| SÉNAT DE BELGIQUE | BELGISCHE SENAAT | ||||||||
| ________ | ________ | ||||||||
| Session 2019-2020 | Zitting 2019-2020 | ||||||||
| ________ | ________ | ||||||||
| 24 janvier 2020 | 24 januari 2020 | ||||||||
| ________ | ________ | ||||||||
| Question écrite n° 7-314 | Schriftelijke vraag nr. 7-314 | ||||||||
de Orry Van de Wauwer (CD&V) |
van Orry Van de Wauwer (CD&V) |
||||||||
au ministre de l'Agenda numérique, des Télécommunications et de la Poste, chargé de la Simplification administrative, de la Lutte contre la fraude sociale, de la Protection de la vie privée et de la Mer du Nord |
aan de minister van Digitale Agenda, Telecommunicatie en Post, belast met Administratieve Vereenvoudiging, Bestrijding van de sociale fraude, Privacy en Noordzee |
||||||||
| ________ | ________ | ||||||||
| Règlement général européen sur la protection des données (RGPD) - Atteintes commises par des applications populaires - Enquête du Conseil norvégien des consommateurs - Cas relevés en Belgique - Protection des utilisateurs | Europese algemene verordening inzake gegevensbescherming (GDPR) - Schending door populaire apps - Onderzoek van de Noorse Consumentenraad - Gevallen in België - Bescherming van de gebruikers | ||||||||
| ________ | ________ | ||||||||
| données personnelles traitement des données protection des données protection de la vie privée application de l'informatique protection du consommateur sécurité des systèmes d'information |
persoonlijke gegevens gegevensverwerking gegevensbescherming eerbiediging van het privé-leven toepassing van informatica bescherming van de consument informatiebeveiliging |
||||||||
| ________ | ________ | ||||||||
|
|
||||||||
| ________ | ________ | ||||||||
| Aussi posée à : question écrite 7-315 | Aussi posée à : question écrite 7-315 | ||||||||
| ________ | ________ | ||||||||
| Question n° 7-314 du 24 janvier 2020 : (Question posée en néerlandais) | Vraag nr. 7-314 d.d. 24 januari 2020 : (Vraag gesteld in het Nederlands) | ||||||||
Justification du caractère transversal de la présente question écrite: les autorités tant fédérales que régionales sont concernées par le respect des dispositions du Règlement général européen sur la protection des données (RGPD) et doivent éviter que la méconnaissance de ces dispositions aboutisse à porter préjudice à la politique anti-discrimination des différents niveaux de pouvoir. Une enquête du Conseil norvégien des consommateurs montre que plusieurs applications populaires, parmi lesquelles les applis de rencontres Tinder et Grindr, partagent des données personnelles avec des tiers en vue de dresser des profils individuels de consommation de leurs utilisateurs. Selon l'enquête, ces données seraient utilisées non seulement pour personnaliser les messages publicitaires mais aussi pour discriminer, manipuler et exploiter. Ainsi, d'après l'enquête, l'application de rencontres Grindr partagerait des données GPS, l'adresse IP, l'âge et le sexe. Le Règlement général européen sur la protection des données (RGPD) est entré en vigueur en mai 2018. Et pourtant, on continue à suivre en ligne les consommateurs et à établir leur profil, et il leur est impossible de savoir quelles organisations traitent leurs données et comment ils peuvent s'y opposer. 1) Que vous inspirent les résultats de l'enquête norvégienne, d'où il ressort que des applis populaires, également très utilisées en Belgique, enfreignent les dispositions du RGPD, non seulement à des fins commerciales mais aussi, éventuellement, pour discriminer, manipuler et exploiter? 2) Des enquêtes similaires ont-elles été menées en Belgique ? Dispose-t-on de données relatives à notre pays? Dans la négative, ne faudrait-il pas approfondir la question? 3) Avez-vous une idée de l'ampleur du problème? En Belgique, des cas de violation ont-ils déjà été signalés? 4) Comment pouvez-vous protéger les utilisateurs belges d'applications contre le partage illégal des données personnelles des consommateurs? |
Motivering van het transversale karakter van de schriftelijke vraag: zowel de federale als de gewestelijke overheden hebben belang bij de naleving van de regels van de Europese algemene verordening inzake gegevensbescherming (GDPR) en bij het vermijden dat door het misbruik van deze regels afbreuk wordt gedaan aan het anti-discriminatiebeleid van de verschillende overheden. Uit een onderzoek van de Noorse Consumentenraad blijkt dat de verschillende populaire apps, waaronder ook datingapps Tinder en Grindr, persoonlijke gegevens met derde partijen delen om individuele consumentenprofielen op te stellen van de gebruikers. Deze zouden volgens de studie niet enkel gebruikt worden om reclame te personaliseren maar ook om te discrimineren, te manipuleren en uit te buiten. De datingapp Grindr bijvoorbeeld zou volgens het onderzoek GPS-gegevens, het IP-adres, leeftijd en geslacht delen. In mei 2018 ging de Europese algemene verordening inzake gegevensbescherming (GDPR) van kracht. Toch worden consumenten vandaag dus nog steeds online gevolgd en geprofileerd, en hebben zij geen enkele mogelijkheid om te weten welke entiteiten hun gegevens verwerken en hoe zij deze kunnen tegenhouden. 1) Hoe reageert u op de Noorse onderzoeksresultaten waaruit blijkt dat populaire apps, die ook in België populair zijn, de GDPR-regels schenden – en dit niet enkel voor commerciële doeleinden maar ook mogelijks om te discrimineren, te manipuleren en uit te buiten? 2) Zijn er gelijkaardige onderzoeken gebeurd in België, of zijn er gegevens beschikbaar voor ons land? Indien niet, is verder onderzoek hiertoe aangewezen? 3) Heeft u zicht op de reikwijdte van dit probleem? Zijn er reeds gevallen van schendingen in België gekend? 4) Op welke manier kan u Belgische gebruikers van apps beschermen tegen het illegaal delen van persoonsgegevens van consumenten? |
||||||||
| Réponse reçue le 26 février 2020 : | Antwoord ontvangen op 26 februari 2020 : | ||||||||
1) L’étude du Conseil des consommateurs norvégien montre que les utilisateurs de certaines applications (apps) n’ont pas le choix de refuser les conditions générales, que ces app utilisent des techniques invasives de partage des données, que pour refuser les techniques de reconnaissance faciales, les utilisateurs doivent suivre une longue procédure et que tout cela serait contraire au RGPD et en particulier à l’obligation de privacy by design. Je souhaite évidemment que chaque app soit conforme au RGPD et que chaque personne voit ses données protégées. En revanche, il appartient plutôt à l’Autorité de protection des données de se prononcer sur la question de savoir si certaines apps sont conformes au RGPD ou non et d’utiliser pleinement les pouvoirs qui lui ont été attribués en vertu du RGPD pour initier des enquêtes et infliger des sanctions si nécessaire. 2) & 3) L’Autorité de protection des données m’informe qu’une affaire similaire est actuellement pendante devant sa Chambre contentieuse. L’Autorité de protection des données rappelle également que de nombreuses apps sont gérées par des sociétés ayant leur établissement principal en Irlande et qu’en vertu des règles du guichet unique instituées par le RGPD, c’est l’autorité de protection des données irlandaise qui est chef de file pour enquêter sur ces sociétés, l’Autorité de protection des données belge n’intervenant qu’en cas de plainte déposée devant elle ou si l’autorité de protection irlandaise lui demande d’enquêter. 4) Les personnes concernées qui estiment que leur droit à la protection des données est bafoué peuvent déposer plainte sans frais par courrier postal ou électronique devant l’Autorité de protection des données. Conformément à la loi instituant l’Autorité de protection des données, la plainte sera d’abord traitée par le services de première ligne qui cherchera une médiation avec le responsable du traitement. À défaut d’accord, le service de première ligne transmet la plainte à la Chambre contentieuse qui peut charger le service d’inspection d’enquêter sur les traitements des données opérés par le responsable du traitement. Après avoir entendu les parties, la Chambre contentieuse jugera s’il y a infraction ou non, ainsi que la nature et le montant éventuel des sanctions. Comme déjà mentionné, l’Autorité de protection des données peut évidemment également initier des enquêtes de propre initiative afin de protéger les droits des utilisateurs des apps. |
1) De studie van de Noorse Consumentenraad toont aan dat de gebruikers van bepaalde applicaties (apps) geen keuze hebben om de algemene voorwaarde te weigeren, dat die apps invasieve technieken voor gegevensdeling gebruiken, dat de gebruikers om de gezichtsherkenningstechnieken te weigeren een lange procedure moeten volgen en dat dat alles onverenigbaar zou zijn met de GDPR en in het bijzonder met de verplichting van privacy by design. Ik wil uiteraard dat elke app in overeenstemming met de GDPR is en dat eenieders gegevens worden beschermd. Het is echter veeleer de taak van de Gegevensbeschermingsautoriteit om zich uit te spreken over de vraag of bepaalde apps al dan niet in overeenstemming met de GDPR zijn en de bevoegdheden die haar werden toegekend op grond van de GDPR ten volle te benutten om onderzoeken in te stellen en straffen op te leggen indien nodig. 2) & 3) De Gegevensbeschermingsautoriteit heeft mij meegedeeld dat er thans een gelijkaardige zaak aanhangig is bij de geschillenkamer. De Gegevensbeschermingsautoriteit wijst er eveneens op dat tal van apps worden beheerd door firma’s die hun hoofdvestiging in Ierland hebben en dat op grond van de regels van het een-loketmechanisme die door de GDPR werden ingevoerd de Ierse gegevensbeschermingsautoriteit de leidende toezichthoudende autoriteit is om een onderzoek te voeren naar die firma’s, aangezien de Belgische Gegevensbeschermingsautoriteit enkel tussenkomt indien bij haar een klacht wordt ingediend of indien de Ierse gegevensbeschermingsautoriteit haar vraagt een onderzoek te voeren. 4) De betrokkenen die vinden dat hun recht op bescherming van de gegevens werd geschonden, kunnen kosteloos klacht indienen bij de Gegevensbeschermingsautoriteit per brief of via e-mail. Overeenkomstig de wet tot oprichting van de Gegevensbeschermingsautoriteit wordt de klacht eerst behandeld door de eerstelijnsdienst die streeft naar bemiddeling met de verwerkingsverantwoordelijke. Indien geen overeenstemming wordt bereikt, zendt de eerstelijnsdienst de klacht over naar de geschillenkamer die de inspectiedienst kan belasten met het onderzoek naar de verwerkingen van de gegevens die worden uitgevoerd door de verwerkingsverantwoordelijke. Nadat de partijen zijn gehoord, oordeelt de geschillenkamer of er al dan niet sprake is van een misdrijf, alsook over de aard ervan en het eventuele bedrag van de straffen. Zoals reeds vermeld, kan de Gegevensbeschermingsautoriteit uiteraard eveneens uit eigen beweging onderzoeken instellen teneinde de rechten van de gebruikers van de apps te beschermen. |