Sites clickbait (« appât à clics ») qui collectent automatiquement des données sur les internautes - Vie privée - Droits d'auteur - Protection - Plaintes - Mesures - Concertation avec des moteurs de recherche
protection des données
moteur de recherche
Internet
site internet
collecte de données
protection de la vie privée
données personnelles
criminalité informatique
8/11/2017 | Envoi question (Fin du délai de réponse: 7/12/2017) |
6/12/2017 | Réponse |
Aussi posée à : question écrite 6-1624
Le site web DocPlayer rassemble des centaines de livres électroniques, de périodiques, de textes de chanson, mais également de déclarations fiscales complétées et de C.V. comprenant des données relatives au salaire et au patrimoine. Selon le ministère néerlandais de l'Intérieur, ces données peuvent servir à commettre des fraudes à l'identité. Les documents figurant sur ce site semblent avoir été mis à disposition par des utilisateurs, mais ce n'est pas le cas. En réalité, ces fichiers pdf ont été collectés par un programme informatique intelligent. Les documents ont été placés sur le site de manière entièrement automatique, au moyen d'un robot, sorte de petit « aspirateur » qui ne cesse de parcourir l'ensemble d'internet à la recherche de documents et qui les place sur le site DocPlayer. Tant qu'il s'agit de documents publics, il n'y a aucune objection légale directe, mais il y en a dès lors que ces données proviennent de connexions internet mal sécurisées ou de fuites de données. Les documents privés qui se retrouvent accidentellement sur internet - par exemple à la suite d'une fuite de données - sont également placés sur ce site.
Selon le Nederlandse National Cyber Security Centrum (Centre national néerlandais de cybersécurité), la police et l'Autoriteit Persoonsgegevens (Autorité pour la protection des données personnelles), ce que fait ce site est illégal parce qu'il enfreint à grande échelle la législation sur la protection de la vie privée et celle sur le droit d'auteur.
Les revenus de ce site russe illégal dépendent du nombre de clics sur certains articles - via des moteurs de recherche comme Google - et de la copie - parfois futive - de documents provenant de milliers d'internautes qui ne se doutent de rien. Actuellement, ce site opère déjà dans une vingtaine de pays.
L'autorité est limitée dans son action parce que les sites se trouvent à l'étranger. Par contre, Google peut intervenir. Aux Pays-Bas, le parti D66, entre autres, plaide pour que l'on interpelle Google sur la question.
Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de Sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique et la protection de la vie privée font partie des priorités fixées. Il s'agit dès lors d'une compétence régionale transversale où les Régions interviennent surtout dans le volet préventif.
Voici mes questions à cet égard :
1) Que pensez-vous de ce genre de sites clickbait qui collectent automatiquement des données de citoyens et d'entreprises, y compris des documents privés qui ont été obtenus à la suite d'une fuite des données ou d'une mauvaise connexion internet, en faisant fi des droits d'auteur et en enfreignant, parfois très sérieusement, le droit à la vie privée ? Avez-vous déjà reçu des plaintes à cet égard ? Dans l'affirmative, quels étaient les sites incriminés ? Est-il exact que ceux-ci opèrent généralement au départ de la Russie ?
2) Avez-vous déjà entrepris des démarches à ce sujet auprès de la Commission de la protection de la vie privée ou par le biais de contacts bilatéraux afin de vérifier dans quelle mesure ces sites portent atteinte à la vie privée de nos concitoyens et de nos entreprises ? Pouvez-vous détailler votre réponse ?
3) Êtes-vous disposé à engager un dialogue avec des moteurs de recherche comme Google et pouvez-vous donner des détails quant au calendrier et au contenu de vos démarches ?
1) Selon le nouveau règlement général européen relatif à la protection des données, qui entrera en vigueur en mai 2018, un responsable de traitement établi en dehors de l’Union européenne est soumis au règlement « lorsque les activités de traitement sont liées au suivi du comportement de personnes, dans la mesure où il s’agit d’un comportement qui a lieu dans l’Union ».
Si, comme le dit votre question, Doc Player place automatiquement sur son site des données de citoyens européens récoltées par des robots, il faut considérer que ce site est soumis au règlement et que donc les personnes concernées ont le droit d’être informé de la collecte de données, d’en avoir copie, et de s’opposer à ce traitement.
Concernant les plaintes, j’ai interrogé la Commission de la protection de la vie privée et celle-ci m’a répondu ne pas encore avoir reçu de plainte liée à Doc Player.
2) La Commission de la protection de la vie privée a attiré l’attention sur le fait que dans la mesure où ils s’agit de sites ou de serveurs russes, elle n’a aucun moyen d’y accéder. Lorsque la problématique dépasse le cadre belge, elle sera traitée au niveau européen, au sein du groupe 29 afin de déterminer si une approche européenne est possible.
3) Avant de prendre des mesures, il est opportun d’attendre les conclusion de l’enquête lancée par la Commission de la protection de la vie privée avec le groupe 29 et de déterminer quelles mesures et sanctions ils seront amenées à prendre.