Capitol Hill Briefing:
Transcription
Capitol Hill Briefing:
Briefing du Capitole: “Street View”, protection de la vie privée et sécurité des réseaux sans fil Washington DC, 18 mai 2011 ------------------------------------------------------------------------------------------------------Déclaration de Peter Hustinx Contrôleur européen de la protection des données (CEPD) Les organisateurs de cet événement m’ont invité à faire une brève contribution à la discussion. Étant dans l’impossibilité d’assister à la réunion, j’ai le plaisir de soumettre cette courte déclaration écrite. Qu’il me soit permis, avant tout, de préciser que les véhicules Google affectés au service “Street View” n’ont nullement empiété sur mes attributions, qui ne concernent que les activités des institutions et organes de l’Union européenne (UE). Toutefois, l’une de mes tâches en qualité de CEPD consiste à coopérer avec les autorités nationales de surveillance aux fins d’améliorer la cohérence de la protection des données dans l’UE. Dans ce cadre, j’ai suivi la plupart – si ce n’est la totalité – des enquêtes et investigations menées en l’occurrence au sein de l’UE. Ces enquêtes et investigations en arrivent toutes à la conclusion que Google non seulement enregistre des images pour son service “Street View”, mais également collecte des données émanant de réseaux sans fil, lesquelles concernent tant le contenu des communications que des informations sur l’emplacement des équipements, et ce pendant une période de deux ans et à l’insu des utilisateurs. En raison de différences subtiles dans les législations nationales et dans les politiques ou priorités de surveillance, les retombées de ces activités se sont avérées légèrement divergentes. Les autorités de surveillance ont généralement accepté les explications de Google, à savoir que la collecte de contenu était le résultat d’une erreur de sa part, et ont insisté pour que ces informations soient effacées soit immédiatement, soit après un examen minutieux de la nature de ces informations. L’examen en question a d’ailleurs révélé que ces informations renfermaient des données personnelles sensibles, telles que des informations à caractère médical ou portant sur des transactions financières. Fait surprenant, la nature de la soi-disant erreur des ingénieurs (ou autre personnel) de Google n’a pas fait l’objet d’éclaircissements ou d’analyses plus approfondies. En tout état de cause, il est difficile de croire que la collecte/rétention systématique d’un tel contenu, à grande échelle et sur une aussi longue période, soit le résultat d’une simple erreur et rien de plus. Ce point mériterait donc très certainement de faire l’objet d’une enquête approfondie, si l’occasion d’une telle enquête devait se présenter. Un deuxième aspect important relève de la collecte de données sur l’emplacement des équipements. Au titre du droit de l’UE sur la protection des données, les adresses MAC de routers WiFi, en rapport avec l’emplacement de tels routers, constituent des “données à caractère personnel”, du fait qu’elles apportent des informations sur les propriétaires de ces équipements – tout particulièrement dans le contexte des communications mobiles – et du fait du lien très étroit qui existe entre les utilisateurs et leurs équipements mobiles. Les autorités nationales, fortes de leurs pouvoirs au titre du droit sur la protection des données en vigueur, ont donc également mis des limites à la collecte et à la rétention de telles données. Cette retombée s’inscrit dans le droit fil de la position du groupe de travail de l’article 29 – groupe de régulateurs indépendants en matière de protection des données dans l’UE – exprimée dans son avis sur les services de géo-localisation appliqués aux appareils mobiles intelligents (avis n° 13/2011) adopté le 16 mai 2011 et à paraître prochainement sur son site web. Cet avis présente un aperçu de l’actuel cadre légal de l’UE et de ses conséquences pour les services de géo-localisation et les différentes parties impliquées, allant des fournisseurs d’infrastructures, d’applications et de services aux développeurs de systèmes d’exploitation d’appareils mobiles intelligents. J’espère que les présents commentaires pourront faire avancer le débat ainsi que les activités à venir dans ce domaine éminemment intéressant et dynamique. Bruxelles, le 18 mai 2011 2