TIC : l'UE apaise les craintes liées à la protection de la vie privée [FR][en][de] 

• Moteurs de recherche

Le 19 février, les autorités nationales de l’UE en matière de protection de la vie privée du Groupe de travail Article 29 sur la protection des données ont conclu que les activités des moteurs de recherche devaient tomber dans le cadre de la directive européenne sur la protection des données , stipulant que « le traitement de données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement ».

Si elle est mise en oeuvre au niveau national, cette initiative constituerait un changement radical comparé à la façon dont les moteurs de recherche ont fonctionné jusqu’ici. Depuis qu’une requête est considérée comme une donnée personnelle, Google et Yahoo devront demander le consentement de chaque utilisateur pour ficher cette information.

Jusqu’à présent, les moteurs de recherche ont fiché et utilisé ce type d’information sans limite et sans le consentement des utilisateurs, qui n’ont généralement jamais conscience du fait qu’une requête est une donnée personnelle. Mais c’est en effet le cas, dans la mesure où depuis un historique de requête, il est très facile d’établir le profil détaillé d’un utilisateur Internet pour l’utiliser à des fins commerciales.

Les autorités ont également convenu que ces dispositions s’appliquent aux moteurs de recherche basés en dehors de l’UE, à condition qu’ils utilisent un dispositif automatisé basé dans un des Etats membres dans le but de traiter les données personnelles. Une opinion juridiquement contraignante sur ce sujet est attendue en avril.

• Les RFID 

Jeudi 21 février, la Commission européenne a publié un projet de recommandation destiné aux opérateurs utilisant la technologie des RFID, dressant une liste de lignes directrices devant être respectées afin d’éviter les atteintes à la vie privée. Cette initiative a officiellement lancé une consultation publique sur le sujet.

Agissant actuellement dans un vide juridique en ce qui concerne les RFID, la Commission suggère d’appliquer des règles similaires à celles utilisées pour la protection des données dans d’autres domaines. Il est urgent de mettre à jour la situation juridique actuelle étant donné le décollage rapide des dispositifs d’étiquettes radio intelligentes (RFID), qui pourraient bientôt remplacer les codes barre dans les magasins de détail.

Dans ce contexte, Bruxelles propose d’introduire le principe du « opt-in » pour ces RFID, ce qui implique de demander le consentement des utilisateurs quand des données personnelles sont contenues dans les étiquettes. Le principe serait appliqué dans les magasins où les étiquettes intelligentes sont régulièrement utilisées. Une fois que le client sort de l’espace de vente, elles seraient immédiatement désactivées sauf si le consommateur choisi de laisser l’étiquette active.

Pour le moment, les consommateurs sont généralement inconscients de la présence des étiquettes intelligentes, déjà utilisées pour certains produits, comme les cartes de fidélité distribuées par les supermarchés ou d’autres points de vente. Les puces contenues dans ces étiquettes peuvent contenir des données personnelles, potentiellement lisibles par toute personne utilisant un appareil bon marché de lecture d’étiquette. Le consommateur est ainsi exposé à toute une série de risques, allant des dommages financiers (liés à l’achat de numéro de carte de crédit) à un vol d’identité. 

Pour contrer ce vaste manque de prise de conscience des citoyens concernant les RFID malgré leur utilisation de plus en plus répandue, la Commission demande également aux opérateurs de signaler clairement leur présence dans des espaces publics.

“Potential risks to privacy are generally important concerns for individuals and organisations. Key characteristics and functionalities of RFID technologies have the potential to offer benefits as well as to foster misperceptions and to impact privacy. RFID systems that collect data related to identified or identifiable individuals raise specific privacy issues that should be considered as a priority challenge to the adoption of the technology in a large number of areas. In most cases, the potential invasion of privacy through the use of RFID depends on both the technology used and the context”, reads a report published in January by OECD.

A consumer survey published in 2004 by Cap Gemini and Ernst & Young shows that privacy ranks as concern number one among US consumers regarding RFID.

« De la lutte contre la contrefaçon à l’amélioration des soins de santé, les puces RFID intelligentes offrent d’immenses possibilités pour les entreprises et la société en général », a déclaré Mme Viviane Reding, commissaire à la Société de l’information. Elle a néanmoins constaté que « nous devrions encourager l’utilisation de la technologie RFID tout en assurant la protection des données personnelles et de la vie privée ».

Selon l’EICTA, l’association représentant l’industrie européenne du numérique, les RFID, en tant que technologie diffusante, sont la base d’un grand nombre d’applications. La plupart de ces applications ne stockent et n’utilisent pas les données personnelles. Au contraire, les puces contiennent un certain nombre de codes pour identifier les produits et donner des informations sur les procédés de production. Cependant, les utilisateurs doivent avoir la possibilité de donner leur accord à l’utilisation des informations obtenues au moyen des dispositifs de RFID exigeant une notification. Par exemple, les consommateurs devraient, le cas échéant, avoir la possibilité de choisir s’ils souhaitent que la technologie RFID puisse être utilisée au-delà du point de vente et si les informations peuvent être utilisées pour des programmes de fidélité des consommateurs, comme l’indique un document de prise de position  de l’EICTA sur les RFID. 

D’après le BEUC, l’association représentant les intérêts des consommateurs européens, « l’Identification par Radio Fréquence (RFID) fait en réalité déjà partie de nos vies : une petite étiquette (« tag »), incluse dans un objet, contient des informations permettant d’identifier chaque produit de manière individuelle (sur sa provenance, sa date de fabrication ou encore des données personnelles dans le cas d’une carte de crédit) ». Comme l’a ajouté l’organisation dans un communiqué de presse , « si vos produits de  consommation sont munis de telles étiquettes, des informations sur vos habitudes et modes de consommation peuvent être collectées et fichées. Cela pose manifestement des risques quant à la protection de la vie privée et des autres droits fondamentaux des consommateurs ».

Selon un rapport publié en janvier 2008 par l’OCDE, les risques potentiels pour la vie privée sont généralement des sources d’inquiétudes importantes pour les individus et les organisations. Les caractéristiques et les fonctionnalités des technologies RFID ont le potentiel d’offrir des avantages ainsi que d’encourager les mauvais points de vue et d’avoir des répercussions sur la vie privée. Les systèmes de RFID qui collectent des données liées à des individus identifiés ou identifiables soulèvent des questions spécifiques à la vie privée qui pourraient être considérées comme un défi prioritaire à l’adoption de la technologie dans un certain nombre de domaines. Dans la plupart des cas, l’invasion potentielle de la vie privée par l’utilisation des RFID dépend à la fois de la technologie utilisée et du contexte.

Une enquête de consommateur publiée en 2004 par Cap Gemini et Ernst & Young montre que la vie privée est classée comme la première préoccupation des consommateurs américains concernant les RFID.