- Lynn Pype
- historique de navigation , EU , RGDP , information sensible , vie privée
Analyse
Les fournisseurs de services Internet américains ont la permission de vendre l'historique de
navigation de leurs utilisateurs, là où en Europe cela n'est possible qu'avec leur
consentement explicite, clair et informé.
1. Suppression des règles de protection de la vie privée
Le 28 mars 2017, le Congrès américain a approuvé la proposition permettant aux fournisseurs de
services Internet de vendre l'historique de navigation de leurs utilisateurs sans que le
consentement des utilisateurs ne soit nécessaire. Le Sénat américain a également approuvé cette
proposition.
L'historique de navigation est une mine d’informations pour les sociétés. Il dévoile ce que
vous pensez, ce que vous recherchez, ce que vous aimez. Il contient également des informations
sensibles, il peut donner des indices sur vos préférences politiques, votre santé ou vos croyances
philosophiques. Il va donc sans dire que ces informations sont très précieuses pour les
entreprises, mais il est évident que ces informations ne les regardent pas.
En octobre 2016, sous le Président Obama, la Fédéral Communications Commission (FCC) avait encore
adopté des règles pour protéger la vie privée des consommateurs. La FCC y reconnaît que
l'historique de navigation est une information sensible et donne aux consommateurs le choix de
décider de le partager ou non.
Il est peu surprenant que ces règles soient abolies sous le président Trump, donnant aux
fournisseurs de services Internet tels que AT & T ou Verizon libre jeu avec l'historique de
navigation de leurs utilisateurs. Le navigateur utilisé par le consommateur importe peu. Google
Chrome, par exemple, inclut la possibilité de surfer en « navigation privée », mais cela implique
seulement que l'utilisateur est invisible pour les sites Web visités. La visite reste visible
pour les fournisseurs de services Internet. Une possibilité d'échapper à cela réside dans
l’utilisation d’une connexion VPN de qualité. Cela n’offre pas non plus une pleine garantie.
Le fait que des (plus petits) fournisseurs de services Internet Américains aient déjà annoncé
qu'ils ne vendraient pas ces informations sans le consentement de l'utilisateur est un
signal positif.
2. Et en Europe?
Quelle est la situation en Europe? Le Règlement général de données de la vie privée (RGDP) est entré en vigueur et prendra effet le 25 mai 2018. Ce règlement répète dans une large mesure les conditions dans lesquelles les données personnelles peuvent être traitées et recueillies.
2.1 La légalité de traitement
En premier lieu, l'article 6 détermine les conditions de la légitimité du traitement des
données personnelles. Le fournisseur de services Internet peut procéder à un traitement sur base du
consentement de la personne concernée ou sur base d'un intérêt légitime. Ce dernier est
naturellement susceptible d'interprétation.
Le Groupe de travail 29 a écrit en 2014 un avis sur la façon dont l’intérêt légitime doit être
interprété. Il doit être légal, il doit être clairement décrit pour qu'il soit possible de
l’opposer aux droits fondamentaux de la personne concernée, et il doit être réel et actuel. Le
Groupe de travail 29 précise que l'intérêt légitime peut être invoqué pour des fins de
marketing, étant donné que cela permet aux responsables du traitement de mieux connaître ses
clients et de répondre à leurs besoins. Le Groupe de travail 29 ajoute immédiatement que
l'intérêt légitime ne permet absolument pas que les responsables du traitement ne surveillent
le comportement de leurs clients de manière excessive, ne vendent leurs données ou ne fassent des
profilages complexes de leurs clients.
Cela indique que l'intérêt légitime ne pourra pas servir comme justification pour les
fournisseurs de services Internet pour vendre l'historique de navigation de leurs utilisateurs
à des tiers.
2.2 Des dispositions strictes concernant les données personnelles sensibles
En outre, selon l'article 9 du RGDP, il est interdit de traiter des données personnelles
révélant l'origine ethnique, les opinions politiques, les convictions religieuses ou
philosophiques, l'appartenance à des syndicats. Il est également interdit de recueillir des
données génétiques, des données biométriques ou des données relatives à la santé ou concernant
l'orientation sexuelle.
L'intérêt légitime du traitement ne joue ici aucun rôle. La seule exception qui existe dans
cette matière et qui pourrait être utilisée par les fournisseurs de services Internet est le
consentement explicite de la personne concernée. Le RGDP offre cependant la possibilité aux États
membres de lever le consentement comme justification du traitement. Une fois qu'un État membre
a mis en œuvre cette possibilité, les fournisseurs de services Internet n’auront en principe plus
la possibilité de vendre l’historique de navigation de leurs utilisateurs. D'autres raisons de
justification, telles que la nécessité du traitement pour la protection des intérêts vitaux de la
personne concernée ou la nécessité pour l’exécution des obligations des fournisseurs de services
Internet, ne pourront pas être appliquées.
Le consentement doit ressortir d’une action active claire et ne peut pas être implicite
2.3 Le consentement
L’article 7 du RGDP détermine les conditions auxquelles le consentement de la personne concernée
doit satisfaire. Le consentement doit être libre, spécifique, informé et sans ambiguïté. En outre,
le consentement doit ressortir d’une action active claire. Le consentement ne peut pas être
implicite. Enfin, le consentement doit être aussi simple que le fait de le donner. La personne
concernée a le droit de retirer son consentement à tout moment et doit en être suffisamment
informée.
Cela signifie dans la pratique que les fournisseurs de services Internet doivent informer leurs
utilisateurs de façon claire et nette du fait qu'ils traitent l'historique de navigation et
le vendent à des tiers. Cela ne peut pas être repris dans les conditions générales, mais doit être
présenté sous une forme compréhensible et facilement accessible, pour que le consentement de
l'utilisateur puisse être demandé.
3. Conclusion
Les fournisseurs de services Internet sur le marché européen ne peuvent pas partager ou vendre l'historique de navigation Internet à des tiers sans le consentement explicite, clair et informé de leurs utilisateurs, ce qui est une bonne chose.
