Capitol Hill Briefing:

Briefing du Capitole:
“Street View”, protection de la vie privée et sécurité des réseaux sans fil
Washington DC, 18 mai 2011
------------------------------------------------------------------------------------------------------Déclaration de Peter Hustinx
Contrôleur européen de la protection des données (CEPD)
Les organisateurs de cet événement m’ont invité à faire une brève contribution à la
discussion. Étant dans l’impossibilité d’assister à la réunion, j’ai le plaisir de
soumettre cette courte déclaration écrite.
Qu’il me soit permis, avant tout, de préciser que les véhicules Google affectés au
service “Street View” n’ont nullement empiété sur mes attributions, qui ne concernent
que les activités des institutions et organes de l’Union européenne (UE). Toutefois,
l’une de mes tâches en qualité de CEPD consiste à coopérer avec les autorités
nationales de surveillance aux fins d’améliorer la cohérence de la protection des
données dans l’UE. Dans ce cadre, j’ai suivi la plupart – si ce n’est la totalité – des
enquêtes et investigations menées en l’occurrence au sein de l’UE.
Ces enquêtes et investigations en arrivent toutes à la conclusion que Google non
seulement enregistre des images pour son service “Street View”, mais également
collecte des données émanant de réseaux sans fil, lesquelles concernent tant le
contenu des communications que des informations sur l’emplacement des
équipements, et ce pendant une période de deux ans et à l’insu des utilisateurs.
En raison de différences subtiles dans les législations nationales et dans les politiques
ou priorités de surveillance, les retombées de ces activités se sont avérées légèrement
divergentes. Les autorités de surveillance ont généralement accepté les explications de
Google, à savoir que la collecte de contenu était le résultat d’une erreur de sa part, et
ont insisté pour que ces informations soient effacées soit immédiatement, soit après
un examen minutieux de la nature de ces informations. L’examen en question a
d’ailleurs révélé que ces informations renfermaient des données personnelles
sensibles, telles que des informations à caractère médical ou portant sur des
transactions financières.
Fait surprenant, la nature de la soi-disant erreur des ingénieurs (ou autre personnel) de
Google n’a pas fait l’objet d’éclaircissements ou d’analyses plus approfondies. En
tout état de cause, il est difficile de croire que la collecte/rétention systématique d’un
tel contenu, à grande échelle et sur une aussi longue période, soit le résultat d’une
simple erreur et rien de plus. Ce point mériterait donc très certainement de faire
l’objet d’une enquête approfondie, si l’occasion d’une telle enquête devait se
présenter.
Un deuxième aspect important relève de la collecte de données sur l’emplacement des
équipements. Au titre du droit de l’UE sur la protection des données, les adresses
MAC de routers WiFi, en rapport avec l’emplacement de tels routers, constituent des
“données à caractère personnel”, du fait qu’elles apportent des informations sur les
propriétaires de ces équipements – tout particulièrement dans le contexte des
communications mobiles – et du fait du lien très étroit qui existe entre les utilisateurs
et leurs équipements mobiles. Les autorités nationales, fortes de leurs pouvoirs au titre
du droit sur la protection des données en vigueur, ont donc également mis des limites
à la collecte et à la rétention de telles données.
Cette retombée s’inscrit dans le droit fil de la position du groupe de travail de l’article
29 – groupe de régulateurs indépendants en matière de protection des données dans
l’UE – exprimée dans son avis sur les services de géo-localisation appliqués aux
appareils mobiles intelligents (avis n° 13/2011) adopté le 16 mai 2011 et à paraître
prochainement sur son site web. Cet avis présente un aperçu de l’actuel cadre légal de
l’UE et de ses conséquences pour les services de géo-localisation et les différentes
parties impliquées, allant des fournisseurs d’infrastructures, d’applications et de
services aux développeurs de systèmes d’exploitation d’appareils mobiles intelligents.
J’espère que les présents commentaires pourront faire avancer le débat ainsi que les
activités à venir dans ce domaine éminemment intéressant et dynamique.
Bruxelles, le 18 mai 2011
2