|
|
Internet mobile - Vie privée - Technique d'écoute "Deep Packet Inspection" - Situation des opérateurs télécoms belges
Internet
fournisseur d'accès
télécommunication sans fil
télécommunication
protection des communications
communication mobile
| 26/5/2011 | Envoi question |
| 1/12/2011 | Réponse |
Aussi posée à : question écrite 5-2393
Le KPN néerlandais espionne, en tant que premier opérateur mondial, les internautes mobiles par la technique d'écoute controversée « Deep Packet Inspection ». L'internet mobile devient plus cher et de plus, KPN veut augmenter le coût de l'abonnement des clients utilisant Skype.
La technique est très discutée car elle est vue par beaucoup comme l'équivalent, pour des données, de la mise sur écoute d'une communication téléphonique. Plusieurs organisations de défense des droits citoyens ont déjà appelé à porter plainte contre l'entreprise. Même Vodafone utilise, aux Pays-Bas, le « Deep Packet Inspection » controversé où les échanges de données mobiles des utilisateurs sont surveillés. L'entreprise l'a reconnu dans un communiqué. Elle a cependant indiqué qu'elle ne contrôlait pas tout ce que l'utilisateur télécharge mais uniquement le genre de données qu'il utilise. L'entreprise utilise cette information, selon ses propres dires, pour surcharger le moins possible le réseau. De cette façon, certains types de données sont traitées différemment. Les vidéos, par exemple, sont transmises de façon morcelée parce que de nombreuses personnes ne regardent pas en entier les films en ligne. De cette manière, on ne gaspille pas de largeur de bande pour envoyer un film entier qui ne sera de toute façon pas regardé.
Je souhaiterais obtenir une réponse aux questions suivantes :
1) Que pense le ministre des fournisseurs télécoms qui utiliseraient le « Deep Packet Inspection » sur leurs clients ? Peut-il expliquer son point de vue de manière détaillée ?
2) A-t-il connaissance de projets similaires de la part des fournisseurs télécoms belges ? Dans la négative, peut-il l'expliquer de manière détaillée ? Dans l'affirmative, de quels opérateurs s'agit-il et que surveille-t-on ? Cela est-il conforme à la législation sur la vie privée ?
Si le ministre n'a pas connaissance de telles initiatives, est-il disposé à interroger les opérateurs télécoms à ce sujet et peut-il fournir des précisions ?
3) Peut-il indiquer s'il va intervenir lorsqu'une société de télécommunications surveille effectivement les internautes grâce au « Deep Packet Inspection » ? Dans l'affirmative, peut-il fournir des précisions ?
4) Est-il prêt, le cas échéant, à soulever le problème auprès de l'autorité européenne et de la commission de la Protection de la vie privée ? Peut-il fournir des précisions ?
1 et 2. Il ne m’appartient pas de me prononcer sur les faits allégués par monsieur le sénateur.
Ma réponse se bornera à analyser la situation au regard de la loi du 8 décembre 1992.
Selon la définition donnée par Wikipedia, le « Deep Packet Inspection » est l’activité pour le réseau d’analyser le contenu (au-delà de l’en-tête) d’un paquet réseau (paquet IP le plus souvent) de façon à en tirer des statistiques, à filtrer celui-ci ou à détecter des intrusions, du spam ou tout autre contenu prédéfini.
Si cette définition est correcte, alors le « Deep Packet inspection » doit être considéré comme un traitement de données à caractère personnel au sens de l’article 1, §2, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel qui transpose la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dans la mesure où il traite au minimum les adresses IP voire le contenu du message lui-même.
Il doit donc respecter toutes les dispositions de la loi précitée.
En vertu de l’article 4 de la loi précitée, les données à caractère personnel doivent être :
- collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Il appartient aux opérateurs de télécommunications de déterminer pour quelles finalités ils utilisent le « Deep Packet inspection ». Est-ce à des fins statistiques ? À des fins de filtrage de spam, de détection des intrusions, de bon fonctionnement du réseau ou pour éviter des fuites d’information ?
- adéquates, pertinentes et non excessives au regard de la finalité. Il semblerait que le « Deep packet inspection » permette dans certains cas de lire jusqu’à la couche 7 du modèle OSI ce qui inclut les en-têtes, les structures des protocoles et le contenu du message lui-même. Il importe de vérifier si la collecte de ces informations est pertinente et non excessive.
- conservées pour une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues.
En vertu de l’article 5 de la loi précitée, le traitement de données à caractère personnel ne peut être effectué que dans l’un des cas suivants :
- lorsque la personne concernée a indubitablement donné son consentement ;
- lorsqu’il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
- lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée qui peut prétendre à une protection au titre de la loi précitée.
En vertu des articles 6, 7 et 8 de la loi précitée, le traitement de données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la vie sexuelle, à la santé ou aux litiges soumis aux cours et tribunaux ainsi qu’aux juridictions administratives, est interdit.
En vertu des articles 9, 10 et 12 de la loi précitée, toute personne concernée dispose d’un droit à l’information, d’un droit d’accès ainsi que d’un droit de rectification et d’effacement de ses propres données.
Le non respect de ces dispositions est puni pénalement.
En vertu de l’article 129 de la loi du 13 juin 2005 relative aux communications électroniques, transposant la directive 2002/58/CE relative au traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive " Vie privée et communications électroniques "), l’utilisation de réseaux de télécommunications électroniques pour le stockage des informations ou pour accéder aux informations stockées dans les équipements terminaux d'un abonné ou d'un utilisateur final est autorisée à condition que :
- l'abonné ou l'utilisateur final concerné reçoive conformément aux conditions fixées dans la loi du 8 décembre 1992 précitée, des informations claires et précises concernant les objectifs du traitement et ses droits;
- le responsable du traitement donne, préalablement au traitement, de manière clairement lisible et non équivoque, la possibilité à l'abonné ou à l'utilisateur final concerné de refuser le traitement prévu.
3. L’application et l’interprétation de la loi du 8 décembre 1992 relève d’une part des Cours et Tribunaux de l’ordre judiciaire et d’autre part de la commission de la protection de la vie privée, commission indépendante instituée auprès de la Chambre des Représentants.
4. Comme indiqué plus haut, les directives 95/46/CE et 2002/58/CE couvrent ce type de problématique et ont fait l’objet d’une transposition en droit belge qui, de son côté, donne compétence à la commission de la protection de la vie privée de contrôler la mise en œuvre de ces directives.
Pour le surplus, je renvoie sur ce point à mon collègue ayant les télécommunications dans ses compétences.