|
|
Entreprises de télécommunications - Coordonnées téléphoniques et électroniques - Obligation de conservation - Abus à des fins de marketing - Destruction - Respect de la vie privée - Contrôles
données personnelles
protection des communications
protection de la vie privée
courrier électronique
téléphone
fournisseur d'accès
| 18/10/2013 | Envoi question |
| 29/11/2013 | Réponse |
Aussi posée à : question écrite 5-10119
Aux Pays-Bas, un quart des entreprises de télécommunications abusent des coordonnées téléphoniques et électroniques qu'elles doivent stocker pendant un an. Les entreprises concernées reconnaissent qu'elles utilisent aussi, par exemple à des fins de marketing, les données stockées. Celles-ci ne sont pas toujours détruites après l'année légale de conservation alors que c'est une obligation. C'est ce que révèle un rapport d'enquête des Pays-Bas de l'Agence telecom sur le respect de la loi concernant l'obligation de conservation de données de télécommunications. Selon cette enquête de l'Agence telecom, 24 % des fournisseurs reconnaissent qu'ils traitent les données à des fins autres que légales. On apprend aussi que 10 % des fournisseurs télécoms et d'accès internet ne détruisent pas les coordonnées téléphoniques et électroniques des clients après l'année obligatoire de conservation. Ce sont surtout les petits et moyens fournisseurs qui se rendent coupables de telles pratiques. Le système de sécurisation de ces entreprises n'est par ailleurs pas toujours en ordre. Notre pays a récemment adopté des dispositions similaires à celles qui sont en vigueur depuis 2009 aux Pays-Bas.
Mes questions au ministre sont dès lors les suivantes.
1) Comment le ministre réagit-il à cette enquête néerlandaise ? Peut-il indiquer si, dans notre pays, des entreprises de télécommunications peuvent utiliser ces données à des fins de marketing ? Dans la négative, quelles sanctions sont-elles prévues ? Une étude similaire et/ou des mesures de contrôle supplémentaires ne sont-elles pas nécessaires chez nous, d'autant plus que l'autorité néerlandaise a ordonné une étude complémentaire ? Le ministre peut-il donner des explications très détaillées ?
2) Qui vérifie dans notre pays si les entreprises de télécommunications détruisent effectivement les données après la conservation obligatoire durant un an de certaines coordonnées téléphoniques et électroniques ? Des abus ont-ils été constatés ? Dans l'affirmative, quels sont-ils ?
3) Qui vérifie dans notre pays si les entreprises de télécommunications n'abusent pas de l'obligation de conservation pour traiter les données à des fins autres que légales et donc pour leur usage propre ? Des abus ont-ils été constatés ? Dans l'affirmative, quels sont-ils ?
4) Qui vérifie si les divers fournisseurs d'accès et les entreprises de télécommunications sécurisent suffisamment les données qui doivent être conservées ? Le ministre peut-il expliquer dans le détail les exigences minimales et préciser concrètement qui exerce ce contrôle ?
En réponse à ses questions, je suis en mesure de communiquer ce qui suit à l'honorable membre:
1. Concernant l'utilisation par des opérateurs de données à caractère personnel à des fins de marketing:
Conformément à l'article 122, § 3, de la loi du 13 juin 2005 relative aux communications électroniques par la loi ("LCE"), les opérateurs sont autorisés à utiliser des données à caractère personnel à des fins de marketing, en se conformant cependant aux conditions fixées par la loi. Ces conditions impliquent plus précisément ce qui suit:
1° L'opérateur informe l'abonné ou, le cas échéant, l'utilisateur final auquel se rapportent les données, avant d'obtenir le consentement de celui-ci pour le traitement :
a) des types de données de trafic traitées ;
b) des objectifs précis du traitement;
c) de la durée du traitement.
2° L'abonné ou, le cas échéant, l'utilisateur final, a préalablement au traitement, donné son consentement pour le traitement.
3° L'opérateur concerné offre gratuitement à ses abonnés ou ses utilisateurs finals la possibilité de retirer le consentement donné de manière simple.
4° Le traitement des données en question se limite aux actes et à la durée nécessaires pour fournir le service à données de trafic ou de localisation en question ou pour l'action de marketing en question.
Ces conditions sont d'application sous réserve des conditions complémentaires découlant de l'application de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Ceci implique concrètement que les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées, toutefois pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités de marketing (art. 4, § 1, 5°, de la loi du 8 décembre 1992).
De plus, l'article 122, LCE, § 5 stipule que les données à caractère personnel en question servant à des fins de marketing ne peuvent être traitées que par les personnes chargées par l'opérateur du marketing des services de communications électroniques propres. Le traitement est limité à ce qui est strictement nécessaire pour effectuer ces activités.
L'Institut belge des services postaux et de télécommunications (IBPT) est compétent pour le contrôle du respect de la LCE. Lorsque l’IBPT constate une infraction, il peut démarrer une procédure de mise en demeure. Cette procédure peut entraîner l'imposition d'une amende administrative pouvant s'élever à maximum 5 % du chiffre d’affaires du contrevenant.
Les données à conserver par les opérateurs dans le cadre de leur obligation de rétention de données, conformément à l'article 126 de ladite loi et son arrêté d'exécution du 19 septembre 2013, relèvent en matière d'utilisation à des fins de marketing, des mêmes restrictions d'utilisation que celles fixées à l'article 122, §§ 3 et 5).
2. Le pouvoir de contrôle pour les dispositions précitées relève, pour ce qui concerne la loi du 13 juin 2005 relative aux communications électroniques, de l'IBPT et pour ce qui concerne la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, de la Commission de la protection de la vie privée.
À notre connaissance, à ce jour, aucune plainte n'a encore été déposée à cet égard auprès de l'IBPT.
3. idem 2.
4. L'article 114, §§ 1er et 2, LCE, détermine tout d'abord quelles mesures de protection les opérateurs doivent prendre: Le § 1er de cet article prescrit que les opérateurs doivent prendre les mesures techniques et organisationnelles appropriées afin de bien maîtriser les risques pour la sécurité de leurs réseaux ou services. Ces mesures doivent conduire à un niveau de sécurité adapté aux risques se présentant, compte tenu de l'état de la technique. Les opérateurs doivent en particulier prendre des mesures pour prévenir ou limiter les conséquences des incidents de sécurité pour les utilisateurs et les réseaux interconnectés.
L'article 114 § 2 stipule que sans préjudice de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, les mesures prises par les opérateurs lorsqu'elles concernent des données à caractère personnel, visent pour le moins à :
garantir que seules des personnes habilitées à agir à des fins légalement autorisées puissent avoir accès aux données à caractère personnel;
protéger les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites; et
assurer la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel.
L'obligation pour les opérateurs de prendre les mesures de sécurité nécessaires, pour les données à conserver obligatoirement, est également reprise à l'article 126, § 5 de la loi du 13 juin 2005 relative aux communications électroniques. Cette disposition prévoit les obligations suivantes pour les opérateurs:
1° garantir que les données conservées sont de la même qualité et sont soumises aux mêmes exigences de sécurité et de protection que les données sur le réseau;
2° veiller à ce que les données conservées fassent l'objet de mesures techniques et organisationnelles appropriées afin de les protéger contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelle, ou le stockage, le traitement, l'accès ou la divulgation non autorisés ou illicites;
3° garantir que l'accès aux données conservées n'est effectué que par un ou plusieurs membres de la Cellule de coordination de la Justice visée à l'article 2 de l'arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques et par les agents et préposés de ces fournisseurs spécifiquement autorisés par ladite Cellule;
4° veiller à ce que les données conservées soient détruites lorsqu'est expiré le délai de conservation applicable à ces données.
Le Roi fixe, par arrêté délibéré en Conseil des ministres, sur proposition du ministre de la Justice et du ministre, et après avis de la Commission de la protection de la vie privée et de l'Institut, les mesures techniques et administratives que les fournisseurs de services et de réseaux visés au paragraphe 1er, alinéa 1er, doivent prendre en vue garantir la protection des données à caractère personnel conservées.
Les fournisseurs de services et réseaux visés au paragraphe 1er, alinéa 1er, sont considérés comme responsables du traitement de ces données au sens de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
Comme déjà dit précédemment, l'IBPT est compétent pour le contrôle du respect de la LCE et l'IBPT peut, après une procédure de mise en demeure, imposer une amende administrative de maximum 5 % du chiffre d’affaires du contrevenant.
De plus, la LCE prévoit pour les infractions aux articles 114 et 126 des dispositions pénales spéciales: l'article 145, § 1er LCE, autorise la juridiction pénale à punir les infractions à l’article 114, LCE, d'amendes de 50 euros à 50.000 euros; l'article 145, § 3ter, LCE, autorise la juridiction pénale à punir les infractions à l'article 126 d'amendes de 50 euros à 50.000 euros et de peines d'emprisonnement de six mois à trois ans ou d'une de ces peines.
La Commission de la protection de la vie privée a, dans le cadre de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel également un pouvoir de contrôle et peut imposer des mesures.