Pour Giovanni Buttarelli, la protection des données personnelles doit être renforcée dans l'Union européenne via une mise à jour de la directive de 2002 sur la vie privée. Il appelle entre autres à une généralisation du chiffrement de bout en bout.

Le chantier de la protection des données personnelles se poursuit en Europe, Dans un avis transmis à la Commission européenne hier, le contrôleur européen de la protection des données (EDPS), Giovanni Buttarelli, appelle à un renforcement de la protection des communications électroniques, en mettant à jour la directive ePrivacy de 2002. C'est tout le sens de la consultation publique qu'a d'ailleurs clos la Commission en début de mois. Une nouvelle législation est prévue pour la fin de l'année.

Une protection de la vie privée à renforcer

Cette directive vise notamment à empêcher la collecte de données (dont la pose de cookies) sans consentement de l'utilisateur. Un texte auquel la France tente aujourd'hui encore d'échapper devant la Cour de justice de l'Union européenne, afin d'assurer la conservation généralisée des données de connexion des internautes par les intermédiaires (voir notre analyse).

La directive actuelle complète le règlement sur la protection des données personnelles, voté par le Parlement européen en avril. Elle sert notamment à protéger les données dans des cas non couverts par le concept de traitement des données personnelles, rappelle l'EDPS dans sa réponse. Il recommande d'ailleurs qu'une révision du texte passe par un règlement (directement appliqué par tous les États membres) plutôt que par une directive (à transposer dans les 28 lois nationales).

 « Les règles européennes conçues pour protéger la vie privée dans les communications électroniques a besoin de refléter le monde d'aujourd'hui. En préservant, et non en réduisant, le haut niveau de protection offert par la directive ePrivacy actuelle et en harmonisant certaines dispositions spécifiques [...], l'Union européenne peut renforcer la confidentialité et l'intégrité de nos communications électroniques » affirme Giovanni Buttarelli dans un communiqué.  « Toute interférence avec le droit à la confidentialité des communications est contraire à la Charte des droits fondamentaux de l'Union européenne » rappelle-t-il.

Du chiffrement pour tous, sans moyen d'espionnage

Dans les faits, il souhaite que la protection de la vie privée ait un niveau équivalent, peu importe le moyen de communication utilisé, que ce soit le téléphone, la VoIP, un service de messagerie instantanée ou encore un objet connecté. De même, les réseaux devraient tous offrir les mêmes garanties, y compris ceux fournis gratuitement dans des lieux fréquentés (cafés, restaurants, hôpitaux...). Des standards minimaux de protection des réseaux et terminaux sont aussi appelés de ses vœux.

Giovanni Buttarelli estime également que les moyens de communication doivent permettre l'usage du chiffrement de bout en bout, sans « porte dérobée ». Une position défendue par la CNIL en France, qui n'enchante pas toujours certains gouvernements. « L'EDPS recommande, comme l'Article 29, que le décryptage, l'ingénierie inversée ou la surveillance des communications chiffrées soient interdits » ajoute-t-il.

Il demande d'ailleurs à ce que l'application du texte soit étendue aux services Internet, et non plus seulement aux opérateurs. La neutralité technologique est ainsi nécessaire.

Des cookies partout, un choix à exprimer

Le contrôleur rappelle au passage que les communications et la navigation web ne doivent pas être surveillées sans consentement explicite de l'utilisateur, que ce soit via un cookie, via l'empreinte d'un appareil ou « tout autre moyen technologique »... à l'exception près des cookies provenant directement du site consulté, comme l'indique déjà le règlement européen voté en début d'année.

Il souhaite que les navigateurs et systèmes d'exploitation fournissent des moyens simples de gérer son consentement aux cookies (comme Do Not Track), plutôt que de compter sur le bon vouloir de chaque site. Il demande d'ailleurs que les paramètres par défaut de tels outils protègent la vie privée.

Malgré une meilleure protection, il estime que le mécanisme de consentement pour la collecte de données de trafic et de localisation doit être renforcé. Il doit aussi être requis pour l'envoi de publicités ou messages non sollicités. De même, les organisations devraient fournir des données agrégées des demandes d'accès aux données d'utilisateurs, par des autorités ou gouvernements au sein et en dehors de l'Union européenne. C'est ce que pratiquent déjà certains services en ligne via leurs « transparency reports », plus ou moins explicites.