance, aux évenements accidentels ou aux actions illicites ou malveillantes qui compromettent la disponibilité, authenticité, l'intégrité ou la confidentialité des données transmises ou stockées et les services offerts par ces réseaux et systèmes ou accessibles par eux. »

27. Quatrièmement, le CEPD suggère qu'un considérant soit ajouté pour illustrer les types de traitements qui seraient couverts par l'amendement et pour encourager la participation de l'ENISA et leur détermination. Le considérant pourrait être le suivant : « Le traitement de données de trafic à des fins de sécurité permettra le traitement de telles données par les fournisseurs de services de sécurité prenant le rôle de contrôleurs de données afin de prévenir l'accès non-autorisé et la distribution de code malveillant, d'arrêter les attaques de déni de service et les dommages aux ordinateurs et aux systèmes de communication électronique. ENISA devrait publier des études régulières dans le but d'illustrer les types de traitements autorisés sous l'article X de la Directive ePrivacy ».

III Analyse des amendements IMCO directement ou indirectement reliés aux projets de réponse gradué

28. Une question s'est posée de savoir si certains amendements contenus dans le rapport IMCO présenteraient un terrain favorable à la mise en place d'une surveillance étendue de l'utilisation individuelle d'Internet et de techniques de filtrage associées dans le but de détecter des infractions présumées au droit d'auteur. En particulier, il a été suggéré que certains amendements appuient des projets dénomés « approche en 3 coups » ou « réponse graduée », brièvement décrits ci après.

29. En bref, dans ce type de projets (« approche en 3 coups » ou « réponse graduée »), les détenteurs de droits d'auteur identifieraient les infractions présumées au droit d'auteur en exerçant une surveillance systématique des activités des utilisateurs d'Internet. Après identification des utilisateurs d'Internet supposés être en infraction au droit d'auteur en percevant leurs adresses IP, les détenteurs des droits d'auteur enverraient ces adresses aux Fournisseurs d'Accès à Internet qui préviendraient leurs abonnés auquelles ces adresses appartiennent des [potentielles participations à des ruptures de droit d'auteur]. Être prévenus trois fois par leur Fournisseur d'Accès à Internet provoquerait la coupure de la connection Internet de l'utilisateur par le FAI.

30. Le CEPD ne soutient pas un cadre juridique qui permet la surveillance systématique des activités des utilisateur d'Internet. Comme développé dessous, un tel cadre est hautement intrusif dans la sphère privée individuelle et met aussi en danger la liberté d'expression. Pour éviter cette conséquence, le CEPD suggère de faire quelques modification à l'amendement 9 et ajouter un considérant pour clarifier que les procédures de coopération ne devraient pas être autorisées pour la surveillance proactive et systématique de l'utilisation d'Internet.

III.1 Surveillance systematique de l'usage d'Internet et le besoin d'une approche équilibrée

31. Le CEPD est conscient de l'importance de faire respecter les droits de propriété intellectuelle et considère qu'un équilibre doit être atteint entre les objectifs légitimes de la lutte contre les contenus illégaux et les moyens utilisés pour ce faire. Une approche équilibrée doit nécessairement prendre en considération les principes de nécessité et de proportionalité de la legislation sur la protection des données. Qu'une analyse de nécessité puisse conclure que la surveillance d'un individu seul suspecté de participer à une violation de droit d'auteur puisse être nécessaire, la surveillance et le filtrage proactifs, systématiques d'utilisateurs respectueux des lois serait en conflit avec le principe de nécessité.

32. Le principe de proportionalité exige que les données personelles obtenues et traitées soient adéquates, pertinentes et non excessives en relation avec les buts pour lesquelles elles sont obtenues et/ou traitées. En considérant : 1) le fait qu'une telle surveillance affecterait tous les utilisateurs, sans se soucier de si ils sont suspectés, 2) les effets potentiels de la surveillance, qui pourraient conduire à la déconnection de l'accès à Internet, et 3) le fait que l'entité faisant l'évaluation et prenant la décision sera typiquement une entité privée (c'est à dire les détenteurs de droit d'auteur ou les FAI), il semble clair que ce type de projet ne se soumet pas avec le principe de proportionalité, qui est fondamental à la protection de données.

33. Dans son avis du 18 janvier 2005, le groupe de travail « Article 29 » déclara en parlant de ce problème que « Bien que tout individu a le droit de traiter des données judiciaires à l'occasion d'un contentieux qui le concerne, le principe ne va pas jusqu'à permettre l'exploration en profondeur, l'obtention et la centralisation de données à caractère personnel par des tiers, ce qui inclue en particulier la recherche systématique à grande échelle telle que le balayage d'Internet.(...) Une telle exploration tombe sous la compétence des autorités judiciaires.

34. Conformément avec le groupe de travil « Article 29 », le CEPD a déjà souligné que manifestement ce type de projet de surveillance soulève des inquiétudes liées au contrôle du secteur privé (ex: celui des detenteurs de droits d'auteur ou des FAI) sur le contenu des télécomunications, un domaine qui tombe en principe sous la compétence des autorités d'application de la loi.

35. En somme, les principes de protection des données demande une approche graduée selon laquelle la surveillance puisse être légale dans le contexte de situations limités, spécifiques, circonstancielles, où des suspicions fondées d'abus de droit d'auteur, de préférence à échelle commerciale, existent. Dans de tels cas, l'obtention d'information relevant une pratique abusive d'internet apparente peut être estimée nécessaire et proportionelle afin de préparer les poursuites judiciaires y compris l'arbitrage [*à vérifier*]. Toutefois, ces principes ne sont pas respectés dans les cas qui provoquent une surveillance proactive systématique et à grande échelle de l'utilisation d'Internet par des contrevenants suspectés ou potentiels.

36. Finalement, dans ce contexte il vaut la peine de rappeler la résolution du Parlement Europpéen qui met l'accent sur le beoin d'une solution en accord avec les droits fondamentaux de l'individu en évitant l'adoption de « mesures en conflit avec les libertés civiles et les droits de l'homme et les principes de proportionalité, d'efficacité et de disuasion, tels que la coupure de l'accès à Internet ».(******************)

III.2 Commentaires sur les amendements IMCO

37. Le CEPD a identifié les amendements de la directive 2002/22/EC comme des dispositions qui sont ou qui pourraient être liées au sujet en question, c'est à dire la mise en place d'un projet de surveillance dans le but de combattre les infractions au droit d'auteur : Amendement 9, considérant 12 c); amendement 76, article 21, paragraphe 4a); amendement 112, article 33, paragraphe 2a).

38. Quel sont le message initial ou l'intention de ces amendements ? Les amendements 9 et 76 imposent aux autorités nationales de travailler avec les services de communications électroniques, tels que les fournisseurs d'accès à Internet, de développer et de fournir aux abonnés des informaitons d'intérêt public. Les amendements 9 et 76 donnent des exemples des types d'informations à fournir, qui comprennent « violation de droit d'auteur et autres droits » et « avertissements concernant la violation de droit d'auteur ». En ce qui concerne le calendrier de la délivrance de ces information, l'amendement 9 énonce qu'« il devra être produit comme une mesure préventive ou en réponse à des problèmes particuliers ».

39. L'amendement 112 met en place une procédure de coordination qui impose aux autorités régulatrices nationales et aux autres autorités de développer la coopération entre fournisseurs de services de communication électronique et représentants des fournisseurs de contenus. Un exemple d'une telle coopération comprend le développement et la distribution d'informations d'intérêt publique aux abonnés. En mettant en place les obligations précédentes, les amendements 9, 76 et 112 sont vagues et sujets à interprétation.

40. À l'origine, le CEPD indique qu'il appuie les procédures de coopération entre les détenteurs de droit d'auteur et les industries de télécommunications, et considère qu'une telle coopération est importante pour garantir le fonctionnement conforme d'Internet. Avec cet arrière plan, le CEPD fait les observations suivantes à propos de si les amendements proposés créent une « réponse graduée » :

41. Premièrement, les amendements ne créent pas explicitement un système de surveillance permettant à l'industrie du droit d'auteur de surveiller l'utilisation d'Internet et de filtrer les adresses IP d'utilisateurs d'Internet suspectés d'enfreindre des droits d'auteurs. Toutefois, si les amendements 30 et 130 discutés dans la section II étaient adoptés sous leur formes actuelles, ils pourraient faciliter la capacité des detenteurs des droits d'auteur de surveiller systématiquement les adresses IP des utilisateurs d'Internet, ce qui pourrait être utilisé pour faciliter la mise en place d'un projet de « réponse graduée ».

42. Deuxièmement, les amendements ne fournissent pas explicitement un projet de coordination conformément auquel l'industrie de droits d'auteur pourrait obtenir les adresses IP de contrevenants suspectés et les fournir aux industries de télécomunication. Le but du projet de coopération mis en place par les amendements est, entre autres, de déterminer quels types d'informations d'intérêt public, dont celles liées à des droits d'auteur, doivent être transmises aux abonnés. Le type d'informations semble être général par nature, par exemple, des informations sur l'existence d'un site Web qui promeut le partage illégal d'[informations sous copyright]. Bien qu'il ne semble pas y avoir d'information liée aux [infractions présumées spécifiques], cela n'est pas entièrement clair.

43. En somme, il semble correct de dire que les amendements ne mettent pas en place un système non équivoque de « réponse graduée ». Ils ne précisent pas les détails d'un tel système. Toutefois, selon les vues de le CEPD, ces amendements amménagent une « pente glissante », et peuvent être interprétés comme posant les fondements d'un tel système et même en favoriser l'émergence, qui serait développée plus en profondeur à des niveaux national ou de l'UE.

44. Le CEPD comprend qu'il n'est pas dans l'intention de ces amendements de créer un système de « réponse graduée ». Toutefois, à la lumière des points précédents, celà doit être clarifié dans un considérant, qui pourrait être le suivant : « Les procédures de coopération mises en place à la suite de cette directive ne doivent pas permettre la surveillance proactive et systématique de l'utilisation d'Internet ».

45. De plus, le CEPD recommande également la suppression de l'amendement 9 dans son ensemble, ou alternativement de le réécrire en prenant en compte ce qui suit : 1) dans la première phrase, ajouter l'adjectif « d'intérêt public » au mot « informations »; 2) dans la deuxième phrase, le mot « avertissement » devrait être clarifié pour s'assurer qu'il s'agisse d'« avertissement d'intérêt public »; 3) retirer la référence à « une réponse à des problèmes particuliers » qui évoque des avertissements individuels plutôt que généralisés.

IV. Analyse des amendements IMCO liés à la standadisation de la détection, de l'interception et de la prévention de la violation de propriété intellectuelle

46. La question s'est aussi posée si certains amendements du rapport IMCO n'encourageraient pas le contrôle des activités des utilisateurs d'Internet. Cela peut se faire en habilitant les États Membres à délivrer des [standards d'équipement de communication électroniques] afin de contrôler le contenu, principalement propriétaire, accédé ou utilisé par les utilisateurs d'Internet. Les moyens techniques permettant un tel contrôle sont généralement dénomés gestion des droits numériques (« DRM »). Par exemple, les technologies DRM peuvent contrôler l'accès aux fichiers (nombre et durée des accès), leur modification, leur partage, leur copie, leur impression, leur sauvegarde. Ces technologies peuvent être contenues dans le système d'exploitation, un logiciel ou dans la partie physique d'un composant.

47. Les effets mentionés ci-dessus sont sensés être atteint par l'amendement 134, qui modifie l'article 14(1) de la Directive ePrivacy concernant la standardisation et aussi par l'amendement 81 qui modifie l'article 22.3 de la directive 2002/22/EC. Cette section analyse les deux amendements et évalue leurs effets en concluant que les deux amendements ne devraient pas être adoptés sans analyses et examinations supplémentaires.

↑ Afin d'inclure les entreprises opérant sur Internet dans le champ de l'obligation d'alerte sur les failles de sécurité, le rapport IMCO a inséré dans divers amendements une référence explicite aux entreprises opérant sur Internet parmi les fournisseurs de services de communications électroniques. En particulier, les amendements dans lesquels de telles références ont été ajoutées comprennents les amendements 33, 123, 124, 126 et 136. Afin de donner le moyen à tout personne légale de recourir au droit civil, le rapport IMCO a adopté l'amendement 133.
↑ Avis du CEPD du 10 avril 2008 sur la proposition de directive amendant, entre autres, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive sur la vie privée et les communications électroniques)
↑ Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
↑ Selon l'article 2(a) « “données à caractère personnel“ [signifie] toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ». Le considérant 26 stipule : « considérant que les principes de la protection doivent s'appliquer à toute information concernant une personne identifiée ou identifiable; que, pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne; que les principes de la protection ne s'appliquent pas aux données rendues anonymes d'une manière telle que la personne concernée n'est plus identifiable [...] ».
↑ Ce groupe de travail a été mis en place selon l'article 29 de la directive 95/46/CE. Il s'agit d'une instance européenne indépendante consultative sur la protection des données et de la vie privée. Ses tâches sont définies à l'article 30 de la directive 95/46/CE et à l'article 15 de la directive 2002/58/CE.
↑ Avis 136 du groupe de travail sur le concept des données à caractère personnel, adopté le 20 juin 2007.
↑ Par exemple, le document de travail 37 « Le respect de la vie privée sur Internet - Une approche européenne intégrée sur la protection des données en ligne », adopté le 21 novembre 2000 et l'avis 136 du groupe de travail sur le concept des données à caractère personel, adopé le 20 juin 2007.
↑ Document de travail 104 sur les questions de protection des données liées aux droits de propriété intellectuelle, adopté le 18 janvier 2005.
↑ Selon l'article 2(a) une personne identifiable est celle qui peut être identifiée, directement ou indirectement. Le considérant 30 ne comprends pas la formulation « indirectement ». Il n'inclue pas non plus la nécessité pour déterminer si une personne est identifiable ou non de considérer « l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne » ainsi qu'établit par le considérant 26 de la directive sur la protection des données.
↑ Voir la lettre datée du 5 mai 2007 adressée par le président du groupe de travail « Article 29 » à M. Gérard DEPREZ, président de la commission LIBE, à propos des adresses IP.
↑ Les exemples de bases juridiques avancées par l'article 7 comprenne la permission de traiter des données lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie (point b), et lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public (point e). Est également compris au point f, le traitement nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er.
↑ Voir les menaces identifiées par la décision-cadre 2005/222/JAI du Conseil, du 24 février 2005, relative aux attaques visant les systèmes d'information, en particulier l'article 2 (accès illicite à des systèmes d'information), l'article 3 (atteinte à l'intégrité d'un système), l'article 4 (atteinte à l'intégrité des données) et l'article 5 (incitation, aide et complicité et tentative).

[1] Afin d'inclure les entreprises opérant sur Internet dans le champ de l'obligation d'alerte sur les failles de sécurité, le rapport IMCO a inséré dans divers amendements une référence explicite aux entreprises opérant sur Internet parmi les fournisseurs de services de communications électroniques. En particulier, les amendements dans lesquels de telles références ont été ajoutées comprennents les amendements 33, 123, 124, 126 et 136. Afin de donner le moyen à tout personne légale de recourir au droit civil, le rapport IMCO a adopté l'amendement 133.

[2] Avis du CEPD du 10 avril 2008 sur la proposition de directive amendant, entre autres, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive sur la vie privée et les communications électroniques)

[3] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[4] Selon l'article 2(a) « “données à caractère personnel“ [signifie] toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ». Le considérant 26 stipule : « considérant que les principes de la protection doivent s'appliquer à toute information concernant une personne identifiée ou identifiable; que, pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne; que les principes de la protection ne s'appliquent pas aux données rendues anonymes d'une manière telle que la personne concernée n'est plus identifiable [...] ».

[5] Ce groupe de travail a été mis en place selon l'article 29 de la directive 95/46/CE. Il s'agit d'une instance européenne indépendante consultative sur la protection des données et de la vie privée. Ses tâches sont définies à l'article 30 de la directive 95/46/CE et à l'article 15 de la directive 2002/58/CE.

[6] Avis 136 du groupe de travail sur le concept des données à caractère personnel, adopté le 20 juin 2007.

[7] Par exemple, le document de travail 37 « Le respect de la vie privée sur Internet - Une approche européenne intégrée sur la protection des données en ligne », adopté le 21 novembre 2000 et l'avis 136 du groupe de travail sur le concept des données à caractère personel, adopé le 20 juin 2007.

[8] Document de travail 104 sur les questions de protection des données liées aux droits de propriété intellectuelle, adopté le 18 janvier 2005.

[9] Selon l'article 2(a) une personne identifiable est celle qui peut être identifiée, directement ou indirectement. Le considérant 30 ne comprends pas la formulation « indirectement ». Il n'inclue pas non plus la nécessité pour déterminer si une personne est identifiable ou non de considérer « l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne » ainsi qu'établit par le considérant 26 de la directive sur la protection des données.

[10] Voir la lettre datée du 5 mai 2007 adressée par le président du groupe de travail « Article 29 » à M. Gérard DEPREZ, président de la commission LIBE, à propos des adresses IP.

[11] Les exemples de bases juridiques avancées par l'article 7 comprenne la permission de traiter des données lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie (point b), et lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public (point e). Est également compris au point f, le traitement nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er.

[12] Voir les menaces identifiées par la décision-cadre 2005/222/JAI du Conseil, du 24 février 2005, relative aux attaques visant les systèmes d'information, en particulier l'article 2 (accès illicite à des systèmes d'information), l'article 3 (atteinte à l'intégrité d'un système), l'article 4 (atteinte à l'intégrité des données) et l'article 5 (incitation, aide et complicité et tentative).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

CEPD Commentaires Paquet Telecom IMCO

Sommaire

Introduction

Analyse des amendements IMCO liés aux adresses IP

Les adresses IP : cadre technique et juridique

Commentaire sur les amendements IMCO

Définition des adresses IP comme données à caractère personnel

Le traitement des données de trafic, comprenant des adresses IP, à des fins de sécurité

Menu de navigation

Actions des pages

Actions des pages

Outils personnels

Navigation

Portals

Imprimer / exporter

Rechercher

Outils