Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Internet et la difficile protection de la vie privée (chronique « droit & multimédia » de L’Echo)

Publié le par

Article paru dans L’Echo le 16 décembre 1999 (chronique « droit & multimédia »)  Se connecter à Internet devient, pour un nombre croissant de personnes, un acte quotidien : envoi d’e-mails, visite de sites web, téléchargement de programmes ou de fichiers, participation à des « newsgroups » ou discussion en temps réel dans des chatrooms…   Internet,…

Article paru dans L’Echo le 16 décembre 1999 (chronique « droit & multimédia ») 

Se connecter à Internet devient, pour un nombre croissant de personnes, un acte quotidien : envoi d’e-mails, visite de sites web, téléchargement de programmes ou de fichiers, participation à des « newsgroups » ou discussion en temps réel dans des chatrooms…  

Internet, réseau ouvert et mondial, peut donner une impression de liberté et d’anonymat. Il s’agit d’un leurre : la plupart des actes posés sur le réseau laissent des traces, qui sont utilisées par certains opérateurs pour se constituer d’immenses bases de données sur l’identité et/ou le profil des cyber-consommateurs, et ce souvent à leur insu. 

De telles pratiques peuvent entrer en conflit ave la directive européenne du 24 octobre 1995, relative à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Cette directive a été transposée en droit belge par la loi du 11 décembre 1998. 

La loi s’applique à tout traitement, défini de manière très large, de données à caractère personnel. Une donnée personnelle est toute information concernant une personne physique identifiée ou identifiable.  

Les grands principes de la protection légale des données personnelles sont : 
 
Les traitements autorisés 

Le traitement de données personnelles ne peut être poursuivi que dans les cas visés par loi : (i) s’il est nécessaire à l’exécution d’un contrat auquel l’internaute est partie ou à l’exécution de mesures précontractuelles prises à la demande de celui-ci, (ii) s’il est nécessaire à la réalisation d’un intérêt légitime (iii) si la personne concernée a indubitablement donné son consentement. 

Par consentement, la loi entend « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée ou son représentant légal accepte que des données à caractère personnel la concernant fasse l’objet d’un traitement ».  
 
Les principes de finalité et de transparence 

Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l’intéressé. Le traitement doit donc être loyal et transparent : les données ne peuvent être traitées pour des finalités cachées ou peu claires. 
 
Les principes de conformité et de qualité  

Les données personneles doivent être adéquates, pertinentes et non excessives au regard des finalités pour les quelles elles sont obtenues. En outre, elles doivent être exactes et si nécessaire être mises à jour. 
 
Le droit à l’information et le marketing direct 

L’utilisation de données personnelles dans le cadre d’opérations de marketing direct est sévèrement encadrée. Au plus tard au moment où les données sont obtenues, le responsable du traitement doit signaler à la personne visée qu’elle a le droit de s’opposer, sur demande et gratuitement, au traitement des données envisagé à des fins de marketing direct. Une obligation similaire pèse sur le responsable du traitement qui aurait acquis les données chez quelqu’un d’autre que la personne concernée (achat de fichiers par exemple).  
 
Les droits d’accès et de rectification  

Toute personne justifiant de son identité peut obtenir des précisions sur l’existence de données la concernant et sur les finalités du traitement. Elle peut en outre obtenir communication, sous une forme intelligible, des données la concernant et de leur provenance.  
 
Le droit d’opposition 

Sauf lorsque le traitement est nécessaire à la conclusion ou à l’exécution d’un contrat ainsi qu’au respect d’une obligation légale, toute personne a le droit de s’opposer, pour des raisons légitimes tenant à sa situation particulière, à ce que des données personnelles la concernant soient traitées. Aucune justification n’est nécessaire si le traitement visé relève du marketing direct.  

Il est à noter que la Commission pour la Protection de la Vie Privée – ainsi que le président du tribunal de 1ère instance – veillent au respect de la loi. 
 
Le traitement des e-mails et le spamming 

Qualifié par certains de véritable fléau du Net, l’envoi massif de courriers électroniques non sollicités (ou spamming) est devenu un moyen courant pour réaliser des campagnes publicitaires à grande échelle. 

Dans la mesure où les adresses électroniques sont indubitablement des données personnelles, la pratique du spamming est-elle légale au regard de la directive et de la loi belge sur la protection des données personnelles ? 

Il existe trois sources de collecte d’adresses électroniques : (i) collecte à partir d’enregistrements volontaires sur des sites web (ii) collecte à partir de listes d’e-mails fournies par des tiers (revente de fichiers) (iii) collecte « sauvage » dans les espaces publics d’Internet (espaces de discussion, listes de diffusion, annuaires diffusés sur des sites web), le plus souvent en recourant à des robots logiciels qui « aspirent » à l’aveuglette toute page contenant une arobase (@).  

Les deux premières sources de collecte ne posent guère de problème dans la mesure où les obligations d’information préalable requises par la directive relative à la protection des données personnelles (et la loi belge) peuvent être aisément respectées en mettant l’internaute en mesure de s’opposer dès la collecte et en ligne (par l’apposition d’une case à cocher) à la réception de tout message commercial ainsi qu’à la transmission de ses données à des tiers à des fins commerciales.  

Seule la troisième source est sujette à débat dans la mesure où, dans les deux premiers cas, les internautes sont censés avoir donné leur accord lors de l’enregistrement.  

Ainsi, en France, la Commission Nationale Informatique et Libertés, dans un rapport du 14 octobre 1999 (disponible sur son site), affirme que la collecte automatisée à des fins de prospection commerciale d’ e-mails figurant dans des espaces publics de l’Internet serait contraire à la directive du 24 octobre 1995 sur la protection des données personnelles, et en particulier:  

– au principe de finalité du traitement des données personnelles, les espaces de discussion de l’Internet ayant pour finalité d’être des lieux de liberté d’expression et de communication et non des espaces de promotion commerciale  

– à l’obligation d’information qui pèse sur le collecteur des données, dans la mesure où la collecte devrait être subordonnée au « « consentement indubitable » des personnes concernées .  

– au droit d’opposition dans la mesure où la personne concernée n’est pas mise en mesure de s’opposer à l’utilisation commerciale de ses données ou à la transmission à des tiers.  

Pareille analyse conduit à une contradiction de taille dans l’architecture des textes communautaires (et donc des lois nationales de transposition): sur la question du spamming, la directive européenne du 20 mai 1997 sur les contrats à distance (transposée par la loi du 25 mai 1999) consacre le système de l’opt-out, à savoir qu’il appartient au consommateur d’effectuer la démarche pour s’opposer aux communications non sollicitées par courriers électroniques. 

Le système de l’opt-out a également été retenu dans le cadre de la proposition de directive européenne sur le commerce électronique (voir notre article sur Juriscom « Publicité et marketing sur Internet », L’Echo du 21 octobre 1999). Force est de constater qu’un tel système est manifestement contraire aux principes de protection consacrés par la directive sur les données personnelles… 
Les variables d’environnement et les adresses TCP/IP 

Même si un internaute navigue sur le Web sans livrer volontairement des données personnelles, telles qu’une adresse e-mail, il laissera néanmoins des traces.  

En effet, lors de la connexion à un site, les données suivantes, appelées variables d’environnement, sont automatiquement transmises au site par le logiciel de navigation utilisé par l’internaute : 

– adresse TCP/IP. En substance, l’adresse TCP/IP est un numéro qui permet d’identifier un micro-ordinateur sur le réseau.  

– marque et version du navigateur ainsi que du système d’exploitation 

– langue utilisée par l’internaute 

– dernière page web consultée 

Ces informations sont transmises au serveur web pour lui permettre de prendre en compte des éléments propres à la configuration utilisée par l’internaute. Connaître, par exemple, le type de navigateur et sa version peut permettre au serveur de ne pas lancer certaines applications qui seraient incompatibles avec lui. La variable qui contient les références de la dernière page à laquelle l’internaute a accédé permet, par exemple, aux sites qui achètent des bandeaux publicitaires de comptabiliser le nombre de connexions qui ont été effectuées immédiatement après un clic sur une des pages comportant tel ou tel bandeau, ce qui permet d’en évaluer l’efficacité.  

En termes de protection des données personnelles, le problème naît de l’association de ces variables avec les autres informations que le serveur a pu glaner ailleurs sur l’internaute (par exemple via son fournisseur d’accès), et ce sans qu’il en ait été informé et mis en mesure de s’y opposer.  

Ainsi, si l’internaute remplit un formulaire en ligne comportant des informations personnelles, le lien entre l’adresse TCP/IP de son ordinateur et ces informations peut être fait sans difficulté de sorte que le parcours de l’internaute sur le site peut être suivi, dans le but de conduire à la fabrication d’un profil précis de l’internaute…  

Il est à noter que le projet de loi sur la criminalité informatique, récemment déposé à la Chambre (voir sur ce site notre article « La criminalité informatique : comment la réprimer ? », L’Echo du 18 novembre 1999) crée de nouvelles obligations de collaboration, notamment dans le chef des responsables des systèmes informatiques qui font l’objet d’enquêtes ainsi que dans le chef des fournisseurs de services. 

En particulier, il est prévu qu’un arrêté royal pourra déterminer dans quels cas et pendant combien de temps les fournisseurs de services (comme les access providers) devront enregistrer et conserver les données d’appel (les connexions à Internet) et les données d’identification des internautes.  

En d’autres termes, si le projet est voté en l’état, les fournisseurs d’accès devront identifier leurs abonnés et retracer leurs commnications via leurs numéros de TCP/IP, et conserver ces données pendant la durée déterminée par arrêté royal.  

Un régime qui suscite des interrogations en termes de finalité de la collecte (collecter des données personnelles pour le compte des autorités n’est-il pas déloyal ?) ainsi que de vie privée, dont le respect est garanti par la Convention européenne des droits de l’homme (n’est-on pas en train de transformer les fournisseiurs d’accès, qui sont des acteurs privés, en auxiliaires de justice ?). 
 
Les cookies 

Un cookie est un petit fichier  » espion  » envoyé par un serveur Internet, qui s’enregistre sur le disque dur de l’ordinateur de l’internaute. Il garde la trace du site Internet visité et contient un certain nombre d’informations sur cette visite. 

Les cookies peuvent être utilisés à des fins très diverses :  

– un site d’actualité ou d’articles de presse peut demander aux internautes de remplir un formulaire pour indiquer leurs préférences (sports : football, politique : écologie, spectacle : cinéma…), afin de les stocker dans un cookie sur leur PC, de sorte que, lors des prochaines connexions, seules les informations correspondant à ces préférences seront présentées.  

– un site de commerce électronique peut insèrer un cookie à chaque fois que l’utilisateur sélectionne un produit, au même rythme que celui du remplissage d’un caddy. Lorsque l’utilisateur se rendra sur la page contenant le formulaire de commande, le site récupérera l’ensemble des cookies du caddy virtuel afin d’afficher les produits sélectionnés par le client.  

– un moteur de recherche peut positionner des cookies en fonction des rubriques visitées par le client (Ex. : informatique, musique, santé) afin, ultérieurement, d’afficher dynamiquement des bandeaux publicitaires correspondant aux goûts ainsi décelés.  

Ces différentes situations montrent le grand avantage des cookies : ils dispensent d’un stockage sur le serveur et font gagner du temps à l’internaute.  

Les cookies peuvent aussi permettre à un site de déterminer le parcours d’un internaute durant une session et de le « profiler » en conséquence. Il suffit au site de positionner un cookie à chaque page ou lors de chaque action de l’internaute, et ensuite de les récupérer globalement afin d’analyser le chemin parcouru. Rien n’empêche alors de proposer des pages créées dynamiquement en fonction du profil ainsi dessiné… 

Le problème des cookies est lié à leur obscurité, leur contenu étant rarement explicite : suite de chiffres, de lettres, codes, clés…  

Il est donc recommandé d’informer les internautes non seulement sur l’existence des cookies mais également sur l’exploitation des données collectées à partir de ces cookies. En particulier, au regard des principes de finalité et d’information, le recours aux cookies peut s’avérer problématique lorsque des informations personnelles issues d’un formulaire en ligne ou de l’envoi d’un email sont automatiquement intégrées dans le cookie sans avertissement préalable de l’usager. 

Il est toutefois à noter que les versions récentes des navigateurs Internet (browsers) permettent à l’internaute d’être averti de la mise en place d’un cookie sur le disque dur de son ordinateur, et de l’accepter ou le refuser. 

Dans la mesure où la loi impose un consentement libre, et donc exempt de toute forme de pression sur l’internaute pour obtenir son consentement, le refus d’un cookie ne devrait pas porter préjudice à l’accès au site ou au service en ligne par le consommateur. Un tel refus pourrait être interprété comme un moyen de pression.  
 
Le conflit Europe – Etats-Unis 

L’Europe et les Etats-Unis ont une conception très différente de la protection des données personnelles. La première considère la protection de la vie privée comme une matière de première importance, d’où le cadre très strict prévu par la directive. Les seconds – pressés par les lobbies industriels – attachent moins d’importance à la matière et ont jusqu’à présent préféré l’auto-régulation. 

Le problème est le suivant : lors de leurs contacts commerciaux avec des internautes européens, les entreprises américaines génèrent des flux de données personnelles susceptibles dans certains cas d’être soumis à la directive. Or, l’article 25 de la directive dispose que de tels transferts hors Union européenne ne peuvent avoir lieu que « si le pays tiers en question assure un niveau de protection adéquat » des données personnelles. 

En conséquence, sauf s’ils bénéficient d’une des exceptions prévues à l’article 26 de la directive, les flux de données vers les entreprises américaines risquent de se voir interdits dans la mesure où les

Etats-Unis, dépourvus d’une législation fédérale comparable à la directive européenne, seraient jugés incapables d’assurer un niveau de protection adéquat en matière de données personnelles. 

Dès le mois de novembre 1998, les États-Unis rendaient publique une proposition de solution connue sous le nom de « Safe Harbor Principles ».  

Le principe est simple : il est proposé aux entreprises américaines d’adhérer volontairement à des principes de protection des données analogues à ceux contenus dans la directive européenne.Ce faisant, les entreprises américaines seraient présumées offrir un niveau de protection adéquat au sens de l’article 25 de la directive.  

Toutefois , le « Groupe 29 », comité consultatif institué en vertu de la directive, s’est prononcé le 3 décembre dernier contre la dernière version des « Safe Harbor Principles ». 

Le bras de fer continue… 
 
Pour plus d’informations :  

– Faire une recherche sur ce site par les mots clés.« vie privée »  

– Sophie Louveaux, « Le commerce électronique et la vie privée », in Le droit des affaires en évolution – le commerce électronique, Bruylant-Kluwer, 1999. 
 
 

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK