Pour Giovanni Buttarelli, la protection des données personnelles doit être renforcée dans l'Union européenne via une mise à jour de la directive de 2002 sur la vie privée. Il appelle entre autres à une généralisation du chiffrement de bout en bout.
Le chantier de la protection des données personnelles se poursuit en Europe, Dans un avis transmis à la Commission européenne hier, le contrôleur européen de la protection des données (EDPS), Giovanni Buttarelli, appelle à un renforcement de la protection des communications électroniques, en mettant à jour la directive ePrivacy de 2002. C'est tout le sens de la consultation publique qu'a d'ailleurs clos la Commission en début de mois. Une nouvelle législation est prévue pour la fin de l'année.
Une protection de la vie privée à renforcer
Cette directive vise notamment à empêcher la collecte de données (dont la pose de cookies) sans consentement de l'utilisateur. Un texte auquel la France tente aujourd'hui encore d'échapper devant la Cour de justice de l'Union européenne, afin d'assurer la conservation généralisée des données de connexion des internautes par les intermédiaires (voir notre analyse).
La directive actuelle complète le règlement sur la protection des données personnelles, voté par le Parlement européen en avril. Elle sert notamment à protéger les données dans des cas non couverts par le concept de traitement des données personnelles, rappelle l'EDPS dans sa réponse. Il recommande d'ailleurs qu'une révision du texte passe par un règlement (directement appliqué par tous les États membres) plutôt que par une directive (à transposer dans les 28 lois nationales).
« Les règles européennes conçues pour protéger la vie privée dans les communications électroniques a besoin de refléter le monde d'aujourd'hui. En préservant, et non en réduisant, le haut niveau de protection offert par la directive ePrivacy actuelle et en harmonisant certaines dispositions spécifiques [...], l'Union européenne peut renforcer la confidentialité et l'intégrité de nos communications électroniques » affirme Giovanni Buttarelli dans un communiqué. « Toute interférence avec le droit à la confidentialité des communications est contraire à la Charte des droits fondamentaux de l'Union européenne » rappelle-t-il.
Du chiffrement pour tous, sans moyen d'espionnage
Dans les faits, il souhaite que la protection de la vie privée ait un niveau équivalent, peu importe le moyen de communication utilisé, que ce soit le téléphone, la VoIP, un service de messagerie instantanée ou encore un objet connecté. De même, les réseaux devraient tous offrir les mêmes garanties, y compris ceux fournis gratuitement dans des lieux fréquentés (cafés, restaurants, hôpitaux...). Des standards minimaux de protection des réseaux et terminaux sont aussi appelés de ses vœux.
Giovanni Buttarelli estime également que les moyens de communication doivent permettre l'usage du chiffrement de bout en bout, sans « porte dérobée ». Une position défendue par la CNIL en France, qui n'enchante pas toujours certains gouvernements. « L'EDPS recommande, comme l'Article 29, que le décryptage, l'ingénierie inversée ou la surveillance des communications chiffrées soient interdits » ajoute-t-il.
Il demande d'ailleurs à ce que l'application du texte soit étendue aux services Internet, et non plus seulement aux opérateurs. La neutralité technologique est ainsi nécessaire.
Des cookies partout, un choix à exprimer
Le contrôleur rappelle au passage que les communications et la navigation web ne doivent pas être surveillées sans consentement explicite de l'utilisateur, que ce soit via un cookie, via l'empreinte d'un appareil ou « tout autre moyen technologique »... à l'exception près des cookies provenant directement du site consulté, comme l'indique déjà le règlement européen voté en début d'année.
Il souhaite que les navigateurs et systèmes d'exploitation fournissent des moyens simples de gérer son consentement aux cookies (comme Do Not Track), plutôt que de compter sur le bon vouloir de chaque site. Il demande d'ailleurs que les paramètres par défaut de tels outils protègent la vie privée.
Malgré une meilleure protection, il estime que le mécanisme de consentement pour la collecte de données de trafic et de localisation doit être renforcé. Il doit aussi être requis pour l'envoi de publicités ou messages non sollicités. De même, les organisations devraient fournir des données agrégées des demandes d'accès aux données d'utilisateurs, par des autorités ou gouvernements au sein et en dehors de l'Union européenne. C'est ce que pratiquent déjà certains services en ligne via leurs « transparency reports », plus ou moins explicites.
Commentaires (25)
Ah il me plait bien ce Giovanni Buttarelli.
Je sens qu’on va tomber d’accord sur tous les arguments développés par ce monsieur …
Il va énumérer tout ce qui devrait être chiffré et malheureusement ca va etre repris en argumentaire par les “j’ai rien n’a cacher” pour interdire le cryptage de tout ces flux ….
…. décidement même avec une news sympa j’arrive pas à en être optimiste …
Et moi qui pensais qu’ils étaient tous des imbéciles qui n’y comprenaient rien. Bon, ceci va sans doute être classé sans suite par l’UE et la France en premier, mais bon… Il a au moins le mérite d’avoir sonné l’alarme.
Boah, faut pas se laisser décourager par des motifs aussi légers.
Nous avons TOUS un côté obscur que nous ne voulons pas voir exposé à tout le monde, n’est-ce pas ?
“Il demande d’ailleurs que les paramètres par défaut de tels outils protègent la vie privée.”
" />
Je ne me souvient plus du nombre exact de députés européen, mais celui-ci rattrape tous les autres …
Attention avec les temps qui courent, pour une déclaration comme celle-ci pourrait bien te retrouver avec une fiche S.
Heureusement pour toi la fiche ne semble pas toujours bien efficace.
Tu n’es pas le vrai Vin Diesel ? 
" />
En fait, au début, j’avais pensé à ´Pinard Gazole mais ça faisait trop frenchie
C’est quoi comme métier, « contrôleur européen » ? C’est un poste où on donne des avis intéressants, mais qui ne seront jamais suivis par les députés ou la Commission ?
Mais là dedans y est inclus la surveillance des flux chiffrés effectuée ( avec plus ou moins de succès) au sein des SI des entreprises pour détecter d’éventuelles menaces ? ( malware , intrusion … )
J’accepte que l’on interdise la protection de la vie privée car “Je n’ai rien à cacher”.
En début juillet, j’ai entendu cette mise en parallèle à une conférénce :
J’accepte que l’on interdise la liberté d’expression car je n’ai rien à dire.
Oh, les enfants, on se calme hein ! Respectez le calme dont ont besoin vos aînés ! 
" />
Si seulement rien qu’une de ses propal est validée ça sera bien, mais bon, on est pas chez les bisounours :/
Monde de Merde
G.Abitboll
Tu peux aussi dire que les pornstars n’ont rien à cacher non plus et que pourtant … elles se promènent habillées.
Mais il vaut mieux sortir cela devant une bière en entre potes qu’en conférence devant une salle d’auditeurs.