SÉNAT DE BELGIQUE
________
Session 2017-2018
________
15 juin 2018
________
SÉNAT Question écrite n° 6-1905

de Rik Daems (Open Vld)

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique
________
Consommation de données mobiles - Dévoreurs de données - Consommation furtive de données - Droits du consommateur
________
communication mobile
téléphone mobile
fournisseur d'accès
données personnelles
protection de la vie privée
protection du consommateur
transmission de données
tarif des communications
________
15/6/2018Envoi question
20/7/2018Réponse
________
Aussi posée à : question écrite 6-1903
Aussi posée à : question écrite 6-1904
________
SÉNAT Question écrite n° 6-1905 du 15 juin 2018 : (Question posée en néerlandais)

Le régulateur australien a lancé une enquête sur Google parce que cette société recueillerait de grandes quantités de données sur des smartphones et autres appareils fonctionnant sous Android. Il s'agit entre autres de données détaillées de localisation. Pour cette enquête, la Commission australienne de la concurrence et des consommateurs (ACCC-Australian Competition and Consumer Commission) collabore avec des experts de l'entreprise Oracle.

Il ressortirait de cette enquête que Google collecte chaque mois environ 1Gb de données d'utilisateur par usager sur les appareils fonctionnant sous Android. Cela soulève de graves questions, pas seulement pour des raisons liées au respect de la vie privée, mais également du point de vue du consommateur qu'est l'utilisateur. Sur base annuelle, Google utilise en effet pour 580 millions de dollars de données d'utilisateur en Australie. Il en coûte 3,6 dollars australiens par mois à chaque utilisateur et ce, à l'insu de celui ci puisque c'est subrepticement que Google collecte ces données sur les appareils.

Les données sont par la suite transmises aux annonceurs qui peuvent alors vérifier si leurs annonces publicitaires ont amené l'utilisateur à acheter un produit ou à se rendre dans un magasin. Selon les experts d'Oracle qui ont pu décoder les messages, ces informations ont ainsi été envoyées en toute discrétion via des paquets cryptés au départ des appareils mobiles.

Les données ont même pu être transmises alors que Google Maps n'était pas allumé ou que le mode avion était activé. Réagissant à ces premiers résultats d'enquête, l'ACCC a indiqué que ces pratiques soulèvent de très graves questions sur le plan de la vie privée et des droits des consommateurs ainsi qu'en matière de concurrence.

J'ai le sentiment que Google n'est certainement pas la seule société qui « absorbe » des données à son profit grâce à toutes sortes d'applications.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux ci sont définis dans la Note cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016 2019, et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique et la protection de la vie privée font partie des priorités fixées. Cette question concerne dès lors une compétence régionale transversale, les Régions et les Communauté intervenant surtout dans le volet préventif et en matière d'enseignement.

Je souhaite dès lors poser les questions suivantes :

1) Que pensez vous de la violation des droits des consommateurs par ces « dévoreurs de données » sournois, qui, du moins en ce qui concerne Google en Australie, engendre pour l'utilisateur une surconsommation pouvant aller jusqu'à 1 Gb par mois ? Pensez vous qu'une enquête similaire est également indiquée dans notre pays ? Disposez vous de plaintes et / ou d'indications selon lesquelles Google collecterait également ce genre de données dans notre pays, sur les appareils fonctionnant sous Android ? Pouvez vous indiquer de manière détaillée quelles applications absorbent la plupart des données qui sont ensuite facturées à l'utilisateur comme s'il les avait lui-même consommées, sans que celui ci ait donné son autorisation pour ce faire ?

2) Cette matière relève-t-elle de l'Institut belge des services postaux et des télécommunications (IBPT) ? Pouvez vous expliquer de manière détaillée si des enquêtes sont prévues ? Avez vous déjà reçu des plaintes sur ce genre d'applications, dénonçant une consommation non souhaitée de données à charge du consommateur ?

3) Ne conviendrait il pas de lancer une vaste enquête sur les dévoreurs de données agissant sur plusieurs appareils mobiles afin de savoir précisément quelles applications collectent quelles données (sur base annuelle ou mensuelle) de quels consommateurs et quels plateformes et logiciels sont concernés ? Cette enquête devrait – comme en Australie – évaluer sur base mensuelle l'impact sur la consommation de données des consommateurs. Pouvez vous fournir des précisions concrètes en ce qui concerne le contenu et le calendrier de cette enquête ? Dans la négative, pourquoi ?

4) Pouvez vous me dire de façon très précise comment la question est abordée sous l'angle de la vie privée, étant donné qu'il s'agit d'une collecte de données d'utilisateurs à grande échelle, systématique et difficilement traçable qui a été transmise de manière cryptée ? Avez-vous déjà reçu des plaintes similaires dans notre pays ? Avez-vous connaissance d'une collecte de données de ce type de la part de Google sur des appareils fonctionnant sous Android dans notre pays ? Le Règlement général sur la protection des données (RGPD) qui vient d'entrer en vigueur peut il y remédier ?

5) Comment compte-t-on combattre ces « dévoreurs de données » ? Pensez vous comme moi qu'à côté de l'autorisation claire à obtenir de la part du consommateur, il faut également imputer les coûts de cette consommation de données non pas à l'utilisateur mais au « dévoreur de données » ? Pouvez-vous fournir des précisions ? De quelles sanctions ces « dévoreurs de données » sont-ils actuellement passibles et celles ci suffisent elles ?

Réponse reçue le 20 juillet 2018 :

Les autres questions relevant de la compétence des ministres des Télécommunications et des Affaires économiques, je répondrai à la question 4) et à la question 5) en partie.

4) & 5) On peut considérer que ces pratiques de Google constituent des traitements ultérieur de données à caractère personnel. Le règlement général de l’Union européenne relatif à la protection des données à caractère personnel (ci-après RGPD) dispose qu’un traitement ultérieur de données soit peut être fondé sur le consentement de la personne concernée – donc les utilisateurs des appareils Android – soit doit être compatible avec le traitement initial.

Je ne dispose pas de suffisamment d’éléments concernant cette enquête menée par l’Australian Competition Consumer Commission mais supposons en effet que le consentement n’a pas été obtenu ou n’est pas obtenu dans les conditions déterminées par l’article 7 RGPD. Dans ce cas le RGPD impose des paramètres spécifiques pour déterminer si le traitement ultérieur est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, dont :

– l'existence éventuelle d'un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

– le contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

– les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

– l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

En tout cas, le RGPD est très clair sur ce point : avant de pouvoir traiter leurs données à caractère personnel les utilisateurs des appareils Android doivent être informés par les annonceurs de toute une série d’informations (leur identité et coordonnées, les catégories de données qui sont traitées, les finalités du traitement ultérieur, …). En cas de non-respect de ces droits les autorités de contrôle compétentes peuvent infliger des sanctions administratives telles qu’une limitation temporaire ou définitive du traitement ou des sanctions pécuniaires.