CEPD Commentaires Paquet Telecom IMCO

De La Quadrature du Net
Révision datée du 20 septembre 2008 à 22:11 par Neurone2 (discussion | contributions) (OK until 38)
Aller à la navigationAller à la recherche

Traduction en cours Commentaires du Contrôleur européen de la protection des données (CEPD) à propos de certains problèmes soulevés par le rapport IMCO sur la révision des directives 2002/22/CE (Service universel) & 2002/58/CE (ePrivacy)

Introduction

1. Globalement, le CEPD considère favorablement les amendements adoptés dans le rapport IMCO. Par exemple, le CEPD est particulièrement satisfait que l'obligation d'alerte sur les failles de sécurité s'étande aux entreprises opérant sur Internet. Il se félicite également de l'amendement permettant aux personnes morales et physiques de porter plainte lors de la violation de toute clause de la directive vie privée et communication électronique (ePrivacy) (et non plus seulement en cas de spam). Il espère fortement que le vote en session plénière du Parlement européen conservera ces amendements[1].

2. Cependant, le CEPD a quelques observations concernant des amendements ad hoc qui pourraient affaiblir la protection de données à caractère personnel et de la vie privée des individus utilisant Internet. Certains des amendements qui l'inquiètent sont liés aux données de trafic et à la protection des droits de propriété intellectuelle, ainsi qu'à la régulation des alertes sur les failles de sécurité. Toutefois, les commentaires qui suivent se limitent aux problèmes pour lesquels l'expertise du CEPD a été explicitement requise, et qui n'ont pas été couverts par l'avis précédent sur la révision de la directive ePrivacy[2], c'est-à dire aux données de trafic et à la protection des droits de propriété intellectuelle.

Analyse des amendements IMCO liés aux adresses IP

3. La question est soulevée de savoir si les adresses IP sont des données à caractère personnel ou non. Cela est justifié car à la fois la directive ePrivacy et la directive sur la protection des données[3] s'appliquent à chaque fois que des données à caractère personnel sont traitées. Si les adresses IP ne sont pas jugées être des données à caractère personnel, elles peuvent être collectées puis traitées sans aucune obligation juridique de se conformer aux deux directives sus-mentionnées. Par exemple, un moteur de recherche pourrait alors stocker pour une période indéfinie les adresses IP des comptes depuis lesquels des recherches portant sur une condition médicale particulière (ex. : SIDA) ont été lancées.

4. L'amendement 30 du rapport IMCO porte sur les adresses IP. L'amendement établit notamment les circonstances dans lesquelles les adresses IP doivent être considérées être des données à caractère personnel. Il établit également ainsi, a contrario, quand de telles informations ne doivent pas être considérées être des données à caractère personnel. L'amendement 130 du rapport IMCO porte sur le traitement des données de trafic, qui inclut les adresses IP.

5. Le CEPD considère que l'amendement 30 ne devrait pas établir par définition quand les adresses IP relèvent des données à caractère personnel. En outre, plutôt que d'aborder le problème immédiatement en légiférant, étant données la complexité du sujet et sa nature tributaire des faits, il pense qu'il vaudrait mieux que ces questions fassent l'objet d'une étude exhaustive et d'un rapport. L'amendement 130 devrait être supprimé ou, du moins, défini strictement.

Les adresses IP : cadre technique et juridique

6 Les adresses IP sont essentielles au fonctionement d'Internet. Elles identifient par un nombre les appareils faisant partie d'un réseau, comme un ordinateur. Chaque fois qu'un individu se rend sur Internet, par exemple pour surfer sur le Web, le Fournisseur d'accès à internet (« FAI ») attribue une adresse IP à l'appareil qui est utilisé. Une adresse IP est une chaîne de nombres séparés par des points, telle que 122.41.123.45.

7. L'adresse IP attribuée par le FAI à un individu peut être la même à chaque fois qu'il utilise Internet (on parle alors d'adresse IP statique). D'autres adresses IP sont dynamiques, c'est-à-dire que le FAI attribue une adresse différente à ses clients à chaque fois qu'ils se connectent à Internet. Le FAI peut évidemment relier une adresse IP (dynamique ou statique) au compte du client auquel elle a été assignée.

8. L'article 2(a) et le considérant 26 de la directive sur la protection des données[4] donnent une définition des données à caractère personnel. Qu'une information, dans ce cas une adresse IP, constitue une donnée à caractère personel ou non doit être apprécié au cas par cas, en applicant la définition fournie par ce cadre juridique. Le groupe de travail « Article 29 »[5] a émis un avis sur la définition des données à caractère personnel[6] pour aider les parties prenantes à mener des évaluations pour savoir si une information satisfait ou non aux conditions pour être considérée comme une « donnée à caractère personel » et doit être, dès lors, recueillie et traitée selon les conditions imposées par les directives Protection des Données et ePrivacy.

9. Dans plusieurs avis, le groupe de travail « Article 29 » a identifié de nombreux cas où les adresses IP sont des données à caractère personnel[7]. Par exemple, il considère que les adresses IP recueillies pour faire respecter les droits de propriété intellectuelle (c'est-à-dire identifier les utilisateurs d'Internet auquels est reproché d'avoir compromis des droits de propriété intellectuelle) sont des données à caractère personnel dans la mesure où elles sont utilisées pour l'exécution de ces droits contre un individu donné[8]. Cependant, il a également reconnu que dans certains cas, les adresses IP ne sont pas des données à caractère personnel. Le CEPD soutient pleinement ces points de vues.

Commentaire sur les amendements IMCO

Définition des adresses IP comme données à caractère personnel

10. L'amendement 30 du rapport IMCO constitue le considérant 28 bis de la directive ePrivacy. Il est rédigé ainsi : « Aux fins de la directive 2002/58/CE, les adresses de protocoles Internet devraient uniquement être considérées comme des données à caractère personnel si elles peuvent être directement associées à une personne, soit isolément, soit avec d'autres données. [...], la Commission est invitée à proposer une législation spécifique sur le traitement juridique de ces adresses en tant que données à caractère personnel dans le cadre de la protection des données, à la suite de la consultation du groupe de travail “Article 29” et du contrôleur européen de la protection des données. »

11. Le contenu de l'amendement 30 est double : premièrement, il établit une norme pour déterminer si une adresse IP doit être jugée comme une donnée à caractère personnel ou non (uniquement si elle peut être directement associée à une personne, soit isolément soit avec d'autres données). La norme créée est légèrement différente de celle suggérée par la définition des données à caractère personnel contenue dans l'article 2(a) et le considérant 26 de la directive sur la protection des données et présente peut-être une protection plus limitée puisque la portée de l'article 2(a) semble plus étendue[9]. Deuxièmement, il impose à la Commission une obligation de proposer une législation concernant le traitement juridique des adresses IP.

12. À moins qu'il n'y ait de bonnes raisons justifiant le contraire, le CEPD considère qu'il est innaproprié de légiférer sur la détermination du caractère personnel ou non d'une information. Comme indiqué au paragraphe II.2, l'article 2(a) et le considérant 26 de la directive sur les données à caractère personnel contiennent déjà une définition d'une donnée à caractère personel, fournissant les outils pour les parties prenantes, et au final pour le contrôle judiciaire, pour établir dans les circonstances d'un cas particulier si oui ou non une information constitue ou non une donnée à caractère personel. Plus important, en considérant que de telles évaluations sont de nature factuelle et basées sur les technologies actuelles, qui évoluent rapidement, il semble innaproprié d'adresser ce problème par une directive qui prendra du temps à être adoptée et à mise en œuvre et qui sera rapidement dépassée par de nouvelles circonstances.

13. En plus de ce qui précède, le CEPD considère qu'il n'est pas approprié de créer de nouvelles définitions d'une donnée à caractère personnel qui pourraient différer de la définition générale fournie par la directive sur la protection des données. Une telle approche pourrait mener à un cadre fragmenté où différentes informations seraient subjectes à différentes normes. Rien ne le justifie et cela n'aurait d'autre résultat de générer de la confusion.

14. Dans le cas des adresses IP, le CEPD considère qu'il n'y a pas d'indication justifiant que la définition existante des données à caractère personnel telle qu'énnoncée par l'article 2(a) de la directive sur la protection des données et interprétée par le groupe de travail « Article 29 » et la jurisprudence ne fonctionne pas pour évaluer si une addresse IP constitue ou non une donnée à caractère personel à la lumière de faits spécifiques entourant leur obtention. Ces points de vue sont partagés par le groupe de travail « Article 29 »[10]. De plus, si les addresses IP d'utilisateurs d'Internet sont moins souvent jugées comme étant des données à caractère personnel et si leur obtention et leur utilisation sont moins restreintes du fait d'une définition plus étroite des données à caractère personnel, une telle approche pourrait encourager une société de la surveillance. Pour les raisons ci-dessus, le CEPD préconise la suppression de la première phrase de l'ammendement 30 du rapport IMCO.

15. Pour les mêmes raisons soulignées précédemment, il semble illogique que la deuxième phrase de l'amendement 30 impose à la Commission une obligation de proposer une législation sur les adresses IP : si il n'y a pas d'indication qu'une telle législation soit nécessaire, pourquoi la Commission serait-elle dans l'obligation d'en proposer une ? Le CEPD concède qu'à l'avenir il puisse être utile de réfléchir à ce problème, en envisageant les différents scénarios où les adresses IP sont utilisées et en évaluant les effets du régime juridique applicable. Étant donné qu'il s'agit d'un problème juridique et technique complexe, une étude approfondie serait hautement bénéfique.

16. Pour cette raison, le CEPD souhaiterait que l'amendement 30 du rapport IMCO soit amendé pour établir le besoin de commissionner une étude sur ce sujet. Un amendement rédigé ainsi pourrait servir cet objectif : Avant XX 1, la Commission devra soumettre au Parlement européen, au Conseil, et au Comité économique et social européen une étude et un rapport avec des recommendations sur les utilisations standards des adresses IP et l'application des directives ePrivacy et Protection des données (95/46/CE) pour leur obtention et leur traitement, à la suite des consultations du CEPD, du groupe de travail « Article 29 » et des autres parties prenantes, y compris les représentants de l'industrie.

Le traitement des données de trafic, comprenant des adresses IP, à des fins de sécurité

17. L'amendement 130 du rapport IMCO crée un nouvel article 6 bis dans la directive ePrivacy qui porte sur le traitement des données de trafic à des fins de sécurité. L'amendement est le suivant : « Les données relatives au trafic peuvent être traités par toute personne physique ou morale aux fins de la mise en œuvre de mesures techniques propres à garantir la sécurité d'un service de communication électroniques public, d'un réseau public ou privé de communications électroniques, d'un service de la société de l'information ou de tout équipement de communication électronique y afférent. Ce traitement doit se limiter au strict nécessaire aux fins de l'accomplissement de ce type d'activité visant à garantir la sécurité. ».

18. Le CEPD comprend que le but de cet amendement est de permettre aux fournisseurs de service de sécurité d'obtenir puis d'utiliser les adresses IP à des fins de sécurité. Cet amendement vise à établir les « bases juridiques » autorisant l'obtention de données de trafic. Sans cet amendement, celui qui collecte des adresses IP jugées comme étant des données à caractère personnel serait soumis à l'article 7 de la directive sur la protection des données, qui exige que le traitement repose sur des bases juridiques, ainsi qu'à l'article 5 de la directive ePrivacy, qui établit la confidentialité des données de trafic[11]. Ainsi, cet amendement légitime l'obtention d'adresses IP à des fins de sécurité. Bien sûr, cet amendement n'exempte pas le traitement des données de trafic à des fins de sécurité de se soumettre aux autres clauses des directives ePrivacy et Protection des données qui s'appliquent toujours.

19. Le CEPD reconnait pleinement le besoin de sécuriser Internet et le besoin des entreprises de se lancer dans des activités qui visent ce but. De telles activités peuvent comprendre la prévention d'accès non-autorisés et la distribution de code malveillant, l'arrêt d'attaques de déni de service et les dommages infligés aux ordinateurs et aux systèmes de communication électronique[12].

20. Le CEPD comprend que certaines de ces activités puissent impliquer le traitement de certaines données de trafic, dont des adresses IP. À cet égard, il n'est pas contre la mise en place d'un cadre juridique favorable tel que celui inclus dans l'amendement 130 permettant à de tel fournisseurs de services de sécurité d'obtenir certaines données de trafic à des fin de sécurité, conditionnée à l'application des dispositions des directives ePrivacy et protection des données.

21. Toutefois, parce que l'amendement est construit de manière à ce sa portée soit large, il ne définit pas ce qui doit être compris par sécurité et ne limite pas le type d'entités (contrôleurs de données) auquel il est censé s'appliquer, le CEPD s'inquiète qu'il puisse être interprété trop largement. notamment, le CEPD s'inquiète qu'il puisse être utilisé pour légitimer l'obtention de données de traffic à des fins qui ne soient pas purement de sécurité. Il s'inquiète également qu'il puisse ouvrir la porte à toute personne, non seulement les fournisseurs de service et de produit de sécurité, pour traiter les données de trafic en prétendant le faire à des fins de sécurité.

22. En estimant d'une part les justifications en faveur de cette disposition et d'autre part les risques d'atteinte à la vie privée dérivant d'une interprétation trop large comme illustré ci dessus, le CEPD déconseille l'adoption de cet amendement.

23. Toutefois, s'il venait à être adopté, il devrait être construit strictement en introduisant diverses garanties. À cette fin, l'amendement 130 devrait être modifié de la sorte :

24. Premièrement, il devrait être précédé de la phrase suivante pour farantir que les autres exigences de la directive sur la protection des données s'appliquent toujours (ex: droits des personnes concernées, responsabilité, faculté d'exécution) : « Sans préjudice de la conformité avec les dispositions autres que l'article 7 de la directive 95/46/CE et que l'article 5 de cette directive, les données de trafic peuvent être traitées par ... » Ce qui signifie que toutes les garanties de protection des données actuellement applicables le seront toujours.

25. Deuxièmement, la référence à « toute personne physique ou morale » devrait être remplacée par « fournisseurs de services de sécurité » pour éviter de donner carte blanche à des entités qui ne sont pas engagées dans la promotion de la sécurité d'Internet pour traiter des données à caractère personnel.

26. Troisièmement, il devrait être accompagné d'une définition du terme « sécurité » pour éviter que cet amendement soit utilisé comme justification pour traiter des données de trafic à des fins autres que la pure conduite de la sécurité. En accord avec ce qui précède, afin d'aider à adresser ce problème, le CEPD suggère d'utiliser la définition suivante des termes « réseau » et « sécurité des informations » de l'article 4(c) du règlement instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA)[13] : « la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles ».

27. Quatrièmement', le CEPD suggère qu'un considérant soit ajouté pour illustrer les types de traitements qui seraient couverts par l'amendement et pour encourager la participation de l'ENISA et leur détermination. Le considérant pourrait être le suivant : « Le traitement de données de trafic à des fins de sécurité permettra le traitement de telles données par les fournisseurs de services de sécurité agissant en tant que contrôleurs de données aux fins d'empêcher l'accès non-autorisé et la distribution de code malveillant, d'arrêter les attaques de déni de service et les dommages aux ordinateurs et aux systèmes de communication électronique. L'ENISA devrait publier des études régulières dans le but d'illustrer les types de traitements autorisés sous l'article X de la directive ePrivacy ».

Analyse des amendements IMCO directement ou indirectement liés aux projets de riposte graduée

28. La question s'est posée de savoir si certains amendements contenus dans le rapport IMCO présentaient un terrain favorable à la mise en place d'une surveillance à grande échelle de l'utilisation individuelle d'Internet et des techniques de filtrage associées dans le but de détecter des infractions présumées au droit d'auteur. Notamment, il a été suggéré que certains amendements appuyaient des projets dénomés « riposte graduée », brièvement décrits ci-dessous.

29. En bref, dans ce type de projets (« riposte graduée »), les détenteurs de droits d'auteur identifieraient les infractions présumées au droit d'auteur en exerçant une surveillance systématique des activités des utilisateurs d'Internet. Après identification des utilisateurs d'Internet supposés être en infraction au droit d'auteur en collectant leurs adresses IP, les détenteurs des droits d'auteur enverraient ces adresses aux fournisseurs d'accès à Internet (FAI) qui préviendraient l'abonné auquel l'adresse appartient de sa potentielle implication à une infraction au droit d'auteur. Avoir été prévenu trois fois par son FAI provoquerait la coupure de la connection Internet de l'utilisateur par le FAI.

30. Le CEPD ne soutient pas un cadre juridique permettant la surveillance systématique des activités des utilisateur d'Internet. Comme développé ci-dessous, un tel cadre est hautement intrusif dans la sphère privée individuelle et met aussi en danger la liberté d'expression. Pour éviter cette conséquence, le CEPD suggère de faire quelques modifications à l'amendement 9 et d'ajouter un considérant pour clarifier que les procédures de coopération ne devraient pas permettre la surveillance proactive et systématique de l'utilisation d'Internet.

Surveillance systématique de l'usage d'Internet et besoin d'une approche équilibrée

31. Le CEPD est conscient de l'importance de faire respecter les droits de propriété intellectuelle et considère qu'un équilibre doit être atteint entre les objectifs légitimes de la lutte contre les contenus illégaux et les moyens utilisés pour ce faire. Une approche équilibrée doit nécessairement prendre en considération les principes de nécessité et de proportionalité de la législation sur la protection des données. Alors qu'une évaluation de la nécessité pourrait conclure que la surveillance d'un individu isolé suspecté de participer à une violation de droit d'auteur puisse être nécessaire, la surveillance et le filtrage proactifs et systématiques d'utilisateurs respectueux des lois seraient en conflit avec le principe de nécessité.

32. Le principe de proportionalité[14] exige que les données personelles obtenues et traitées soient adéquates, pertinentes et non excessives par rapport aux buts pour lesquelles elles sont obtenues et/ou traitées. En considérant : 1) le fait qu'une telle surveillance affecterait tous les utilisateurs, qu'ils soient ou non suspectés, 2) les effets potentiels de la surveillance, qui pourraient conduire à la déconnection de l'accès à Internet, et 3) le fait que l'entité faisant l'évaluation et prenant la décision sera typiquement une entité privée (c'est à dire les détenteurs de droit d'auteur ou les FAI), il semble clair que ces types de projets ne se conforment pas au principe de proportionalité, qui est fondamental à la protection des données.

33. Dans son avis du 18 janvier 2005, le groupe de travail « Article 29 » déclara en parlant de ce problème[15] que « Même si tout individu a naturellement le droit d’exploiter des données judiciaires dans le cadre de litiges le concernant, le principe ne va pas jusqu’à permettre l'examen approfondi, la collecte et la centralisation de données à caractère personnel par des tiers, y compris, notamment, la recherche systématique à grande échelle, comme le balayage d’Internet [...]. De telles enquêtes sont de la compétence des autorités judiciaires. ».

34. En phase avec le groupe de travail « Article 29 », le CEPD a déjà souligné[16] que manifestement ces types de projets de surveillance soulèvaient des inquiétudes liées au contrôle du secteur privé (ex : celui des détenteurs de droits d'auteur ou des FAI) sur le contenu des télécomunications, un domaine qui tombe en principe sous la compétence des autorités chagées d'appliquer la loi.

35. En somme, les principes de protection des données demandent une approche graduée selon laquelle la surveillance puisse être légale dans le contexte de situations limités, spécifiques, circonstancielles, où existent des suspicions fondées d'abus de droit d'auteur, de préférence à l'échelle commerciale. Dans de tels cas, l'obtention d'informations prouvant une pratique abusive d'Internet présumée peut être estimée nécessaire et proportionelle afin de préparer les poursuites judiciaires, y compris en contentieux. Toutefois, ces principes ne sont pas respectés dans les cas qui provoquent une surveillance proactive systématique et à grande échelle de l'utilisation d'Internet par des contrevenants suspectés ou potentiels.

36. Finalement, dans ce contexte il vaut la peine de rappeler la résolution du Parlement europpéen qui met l'accent sur le besoin d'une solution respectant les droits fondamentaux de l'individu en évitant l'adoption de « mesures allant à l'encontre des droits de l'homme, des droits civiques et des principes de proportionnalité, d'efficacité et d'effet dissuasif, telles que l'interruption de l'accès à Internet »[17].

Commentaire sur les amendements IMCO

37. Le CEPD a identifié les amendements suivants de la directive 2002/22/CE comme étant des dispositions qui sont ou qui pourraient être liées au sujet en question, c'est-à-dire la mise en place d'un projet de surveillance dans le but de combattre les infractions au droit d'auteur : l'amendement 9, instaurant le considérant 12 quater[18]; l'amendement 76 instaurant l'article 21, paragraphe 4 bis[19]; et l'amendement 112, instaurant l'article 33, paragraphe 2 bis[20].

38. Quel est le message principal ou l'objectif de ces amendements ? Les amendements 9 et 76 imposent aux autorités nationales de travailler avec les services de communications électroniques, tels que les fournisseurs d'accès à Internet, pour concevoir et apporter aux abonnés des informations d'intérêt public. Les amendements 9 et 76 donnent des exemples des types d'informations à fournir, qui comprennent « le respect des droits d'auteur et des droits voisins » et « les mises en garde concernant les infractions au droit d'auteur ». En ce qui concerne le calendrier de délivrance de ces informations, l'amendement 9 énonce qu'elles « devraient être produites à titre préventif ou en réaction à des problèmes particuliers ».

39. L'amendement 112 met en place une procédure de coordination qui impose aux autorités régulatrices nationales et aux autres autorités de développer la coopération entre fournisseurs de services de communication électronique et représentants des fournisseurs de contenus. Un exemple d'une telle coopération comprend le développement et la distribution d'informations d'intérêt publique aux abonnés. En mettant en place les obligations précédentes, les amendements 9, 76 et 112 sont vagues et sujets à interprétation.

40. À l'origine, le CEPD indique qu'il appuie les procédures de coopération entre les détenteurs de droit d'auteur et les industries de télécommunications, et considère qu'une telle coopération est importante pour garantir le fonctionnement conforme d'Internet. Avec cet arrière plan, le CEPD fait les observations suivantes à propos de si les amendements proposés créent une « riposte graduée » :

41. Premièrement, les amendements ne créent pas explicitement un système de surveillance permettant à l'industrie du droit d'auteur de surveiller l'utilisation d'Internet et de filtrer les adresses IP d'utilisateurs d'Internet suspectés d'enfreindre des droits d'auteurs. Toutefois, si les amendements 30 et 130 discutés dans la section II étaient adoptés sous leur formes actuelles, ils pourraient faciliter la capacité des detenteurs des droits d'auteur de surveiller systématiquement les adresses IP des utilisateurs d'Internet, ce qui pourrait être utilisé pour faciliter la mise en place d'un projet de « riposte graduée ».

42. Deuxièmement, les amendements ne fournissent pas explicitement un projet de coordination conformément auquel l'industrie de droits d'auteur pourrait obtenir les adresses IP de contrevenants suspectés et les fournir aux industries de télécomunication. Le but du projet de coopération mis en place par les amendements est, entre autres, de déterminer quels types d'informations d'intérêt public, dont celles liées à des droits d'auteur, doivent être transmises aux abonnés. Le type d'informations semble être général par nature, par exemple, des informations sur l'existence d'un site Web qui promeut le partage illégal d'[informations sous copyright]. Bien qu'il ne semble pas y avoir d'information liée aux [infractions présumées spécifiques], cela n'est pas entièrement clair.

43. En somme, il semble correct de dire que les amendements ne mettent pas en place un système non équivoque de « riposte graduée ». Ils ne précisent pas les détails d'un tel système. Toutefois, selon les vues de le CEPD, ces amendements amménagent une « pente glissante », et peuvent être interprétés comme posant les fondements d'un tel système et même en favoriser l'émergence, qui serait développée plus en profondeur à des niveaux national ou de l'UE.

44. Le CEPD comprend qu'il n'est pas dans l'intention de ces amendements de créer un système de « riposte graduée ». Toutefois, à la lumière des points précédents, celà doit être clarifié dans un considérant, qui pourrait être le suivant : « Les procédures de coopération mises en place à la suite de cette directive ne doivent pas permettre la surveillance proactive et systématique de l'utilisation d'Internet ».

45. De plus, le CEPD recommande également la suppression de l'amendement 9 dans son ensemble, ou alternativement de le réécrire en prenant en compte ce qui suit : 1) dans la première phrase, ajouter l'adjectif « d'intérêt public » au mot « informations »; 2) dans la deuxième phrase, le mot « avertissement » devrait être clarifié pour s'assurer qu'il s'agisse d'« avertissement d'intérêt public »; 3) retirer la référence à « une réponse à des problèmes particuliers » qui évoque des avertissements individuels plutôt que généralisés.

IV. Analyse des amendements IMCO liés à la standadisation de la détection, de l'interception et de la prévention de la violation de propriété intellectuelle

46. La question s'est aussi posée si certains amendements du rapport IMCO n'encourageraient pas le contrôle des activités des utilisateurs d'Internet. Cela peut se faire en habilitant les États Membres à délivrer des [standards d'équipement de communication électroniques] afin de contrôler le contenu, principalement propriétaire, accédé ou utilisé par les utilisateurs d'Internet. Les moyens techniques permettant un tel contrôle sont généralement dénomés gestion des droits numériques (« DRM »). Par exemple, les technologies DRM peuvent contrôler l'accès aux fichiers (nombre et durée des accès), leur modification, leur partage, leur copie, leur impression, leur sauvegarde. Ces technologies peuvent être contenues dans le système d'exploitation, un logiciel ou dans la partie physique d'un composant.

47. Les effets mentionés ci-dessus sont sensés être atteint par l'amendement 134, qui modifie l'article 14(1) de la Directive ePrivacy concernant la standardisation et aussi par l'amendement 81 qui modifie l'article 22.3 de la directive 2002/22/CE. Cette section analyse les deux amendements et évalue leurs effets en concluant que les deux amendements ne devraient pas être adoptés sans analyses et examinations supplémentaires.

  1. Afin d'inclure les entreprises opérant sur Internet dans le champ de l'obligation d'alerte sur les failles de sécurité, le rapport IMCO a inséré dans divers amendements une référence explicite aux entreprises opérant sur Internet parmi les fournisseurs de services de communications électroniques. Notamment, les amendements dans lesquels de telles références ont été ajoutées comprennents les amendements 33, 123, 124, 126 et 136. Afin de donner le moyen à tout personne légale de recourir au droit civil, le rapport IMCO a adopté l'amendement 133.
  2. Avis du CEPD du 10 avril 2008 sur la proposition de directive amendant, entre autres, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive sur la vie privée et les communications électroniques)
  3. Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
  4. Selon l'article 2(a) « “données à caractère personnel“ [signifie] toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ». Le considérant 26 stipule : « considérant que les principes de la protection doivent s'appliquer à toute information concernant une personne identifiée ou identifiable; que, pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne; que les principes de la protection ne s'appliquent pas aux données rendues anonymes d'une manière telle que la personne concernée n'est plus identifiable [...] ».
  5. Ce groupe de travail a été mis en place selon l'article 29 de la directive 95/46/CE. Il s'agit d'une instance européenne indépendante consultative sur la protection des données et de la vie privée. Ses tâches sont définies à l'article 30 de la directive 95/46/CE et à l'article 15 de la directive 2002/58/CE.
  6. Avis 136 du groupe de travail sur le concept des données à caractère personnel, adopté le 20 juin 2007.
  7. Par exemple, le document de travail 37 « Le respect de la vie privée sur Internet - Une approche européenne intégrée sur la protection des données en ligne », adopté le 21 novembre 2000 et l'avis 136 du groupe de travail sur le concept des données à caractère personel, adopé le 20 juin 2007.
  8. Document de travail 104 sur les questions de protection des données liées aux droits de propriété intellectuelle, adopté le 18 janvier 2005.
  9. Selon l'article 2(a) une personne identifiable est celle qui peut être identifiée, directement ou indirectement. Le considérant 30 ne comprends pas la formulation « indirectement ». Il n'inclue pas non plus la nécessité pour déterminer si une personne est identifiable ou non de considérer « l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne » ainsi qu'établit par le considérant 26 de la directive sur la protection des données.
  10. Voir la lettre datée du 5 mai 2007 adressée par le président du groupe de travail « Article 29 » à M. Gérard DEPREZ, président de la commission LIBE, à propos des adresses IP.
  11. Les exemples de bases juridiques avancées par l'article 7 comprenne la permission de traiter des données lorsque le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie (point b), et lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public (point e). Est également compris au point f, le traitement nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l'article 1er.
  12. Voir les menaces identifiées par la décision-cadre 2005/222/JAI du Conseil, du 24 février 2005, relative aux attaques visant les systèmes d'information, notamment l'article 2 (accès illicite à des systèmes d'information), l'article 3 (atteinte à l'intégrité d'un système), l'article 4 (atteinte à l'intégrité des données) et l'article 5 (incitation, aide et complicité et tentative).
  13. Règlement (CE) n° 460/2004 du Parlement européen et du Conseil du 10 mars 2004 instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information
  14. Article 6.1 c) de la directive sur la protection des données.
  15. Document de travail 104 sur les questions de protection des données liées aux droits de propriété intellectuelle, adopté le 18 janvier 2005.
  16. Avis du CEDP du 23 juin 2008 sur la proposition de décision instituant un programme communautaire pluriannuel visant à protéger les enfants lors de l'utilisation de l'internet et d'autres technologies de communication.
  17. Résolution du Parlement européen du 10 avril 2008 sur les industries culturelles en Europe (2007/2153(INI)).
  18. « Pour régler des questions d'intérêt public concernant l'utilisation des services de communications et pour encourager la protection des droits et des libertés d'autrui, les autorités nationales compétentes devraient pouvoir produire et diffuser, avec l'aide des fournisseurs, des informations relatives à l'utilisation des services de communications. Ces informations devraient comporter des mises en garde concernant les infractions au droit d'auteur, d'autres utilisations illicites de contenus préjudiciables et leur diffusion ainsi que des conseils et des moyens de protection contre les risques d'atteinte à la sécurité individuelle, pouvant résulter par exemple de la révélation de données personnelles dans certaines circonstances, ou de données relatives à la vie privée ou à caractère personnel. Ces informations pourraient être coordonnées dans le cadre de la procédure de coopération établie à l'article 33, paragraphe 2 bis, de la directive 2002/22/CE. Ces informations d'intérêt public devraient être produites à titre préventif ou en réaction à des problèmes particuliers, être actualisées chaque fois que nécessaire et être présentées sous une forme aisément compréhensible, imprimée et électronique, selon ce que décide chaque État membre, ainsi que sur les sites Internet des autorités publiques nationales. Les autorités réglementaires nationales devraient pouvoir obliger les fournisseurs à mettre ces informations à disposition de leurs clients d'une façon jugée appropriée par elles. Les frais additionnels significatifs encourus par le fournisseur de services pour la diffusion de ces informations, par exemple s'il est obligé d'envoyer les informations par la poste et donc d'assumer des frais d'affranchissement supplémentaires, devraient faire l'objet d'un accord entre les fournisseurs et les autorités compétentes et être pris en charge par celles-ci. Les informations devraient aussi figurer dans les contrats. »
  19. « Les États membres veillent à ce que les autorités réglementaires nationales obligent les entreprises visées au paragraphe 4 à communiquer, le cas échéant, aux abonnés existants et nouveaux des informations d'intérêt public. Ces informations sont produites par les autorités publiques compétentes sous une forme normalisée et couvrent entre autres les sujets suivants: a) les modes les plus communs d'utilisation des services de communications électroniques pour se livrer à des activités illicites ou diffuser des contenus préjudiciables, notamment lorsque cela peut porter atteinte aux droits et aux libertés d'autrui, y compris le respect des droits d'auteur et des droits voisins, et leurs conséquences; et b) les moyens de protection contre les risques d'atteinte à la sécurité individuelle et à la protection de la vie privée et des données à caractère personnel dans l'utilisation des services de communications électroniques. Les frais additionnels significatifs découlant pour l'entreprise du respect de ces obligations sont remboursés par les autorités publiques compétentes. »
  20. « Sans préjudice des réglementations nationales conformes au droit communautaire visant à promouvoir des objectifs politiques en matière culturelle et de médias, tels que la diversité culturelle et linguistique et le pluralisme des médias, les autorités réglementaires nationales et les autres autorités compétentes favorisent, autant qu'il convient, une coopération entre les entreprises fournissant des réseaux et/ou services de communications électroniques et les secteurs intéressés par la promotion de contenus licites dans les réseaux et services de communications électroniques. Cette coopération peut inclure la coordination des informations d'intérêt public à fournir en vertu de l'article 21, paragraphe 4 bis, et de l'article 20, paragraphe 2. »
Récupérée de « https://wiki.laquadrature.net/index.php?title=CEPD_Commentaires_Paquet_Telecom_IMCO&oldid=37446 »