SÉNAT DE BELGIQUE
________
Session 2017-2018
________
15 juin 2018
________
SÉNAT Question écrite n° 6-1904

de Rik Daems (Open Vld)

au vice-premier ministre et ministre de la Coopération au développement, de l'Agenda numérique, des Télécommunications et de la Poste
________
Consommation de données mobiles - Dévoreurs de données - Consommation furtive de données - Droits du consommateur
________
communication mobile
téléphone mobile
fournisseur d'accès
données personnelles
protection de la vie privée
protection du consommateur
transmission de données
tarif des communications
________
15/6/2018Envoi question
15/7/2018Réponse
________
Aussi posée à : question écrite 6-1903
Aussi posée à : question écrite 6-1905
________
SÉNAT Question écrite n° 6-1904 du 15 juin 2018 : (Question posée en néerlandais)

Le régulateur australien a lancé une enquête sur Google parce que cette société recueillerait de grandes quantités de données sur des smartphones et autres appareils fonctionnant sous Android. Il s'agit entre autres de données détaillées de localisation. Pour cette enquête, la Commission australienne de la concurrence et des consommateurs (ACCC-Australian Competition and Consumer Commission) collabore avec des experts de l'entreprise Oracle.

Il ressortirait de cette enquête que Google collecte chaque mois environ 1Gb de données d'utilisateur par usager sur les appareils fonctionnant sous Android. Cela soulève de graves questions, pas seulement pour des raisons liées au respect de la vie privée, mais également du point de vue du consommateur qu'est l'utilisateur. Sur base annuelle, Google utilise en effet pour 580 millions de dollars de données d'utilisateur en Australie. Il en coûte 3,6 dollars australiens par mois à chaque utilisateur et ce, à l'insu de celui ci puisque c'est subrepticement que Google collecte ces données sur les appareils.

Les données sont par la suite transmises aux annonceurs qui peuvent alors vérifier si leurs annonces publicitaires ont amené l'utilisateur à acheter un produit ou à se rendre dans un magasin. Selon les experts d'Oracle qui ont pu décoder les messages, ces informations ont ainsi été envoyées en toute discrétion via des paquets cryptés au départ des appareils mobiles.

Les données ont même pu être transmises alors que Google Maps n'était pas allumé ou que le mode avion était activé. Réagissant à ces premiers résultats d'enquête, l'ACCC a indiqué que ces pratiques soulèvent de très graves questions sur le plan de la vie privée et des droits des consommateurs ainsi qu'en matière de concurrence.

J'ai le sentiment que Google n'est certainement pas la seule société qui « absorbe » des données à son profit grâce à toutes sortes d'applications.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux ci sont définis dans la Note cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016 2019, et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique et la protection de la vie privée font partie des priorités fixées. Cette question concerne dès lors une compétence régionale transversale, les Régions et les Communauté intervenant surtout dans le volet préventif et en matière d'enseignement.

Je souhaite dès lors poser les questions suivantes :

1) Que pensez vous de la violation des droits des consommateurs par ces « dévoreurs de données » sournois, qui, du moins en ce qui concerne Google en Australie, engendre pour l'utilisateur une surconsommation pouvant aller jusqu'à 1 Gb par mois ? Pensez vous qu'une enquête similaire est également indiquée dans notre pays ? Disposez vous de plaintes et / ou d'indications selon lesquelles Google collecterait également ce genre de données dans notre pays, sur les appareils fonctionnant sous Android ? Pouvez vous indiquer de manière détaillée quelles applications absorbent la plupart des données qui sont ensuite facturées à l'utilisateur comme s'il les avait lui-même consommées, sans que celui ci ait donné son autorisation pour ce faire ?

2) Cette matière relève-t-elle de l'Institut belge des services postaux et des télécommunications (IBPT) ? Pouvez vous expliquer de manière détaillée si des enquêtes sont prévues ? Avez vous déjà reçu des plaintes sur ce genre d'applications, dénonçant une consommation non souhaitée de données à charge du consommateur ?

3) Ne conviendrait il pas de lancer une vaste enquête sur les dévoreurs de données agissant sur plusieurs appareils mobiles afin de savoir précisément quelles applications collectent quelles données (sur base annuelle ou mensuelle) de quels consommateurs et quels plateformes et logiciels sont concernés ? Cette enquête devrait – comme en Australie – évaluer sur base mensuelle l'impact sur la consommation de données des consommateurs. Pouvez vous fournir des précisions concrètes en ce qui concerne le contenu et le calendrier de cette enquête ? Dans la négative, pourquoi ?

4) Pouvez vous me dire de façon très précise comment la question est abordée sous l'angle de la vie privée, étant donné qu'il s'agit d'une collecte de données d'utilisateurs à grande échelle, systématique et difficilement traçable qui a été transmise de manière cryptée ? Avez-vous déjà reçu des plaintes similaires dans notre pays ? Avez-vous connaissance d'une collecte de données de ce type de la part de Google sur des appareils fonctionnant sous Android dans notre pays ? Le Règlement général sur la protection des données (RGPD) qui vient d'entrer en vigueur peut il y remédier ?

5) Comment compte-t-on combattre ces « dévoreurs de données » ? Pensez vous comme moi qu'à côté de l'autorisation claire à obtenir de la part du consommateur, il faut également imputer les coûts de cette consommation de données non pas à l'utilisateur mais au « dévoreur de données » ? Pouvez-vous fournir des précisions ? De quelles sanctions ces « dévoreurs de données » sont-ils actuellement passibles et celles ci suffisent elles ?

Réponse reçue le 15 juillet 2018 :

1) Les résultats de l'étude en Australie me préoccupent. Si cela se confirme également pour la Belgique, le phénomène que vous décrivez pourrait ébranler la confiance que les consommateurs et les entreprises belges placent dans les services numériques. Il faut éviter cela, compte tenu des avantages que ces services procurent à la société. Il me semble donc recommandé que cela fasse l'objet d'une analyse plus approfondie.

Aucune plainte spécifique contre Google (ou tout autre fournisseur d'applications) concernant du data slurping (fuites de données) n'est connue des autorités qui traitent des plaintes relatives aux télécommunications. Il est vrai que les citoyens font régulièrement appel au médiateur ou à d'autres instances de médiation parce qu'ils sont surpris de la quantité importante de données déduite de leur forfait mensuel (ou facturée en plus de ce forfait) sans savoir quelle en est la cause. Les opérateurs de télécommunications semblent généralement répondre à ces questions et plaintes par une compensation (unique) et je m’en réjouis.

2) Dans notre droit des télécommunications, les opérateurs mobiles sont déjà tenus d'envoyer un SMS d'avertissement au client lorsque le forfait est dépassé et lorsque les seuils au-delà de ce forfait sont dépassés (de manière standard + 50 euros, mais le client peut également opter pour + 75 euros, + 100 euros ou pas de seuil). L'Institut belge des services postaux et de télécommunications (IBPT) est chargé de contrôler ce système préventif et une étude menée par le passé a montré que celui-ci est correctement implémenté par les opérateurs mobiles.

Pour le reste, il n’existe pas de base juridique pour le traitement de cette question dans la loi sur les télécommunications qui puisse être utilisée par l'IBPT. Il se peut que la législation qui relève de la compétence de mon collègue, en charge des consommateurs, contienne un ou plusieurs fondements juridiques appropriés en la matière.

L'IBPT n'a pas non plus reçu de plainte concernant l'utilisation non sollicitée de données à charge des utilisateurs, causée par des applications de Google (ou d'autres fournisseurs d'applications).

3) Je renvoie à ma réponse à la question 2).

4) C’est à mon collègue, compétent en matière de vie privée, de répondre à cette question.

5) Je renvoie à ma réponse à la question 2).