Le 26 Janvier 2011 le Projet de Loi 6243 (“PL”) a été déposé dans la Chambre des Députés. Bien que ce PL modifie la loi du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques (“la loi”) il ne touche malheureusement pas à la conservation de données personnelles indépendamment de soupçons concrets de tous les citoyens luxembourgeois.

Néanmoins le PL propose d’autres modifications intéressantes (basées sur la directive 2009/136/CE de l’UE): l’introduction d’une notification obligatoire par le fournisseur lorsqu’il y a eu une violation des données personnelles du client, la transmission automatique des données personnelles du correspondant téléphonique pour les numéros 112 et 113 et l’obligation d’autorisation préalable pour l’utilisation de ‘cookies’ dans les navigateurs d’Internet.

Notification obligatoire en cas de violation de données personnelles

L’article 3 du PL prévoit qu’

En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans retard la Commission nationale pour la protection des données de la violation.

Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, le fournisseur avertit également sans retard indu l’abonné ou le particulier concerné de la violation.

Pénaliser les fournisseurs, sensibiliser les clients

L’idée de cet article c’est de pénaliser les fournisseurs pour toute violation des données personnelles de leurs clients qui vont perdre la confiance dans des fournisseurs qui ne protègent pas leurs données d’une manière efficace.
Cette approche est approuvable pour deux raisons. D’une part elle peut conduire à une changement de mentalité chez les fournisseurs qui ne peuvent plus cacher d’éventuelles violations. D’autre part, dans le cas d’une violation, les clients sont sensibilisés des risques d’une sauvegarde de données personnelles.

Notification seulement pour violations sévères

Cependant cet article pose deux problèmes importants.

La première critique a été formulée par le groupe parlementaire (“GP”) DP dans la Commission de l’Enseignement supérieur, de la Recherche, des Media, des Communications et de l’Espace (“la Commission”)¹:

Le représentant du groupe parlementaire DP critique qu’en cas de violation de la sécurité et de la confidentialité des données à caractère personnel, l’abonné n’est pas informé d’office au sujet de l’incident, mais uniquement lorsque cette violation est « de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier ». La seule obligation légale à laquelle le fournisseur est soumis est d’informer sans retard la CNPD au sujet de toute violation de la confidentialité des données.

L’argumentation contre cette objection du représentant du GP DP est peu convaincante. En effet la Commission estime qu’il faut

limiter cette publicité à des atteintes graves pour ne pas inquiéter voire saturer la sensibilité des consommateurs.

Le Président de la Commission nationale de protection des données (“CNPD”) ajoute:

Il s’agit en principe de pannes techniques mineures, qui se produisent assez souvent.

Les pannes techniques sont tellement fréquentes qu’il ne faut pas embêter les clients? Le GP DP a raison de critiquer cette attitude et j’espère qu’il peut encore provoquer une modification de ce point.

La deuxième critique concerne le pouvoir de sanction de la CNPD qui peut prononcer une amende jusqu’à 50.000 euros pour des violations de l’obligation de notification de la part du fournisseur. Le Conseil d’Etat note de façon pertinente, et la Commission est d’accord, que le PL devrait prévoir un recours contre cette décision de la CNPD. Ainsi le Conseil et la Commission proposent un recours devant le tribunal administratif.

En conclusion, bien que dans la façon actuelle du PL le client n’est pas averti de toute violation de ses données personnelles, la notification obligatoire en cas de violations sévères peut améliorer la protection des données auprès des fournisseurs et sensibiliser les clients.

Transmission automatique de données personnelles aux services d’urgence

L’article 5 du PL ajoute le paragraphe suivant à l’article de la loi:

Tout fournisseur ou opérateur de services de téléphonie fixe ou mobile qui fournit un accès au numéro d’appel d’urgence unique européen 112 ainsi [au numéro 113] transmet („push“) pour chaque appel à destination d’un de ces numéros d’appel d’urgence les données disponibles concernant l’appelant y compris les données de localisation.

Appels anonymes rendus très difficiles

En d’autres termes si j’appelle le 112 (secours) ou 113 (police) mon fournisseur doit transmettre automatiquement les informations suivantes:

• numéro de téléphone,
• adresse électronique
• nom, prénom(s),
• domicile ou lieu de résidence habituel,
• dénomination ou raison sociale (pour personnes morales),
• adresse de facturation ou lieu d’établissement de l’abonné et de l’utilisateur,
• l’indication du caractère public ou non public des données,
• toutes les données traitées dans un réseau de communications électroniques indiquant
  la position géographique [...] d’un utilisateur [...] (données de localisation)

La bonne nouvelle: la Commission et le Conseil d’Etat se sont mis d’accord de supprimer l’adresse électronique et l’adresse de facturation de cette liste. En aucun cas il est nécessaire de connaître ces données en tant que service de secours.

Néanmoins il me semble que cet article est contre-productif. Même qu’en général j’ai des gros souçis avec un échange automatique de données personnelles, en ce qui concerne les données de localisation j’admets qu’il peut être raisonnable de les transmettre aux services de secours pour mieux localiser des personnes en détresse. Par contre en ce qui concerne les données relatives à l’identification j’ai les mêmes soucis que le GP DP qui estime que

Il y a des situations où certaines personnes ne souhaitent pas s’identifier, notamment dans le cas de témoignages d’incidents. En effet, cette transmission automatique des données pourrait retenir des personnes à contacter le numéro 112/113 lorsqu’elles sont témoins d’un incident afin que leur nom n’apparaisse pas dans le procès-verbal dressé par la police, par exemple parce qu’elles craignent des représailles.

Les appels anonymes au 112 ou 113 deviendront très difficiles². L’argument de M. François Biltgen que

Etat risque de se voir attaquer pour non-assistance à personne en danger

si ces données ne sont pas transmises ne peut être analysé que comme une mauvaise blague sur une thématique sérieuse. L’argument du Président de la CNPD est moins polémique, mais toujours douteux. Il dit que

les citoyens sont en connaissance de cause que les numéros de secours 112 et 113 ne sont pas des appels comme les autres et que leurs données sont transmises.

J’ai de très grand doutes que la majorité des personnes sachent que leurs données personnelles sont transmises au personnel de secours lors d’un appel au 112, et encore moins au 113.

Une question qui n’est pas traitée c’est ce qui se passe avec les données après la transmission. Est-ce que ces données sont effacées? Qui a accès à ces informations? Pour combien de temps?

La transmission automatique des données de localisation prévue par l’article 5 du PL 6243 est acceptable en considérant l’avantage qu’elle procure aux services de secours. Par contre la transmission des données d’identification de l’appelant peut avoir des conséquences adverses et devrait être repensée. Au moins il faut faire en sorte que le public soit informée du fait que lors des appels au numéros de secours, et surtout au numéro 113, toutes les informations personnelles (suivant la liste de l’article 5) sont automatiquement transmises!

Pas de ‘cookies’ sans autorisation

Le PL propose la modification suivant de l’article 4 de la loi:

(2) Il est interdit à toute autre personne que l’utilisateur concerné d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance sans le consentement de l’utilisateur concerné.

(3) Le paragraphe (2): [...] (e) ne s’applique pas au stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu une information claire et complète, entre autres sur les finalités du traitement. Les méthodes retenues pour fournir l’information et offrir le droit de refus devraient être les plus conviviales possibles. Lorsque cela est techniquement possible et effectif, l’accord de l’abonné ou de l’utilisateur peut être exprimé par l’utilisation des paramètres appropriés d’un navigateur ou d’une autre application.

La formule de la directive européenne, reprise dans ce texte, a été interprétée de façon à ce que l’utilisateur d’un navigateur devrait donner son accord chaque fois qu’un ‘cookie’³ est crée ou modifié⁴. Heureusement ce n’est pas le cas. Les deux dernières phrases de l’article 3 (3) (e) permettent un accord “en général” de l’utilisateur, par le biais des paramètres du navigateur. Au lieu de multiples “pop-ups” chaque fois qu’on visite un site Internet, il faut seulement ajouter le paramètre “accepter des cookies” dans les navigateurs.

En pratique cet article isolé n’aura pas d’implications importantes. Il revient à la Commission européenne de convaincre les créateurs de navigateurs d’ajouter ces paramètres.

En conclusion le Projet de Loi 6243 prévoit des modifications utiles de la loi concernant la protection de la vie privée dans le secteur des communications électroniques. Certaines propositions vont trop loin (transmission automatique des données d’identification aux services de secours), d’autres pas assez loin (notification du client en cas de violation de ses données personnelles). Il faut rappeler que c’est un projet de loi et que des modifications peuvent être effectuées. Dans l’état actuel (avec les modifications proposées par la Commission et le Conseil d’Etat), le Projet de Loi 6243 est à supporter!

Cet article a été écrit pendant deux journées avec une température moyenne d’au moins 30°. Veuillez excuser des fautes d’orthographe et de grammaire ainsi que d’éventuelles fautes de compréhension.

Le 26 Janvier 2011 le Projet de Loi 6243 (“PL”) a été déposé dans la Chambre des Députés. Bien que ce PL modifie la loi du 30 mai 2005 concernant...