Traitements invisibles sur Internet : recommandation européenne
Publié le 01/04/1999 par Etienne Wery
La directive 95/46/EC du Parlement européen et du Conseil du 24 octobre 1995, relative à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (J.O n° L 281 du 23/11/1995 p. 0031 – 0050) prévoit à son article 29 la création d’un…
La directive 95/46/EC du Parlement européen et du Conseil du 24 octobre 1995, relative à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (J.O n° L 281 du 23/11/1995 p. 0031 – 0050) prévoit à son article 29 la création d’un groupe de travail, consultatif et indépendant, chargé de suivre l’état de la question. Ce groupe présente la particularité de pouvoir se pencher d’initiative sur les problématiques liées à la directive.
Ce groupe, plus connu sous l’appelation « Groupe 29 » en raison de l’article de la directive qui l’a créé, a déjà pris position plusieurs fois sur des sujets importants. Ces travaux sont disponibles en ligne.
Dernière réalisation du groupe : la « Recommendation 1/99 on Invisible and Automatic Processing of Personal Data on the Internet Performed by Software and Hardware adoptée le 23/2/1999, également disponible en ligne.
A l’heure où le monde informatique est secoué par l’identifiant unique de la puce PIII d’Intel, et peu après les révélations concernant les informations indiscrètes glanées par Microsoft lors de certaines procédures d’enregistrement on line, la recommandation fait l’effet d’une bombe (sur les affaires Intel et Microsoft, voir nos actualités précédentes en faisant une recherche « vie privée » dans le moteur de recherche).
Nous renvoyons à la recommandation pour les détails, tout en signalant dès à présent quelques points forts :
-
Son titre est explicite : elle s’applique aussi bien aux logiciels qu’aux produits hardware. Ce dernier point est important et nouveau.
-
Une des conditions pour qu’un traitement soit légitime, consiste à obtenir l’autorisation de la personne concernée. Parmi les traitements « invisibles » la recommandation mentionne explicitement les liens hypertextes automatiques vers des tiers (on pense au système DoubleClick), ainsi que les cookies tels qu’ils sont concus actuellement.
-
Les cookies font l’objet d’un soin tout particulier : après avoir souligné que les informations qu’ils collectent doivent être signalées à la personne concernée dans un langage compréhensible, la recommandation suggère que tout ou certaines de ces informations puissent être refusées, et que les cookies soient stockés selon un processus standardisé qui permette un effacement simple et sélectif de tout ou certains d’entre eux.
-
Les navigateurs (browsers) doivent signaler lors de la connexion à un site web les informations éventuellement échangées avec le site, et les motifs de cette transmission. Ils doivent être configurés par défaut pour que seules les informations minimales indispensables soient échangées.
-
Tant les outils logiciels que les produits hardware doivent permettre à l’utilisateur d’effacer les informations permanentes d’une manière simple. Sans la nommer, la recommandation condamne donc explicitement la puce PIII d’Intel dont on sait que le numéro d’identification est personnel et permanent, offrant ainsi une possibilité de tracage à l’insu de l’utilisateur, et dont l’activation/désactivation est incertaine et problématique (voir nos autres actualités 1 et 2).
En principe, cette recommandation devrait faire l’objet de débats au sein des instances européennes, et pourquoi pas d’une future directive.