Chiffrement et vie privée : La Quadrature du Net salue l’avis du Contrôleur européen pour la protection des données

Posted on


Paris, 27 juillet 2016 — Dans son avis publié le 25 juillet 2016 à propos du projet de révision de la directive ePrivacy, le CEPD (Contrôleur Européen de la Protection des Données) prend position pour une régulation plus forte en faveur de la vie privée. La Quadrature du Net approuve les principales propositions de cet avis et enjoint les législateurs européens à les suivre.

Giovanni Buttarelli, contrôleur européen de la protection des données
Giovanni Buttarelli,
contrôleur européen de la protection des données

L’avis du Contrôleur européen de la protection des données n’est que consultatif, mais la Commission européenne doit lui soumettre toute proposition de texte législatif pouvant avoir un impact dans le domaine de la protection des données. L’avis du 25 juillet est une version préliminaire de la position du CEPD sur la révision de la directive « ePrivacy » (2002/58/EC) dans laquelle le contrôleur préconise un positionnement à l’opposé du discours ambiant de surveillance généralisée et de contournement des outils permettant la protection de la vie privée des citoyens européens1À ce sujet, lire la réponse de La Quadrature du Net à la consultation organisée par la Commission européenne, où nous traçons le périmètre des enjeux de cette directive.. À ce titre il est intéressant à analyser et mettre à disposition du public afin d’être relayé et pris en considération par la Commission européenne.

En s’appuyant sur l’article 7 de la Charte des droits fondamentaux de l’Union européenne (qui garantit le respect de la vie privée), le CEPD propose un ensemble de règles pour améliorer et étendre la protection de la vie privée au-delà du seul traitement des données personnelles, telles que définies dans la directive ePrivacy antérieure traitant des communications électroniques, ou dans le tout récent règlement sur la protection des données personnelles.

  • Prenant acte du fait que les nombreux outils de correspondance modernes ne sont, pour l’utilisateur, que des moyens de poursuivre des échanges privés, le CEPD conseille un règlement élargi à tous ces outils, sans distinction basée sur telle ou telle technologie. Une communication – qu’elle soit basée sur la messagerie d’un jeu en ligne, une application de chat, des textos ou de la VOIP – doit, pour le Contrôleur, avoir le même niveau de protection, même et y compris lorsque ces messages sont échangés par des machines à l’insu de leurs utilisateurs (ce qui est le cas pour l’Internet des Objets, par exemple), et quel que soit le type de réseau utilisé, dès lors qu’il est accessible au public.
  • Considérant ensuite le fait incontestable que les « métadonnées » sont souvent au moins aussi révélatrices de la vie privée que les contenus échangés, le CEPD propose que le futur texte leur accorde le même niveau de protection.

Pour le CEPD, la future directive doit donc interdire toute interception et toute surveillance généralisée tant des données que des métadonnées (ou données de trafic), étendues à tous les outils permettant des échanges de nature privée, et jusqu’aux terminaux permettant l’accès à ces services, qui devraient être protégés contre des intrusions permettant une interception.

  • Dans le domaine de la protection des données, le Contrôleur souhaite aussi donner à l’utilisateur un meilleur contrôle des divers outils de tracking (cookies, localisation, etc.), allant jusqu’à proposer d’autoriser l’accès à un site même si l’utilisateur s’oppose explicitement à ce que ce site utilise ses données pour autre chose qu’un traitement local et non instrusif, ou sinon d’imposer cette règle au moins pour certains services (en position dominante, financés par de l’argent public…). Pour le CEPD, l’utilisateur doit aussi pouvoir révoquer un consentement préalable, y compris via un réglage général de son navigateur Web, par exemple en installant un outil empêchant le tracking.
  • Enfin, et en accord avec le G29 (qui regroupe l’ensemble des autorités de protection des données européennes), le CEPD recommande que la nouvelle directive autorise explicitement l’utilisation du chiffrement de bout en bout pour une meilleure protection des communications électroniques, et interdise les opérations de surveillance ou de déchiffrement des communications ainsi protégées. Pour le Contrôleur, il devrait être interdit à tout intermédiaire de faciliter ou d’autoriser les « portes dérobées » permettant à des tiers l’interception d’une correspondance chiffrée.

Le CEPD conseille enfin que le contrôle de ces nouvelles règles soit confié aux différentes autorités de protection des données des États membres (en France, la CNIL) et que la révision de la directive ePrivacy se fasse plutôt sous la forme d’un Règlement, ce qui permettrait une mise en application plus rapide dans les États membres avec un niveau de protection mieux harmonisé au niveau européen.

La Quadrature du Net salue les positions positives du Contrôleur européen pour la protection des données et invite les États Membres, la Commission européenne, le Parlement européen et les autorités nationales de protection des données à tenir compte de cet avis : protecteur pour la vie privée des utilisateurs et exigeant pour la sécurité des communications électroniques, il correspond aux positions que défendent les associations de défense des droits fondamentaux.

References

References
1 À ce sujet, lire la réponse de La Quadrature du Net à la consultation organisée par la Commission européenne, où nous traçons le périmètre des enjeux de cette directive.

Posted in