Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 7-314

de Orry Van de Wauwer (CD&V) du 24 janvier 2020

au ministre de l'Agenda numérique, des Télécommunications et de la Poste, chargé de la Simplification administrative, de la Lutte contre la fraude sociale, de la Protection de la vie privée et de la Mer du Nord

Règlement général européen sur la protection des données (RGPD) - Atteintes commises par des applications populaires - Enquête du Conseil norvégien des consommateurs - Cas relevés en Belgique - Protection des utilisateurs

données personnelles
traitement des données
protection des données
protection de la vie privée
application de l'informatique
protection du consommateur
sécurité des systèmes d'information

Chronologie

24/1/2020 Envoi question (Fin du délai de réponse: 27/2/2020 )
26/2/2020 Réponse

Aussi posée à : question écrite 7-315

Question n° 7-314 du 24 janvier 2020 : (Question posée en néerlandais)

Justification du caractère transversal de la présente question écrite: les autorités tant fédérales que régionales sont concernées par le respect des dispositions du Règlement général européen sur la protection des données (RGPD) et doivent éviter que la méconnaissance de ces dispositions aboutisse à porter préjudice à la politique anti-discrimination des différents niveaux de pouvoir.

Une enquête du Conseil norvégien des consommateurs montre que plusieurs applications populaires, parmi lesquelles les applis de rencontres Tinder et Grindr, partagent des données personnelles avec des tiers en vue de dresser des profils individuels de consommation de leurs utilisateurs. Selon l'enquête, ces données seraient utilisées non seulement pour personnaliser les messages publicitaires mais aussi pour discriminer, manipuler et exploiter.

Ainsi, d'après l'enquête, l'application de rencontres Grindr partagerait des données GPS, l'adresse IP, l'âge et le sexe.

Le Règlement général européen sur la protection des données (RGPD) est entré en vigueur en mai 2018. Et pourtant, on continue à suivre en ligne les consommateurs et à établir leur profil, et il leur est impossible de savoir quelles organisations traitent leurs données et comment ils peuvent s'y opposer.

1) Que vous inspirent les résultats de l'enquête norvégienne, d'où il ressort que des applis populaires, également très utilisées en Belgique, enfreignent les dispositions du RGPD, non seulement à des fins commerciales mais aussi, éventuellement, pour discriminer, manipuler et exploiter?

2) Des enquêtes similaires ont-elles été menées en Belgique ? Dispose-t-on de données relatives à notre pays? Dans la négative, ne faudrait-il pas approfondir la question?

3) Avez-vous une idée de l'ampleur du problème? En Belgique, des cas de violation ont-ils déjà été signalés?

4) Comment pouvez-vous protéger les utilisateurs belges d'applications contre le partage illégal des données personnelles des consommateurs?

Réponse reçue le 26 février 2020 :

1) L’étude du Conseil des consommateurs norvégien montre que les utilisateurs de certaines applications (apps) n’ont pas le choix de refuser les conditions générales, que ces app utilisent des techniques invasives de partage des données, que pour refuser les techniques de reconnaissance faciales, les utilisateurs doivent suivre une longue procédure et que tout cela serait contraire au RGPD et en particulier à l’obligation de privacy by design.

Je souhaite évidemment que chaque app soit conforme au RGPD et que chaque personne voit ses données protégées. En revanche, il appartient plutôt à l’Autorité de protection des données de se prononcer sur la question de savoir si certaines apps sont conformes au RGPD ou non et d’utiliser pleinement les pouvoirs qui lui ont été attribués en vertu du RGPD pour initier des enquêtes et infliger des sanctions si nécessaire.

2) & 3) L’Autorité de protection des données m’informe qu’une affaire similaire est actuellement pendante devant sa Chambre contentieuse. L’Autorité de protection des données rappelle également que de nombreuses apps sont gérées par des sociétés ayant leur établissement principal en Irlande et qu’en vertu des règles du guichet unique instituées par le RGPD, c’est l’autorité de protection des données irlandaise qui est chef de file pour enquêter sur ces sociétés, l’Autorité de protection des données belge n’intervenant qu’en cas de plainte déposée devant elle ou si l’autorité de protection irlandaise lui demande d’enquêter.

4) Les personnes concernées qui estiment que leur droit à la protection des données est bafoué peuvent déposer plainte sans frais par courrier postal ou électronique devant l’Autorité de protection des données.

Conformément à la loi instituant l’Autorité de protection des données, la plainte sera d’abord traitée par le services de première ligne qui cherchera une médiation avec le responsable du traitement.

À défaut d’accord, le service de première ligne transmet la plainte à la Chambre contentieuse qui peut charger le service d’inspection d’enquêter sur les traitements des données opérés par le responsable du traitement. Après avoir entendu les parties, la Chambre contentieuse jugera s’il y a infraction ou non, ainsi que la nature et le montant éventuel des sanctions.

Comme déjà mentionné, l’Autorité de protection des données peut évidemment également initier des enquêtes de propre initiative afin de protéger les droits des utilisateurs des apps.