Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-7758

de Yoeri Vastersavendts (Open Vld) du 16 janvier 2013

à la ministre de la Justice

Supercookies - Violation de la vie privée des internautes - Intervention des autorités et de la Commission de la protection de la vie privée

protection de la vie privée
publicité électronique non sollicitée
virus informatique
protection des données

Chronologie

16/1/2013Envoi question
22/5/2013Rappel
18/12/2013Rappel
12/3/2014Réponse

Aussi posée à : question écrite 5-7757

Question n° 5-7758 du 16 janvier 2013 : (Question posée en néerlandais)

Ces derniers jours, on a pas mal parlé des « supercookies ». Il s'agit de cookies qui se réinstallent eux-mêmes. Ils sont à peine visibles et sont très difficiles à supprimer. Dans l'histoire de l'utilisation de cookies visant à observer les internautes, ces cookies nous placent face à de nouveaux défis.

Tout ce bruit au sujet de ces cookies découle d'une étude de chercheurs des universités renommées de Berkeley et de Stanford qui ont examiné les nouvelles applications des cookies (cf. http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1898390).

Les « supercookies » peuvent se réinstaller eux-mêmes sur un ordinateur.

Ce processus peut encore être renforcé lorsqu'une partie dispose de plusieurs domaines sur le net et utilise une synchronisation des cookies. Ceci suppose que les mêmes cookies sont utilisés sur différents domaines, par exemple msn.com et microsoft.com. Le grand problème avec les supercookies est qu'ils restreignent le peu de contrôle que les internautes ont encore.

Les utilisateurs peuvent supprimer les cookies de leur ordinateur. Ils montrent ainsi clairement qu'ils ne les souhaitent pas. Par analogie, cette action pourrait être expliquée comme le refus d'octroi d'une autorisation d'utiliser les cookies à des fins de tracking. En d'autres termes, ces cookies sont donc développés pour se réinstaller, contre la volonté de l'utilisateur qui supprime les cookies de son ordinateur. On peut ainsi suivre sans limite et consigner le comportement de tout un chacun sur la toile. C'est particulièrement angoissant et le fait que ces cookies soient utilisés contre la volonté explicite de l'utilisateur et soient même conçus spécifiquement à cette fin, constitue une violation grave de la législation sur la protection de la vie privée.

J'aurais dès lors souhaité poser les questions suivantes à ce sujet à la ministre.

1) Comment réagissez-vous à l'étude relative aux « supercookies » ?

2) Vos services ou la Commission de la protection de la vie privée ont-ils déjà reçu à ce sujet des questions et/ou des plaintes de citoyens ou d'entreprises ? Si oui, pouvez-vous l'expliquer ?

3) Pensez-vous comme moi que les gestionnaires de domaines qui utilisent de tels cookies et les placent donc sciemment sur les ordinateurs de leurs visiteurs qui ne peuvent pas ou qui peuvent très difficilement les supprimer de leur ordinateur (contrairement aux cookies normaux), commettent une violation grave de la législation sur la protection de la vie privée ? Si oui, pouvez-vous commenter votre point de vue, indiquer si vous êtes disposée à faire examiner cette question par les instances nationales ou autres et si vous êtes prêt, le cas échéant, à entamer une procédure pour infraction contre les gestionnaires de domaines qui utilisent de tels cookies ? Pouvez-vous expliquer ?

4) Estimez-vous également que ces supercookies vont beaucoup plus loin que les cookies normaux et se comportent comme une sorte de virus ou de malware ? Dans la négative, pourquoi ?

5) N'est-il pas question, avec ces supercookies, d'une « violation de l'ordinateur », par analogie à la violation de domicile ? Leur utilisation ne devrait-elle pas être interdite en tant que telle ? Si non, pourquoi pas ?

6) Êtes-vous disposé à soulever ce problème au niveau européen ? Si oui, pouvez-vous l'expliquer ? Si non, pourquoi pas ?

Réponse reçue le 12 mars 2014 :

1. Selon l’étude de l’Université de Berkeley, un super cookie est un cookie, c’est-à-dire un fichier de traçage placé sur l’ordinateur, capable de restaurer des cookies effacés par l’utilisateur. Les chercheurs ont constaté que ces super cookies sont présents sur de nombreux sites internet. 

Dans son avis 2/2010 du 22 juin 2010  sur « la publicité comportementale en ligne », le groupe 29, qui regroupe les autorités indépendantes de protection des données des 27 États-membres de l’Union européenne, partage l’analyse de l’université de Berkeley : « certains fournisseurs de réseaux publicitaires remplacent ou complètent les cookies traceurs traditionnels par de nouvelles techniques de traçage de pointe telles que les « flash cookies ». Les flash cookies ne peuvent pas être supprimés par les paramètres traditionnels de protection de la confidentialité d’un navigateur. Il semblerait qu’ils soient expressément utilisés pour rétablir des « cookies traditionnels qui ont été refusés ou effacés par la personne concernée ». 

Non seulement, les autorités européennes et belges sont donc au courant de cette pratique mais en outre, l’article 5, § 3, de la directive 2002/58, modifié par l’article 2.5 de la directive 2009/136, dispose que : « le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu,  une information claire et complète, entre autres sur les finalités du traitement. » 

Cet article a été transposée en droit belge par l'article 129 de la loi du 10 juillet 2012 relative aux communications électroniques. L'article précité prévoit une réglementation « opt in » en ce qui concerne les cookies. Une exception est toutefois prévue « pour l'enregistrement technique des informations ou de l'accès aux informations stockées dans les équipements terminaux d'un abonné ou d'un utilisateur final ayant pour seul but de réaliser l'envoi d'une communication via un réseau de communications électroniques ou de fournir un service demandé expressément par l'abonné ou l'utilisateur final lorsque c'est strictement nécessaire à cet effet ». 

2. La loi du 8 décembre 1992 ne donne pas compétence à mes services pour connaitre des plaintes des citoyens et des entreprises relatives à la protection de la vie privée en général et aux super cookies en particulier. Elle donne par contre compétence à la Commission de la protection vie privée et aux cours et tribunaux de l’ordre judiciaire d’enquêter et de juger des pratiques des responsables de traitement de données à caractère personnel. 

J’ai dès lors transmis la question à la Commission de la protection de la vie privée qui nous confirme ce 19 février 2013, qu’elle n’a encore reçu aucune plainte ou question relatives aux super cookies. 

3. Les supercookies sont légaux pour autant qu’ils respectent l’article 5 § 3 de la directive 2002/58 et l’article 129 de la loi télécom.

L'interprétation officielle de la loi relative aux communications électroniques revient à l'Institut belge des services postaux et de télécommunications (IBPT).

La poursuite des infractions en matière de vie privée revient à la Commission vie privée et aux cours et tribunaux. 

4. L’article 5. 3 de la directive 2002/58 s’applique à tous cookies sans distinction. Les super cookies ont donc un régime juridique identique aux cookies. 

5. S’agissant de l’interdiction des super cookies, le droit belge ne peut interdire le supercookie si celui-ci a respecté le droit européen.  

6. La Commission européenne a déposé en février 2012 une proposition de Règlement du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. La thématique des nouvelles technologies est abordée de manière générale lors des négociations en cours sur le texte. 

Je reste attentive sur ce point lors des négociations de ce texte au sein du Conseil.