L’UE suit les utilisateurs de ses sites Internet sans prévenir

sympbol02_eu_pic_commission.jpg

EXCLUSIF / Les institutions européennes suivent les utilisateurs de leurs propres site Internet, ce qui viole les règles sur la protection des données, a cru comprendre EURACTIV. Le Contrôleur européen de la protection des données l’a confirmé lors d’un entretien, alors que Bruxelles est en train de réviser la législation sur la vie privée afin de lutter contre cet abus.

Selon le Contrôleur européen de la protection des données (CEPD), Peter Hustinx, les institutions sont conscientes du problème et de nouvelles lignes directrices sont en train d'être établies afin de le régler. Il a ajouté que ses services n’avaient pas utilisé les logiciels des institutions de l’UE l'année dernière parce qu'ils s'étaient rendu compte qu'ils étaient « inappropriés ».

 

M. Hustinx a reconnu cette violation alors que le programme PRISM de la National Security Agency (NSA) des États-Unis a été récemment révélé au grand jour. Ce programme inquiète profondément le CEPD, qui a demandé « une clarification, une explication et une justification approfondies ».

 

En vertu des règles européennes sur les cookies, des données qui surveillent l'historique des navigateurs des utilisateurs, les sites Internet devraient demander l'autorisation des utilisateurs pour stocker des données superflues.

 

 

Les institutions sont conscientes du problème

 

La page d'accueil de la Commission européenne se sert de cookies pour stocker des informations sur des enquêtes et qui ne sont pas indispensables au fonctionnement du site. L'exécutif européen devrait en théorie prévenir qu'il conserve ces données.

 

Les visiteurs de la page d'accueil du portail européen sur la mobilité de l'emploi (EURES) sont surveillés par Google Analytics sans avertissement : une violation évidente des règles actuelles sur la protection des données. EURACTIV détient des preuves de violations similaires sur le site Internet du Parlement.

 

Contactée par EURACTIV à ce sujet la semaine dernière (14 juin), la Commission n'a pas encore répondu.

 

Peter Hustinx a confié à EURACTIV qu'il reconnaissait le problème. « Nous sommes conscients des problèmes des cookies et de la surveillance sur les sites Internet des institutions et il existe un volet juridique et technique », a-t-il indiqué.

 

Le CEPD a expliqué que les règles sur l'utilisation des cookies avaient été introduites en 2009, mais que l’adoption des règlements sur la protection des données qui régissent les institutions s’était déroulée beaucoup plus tôt, en 2001. Il a ajouté que ces règles n'avaient jamais été mises à jour de sorte que les règles sur les cookies puissent être incluses.

 

De nouvelles lignes directrices seront définies

 

M. Hustinx a précisé que ses services préparaient de nouvelles lignes directrices pour l'utilisation des sites Internet et des courriels. Il a ajouté qu'elles aborderaient également les questions de la surveillance et des cookies.

 

Il a reconnu que l'année dernière, lorsque ses services avaient organisé un sondage d'opinion en ligne dans le cadre d'une révision stratégique, il avait découvert que l'utilisation de la méthodologie des institutions de l'UE « n'aurait pas été appropriée ». Il a au contraire utilisé « un autre opérateur qui respectait les règles existantes sur les cookies ».

 

Le CEPD a également réagi aux révélations la semaine dernière du « lanceur d'alerte » Ed Snowden selon lesquelles la NSA disposait d'une autorité secrète à grande échelle pour espionner les courriels et les communications sur l'Internet en utilisant un programme d’extraction de données appelé PRISM.

 

Selon des documents dévoilés par le Guardian et le Washington Post, le programme permet aux autorités américaines d'avoir accès aux courriels, aux conversations en ligne et à d'autres communications d'entreprises, telles que Facebook, Google, Skype et Twitter.

 

« Cette histoire est très inquiétante. Je suis très inquiet et je pense qu'une clarification, une explication et une justification approfondies sont nécessaires », a déclaré M. Hustinx.

 

Pas de réponses rassurantes jusqu’à présent

 

Une telle justification est nécessaire pour déterminer l'ampleur des intrusions dans la vie privée, selon le CEPD, mais également la situation juridique qui sous-tend tout programme de sécurité.

 

« Pour que cela soit acceptable, la base juridique doit être claire et assurer la prévisibilité, la proportionnalité et des protections adaptées. Je dois dire que jusqu'à présent, les réponses ne sont pas rassurantes », a déclaré le CEPD.

 

Dans le même temps, M. Hustinx a salué les tentatives récentes de la présidence irlandaise du Conseil de l'UE de trouver un compromis sur le règlement controversé relatif à la protection des données. Il a ajouté qu'un nouveau texte de la présidence irlandaise semblait « aller dans la bonne direction » et représentait « une avancée immense ».

Les Européens ont réagi avec colère aux révélations selon lesquelles les autorités américaines avaient accès à des données à caractère personnel sur les serveurs de sociétés de l'Internet. Ils affirment que ce type d'activité confirmait leurs craintes vis-à-vis de la portée des géants américains de l'Internet et a montré la nécessité de règlements plus stricts alors que l’UE et les États-Unis sont sur le point de lancer des négociations commerciales transatlantiques.

 

La Commission européenne a publié en janvier 2012 un vaste paquet législatif visant à protéger les données à caractère personnel à travers l'UE.

 

Ce paquet comprend deux propositions législatives : un règlement général sur la protection des données (directement applicable dans tous les États membres) et une directive spécifique sur la protection des données dans les domaines de la police et de la justice (à transposer dans le droit national).

 

Le Parlement européen et le Conseil ont amplement débattu ces deux propositions. Le Parlement devrait passer au vote prochainement.

  • Juin — juillet 2013 : le Parlement européen cherche toujours un accord sur le nouveau règlement relatif à la protection des données

Subscribe to our newsletters

Subscribe