SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2013-2014 Zitting 2013-2014
________________
18 octobre 2013 18 oktober 2013
________________
Question écrite n° 5-10118 Schriftelijke vraag nr. 5-10118

de Martine Taelman (Open Vld)

van Martine Taelman (Open Vld)

au vice-premier ministre et ministre de l'Économie, des Consommateurs et de la Mer du Nord

aan de vice-eersteminister en minister van Economie, Consumenten en Noordzee
________________
Entreprises de télécommunications - Coordonnées téléphoniques et électroniques - Obligation de conservation - Abus à des fins de marketing - Destruction - Respect de la vie privée - Contrôles Telecombedrijven - Telefoon- en mailgegevens - Bewaarplicht - Misbruik voor marketingdoeleinden - Vernietiging - Privacy - Controles 
________________
données personnelles
protection des communications
protection de la vie privée
courrier électronique
téléphone
fournisseur d'accès
persoonlijke gegevens
telefoon- en briefgeheim
eerbiediging van het privé-leven
elektronische post
telefoon
provider
________ ________
18/10/2013 Verzending vraag
29/11/2013 Antwoord
18/10/2013 Verzending vraag
29/11/2013 Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 5-10119 Ook gesteld aan : schriftelijke vraag 5-10119
________ ________
Question n° 5-10118 du 18 octobre 2013 : (Question posée en néerlandais) Vraag nr. 5-10118 d.d. 18 oktober 2013 : (Vraag gesteld in het Nederlands)

Aux Pays-Bas, un quart des entreprises de télécommunications abusent des coordonnées téléphoniques et électroniques qu'elles doivent stocker pendant un an. Les entreprises concernées reconnaissent qu'elles utilisent aussi, par exemple à des fins de marketing, les données stockées. Celles-ci ne sont pas toujours détruites après l'année légale de conservation alors que c'est une obligation. C'est ce que révèle un rapport d'enquête des Pays-Bas de l'Agence telecom sur le respect de la loi concernant l'obligation de conservation de données de télécommunications. Selon cette enquête de l'Agence telecom, 24 % des fournisseurs reconnaissent qu'ils traitent les données à des fins autres que légales. On apprend aussi que 10 % des fournisseurs télécoms et d'accès internet ne détruisent pas les coordonnées téléphoniques et électroniques des clients après l'année obligatoire de conservation. Ce sont surtout les petits et moyens fournisseurs qui se rendent coupables de telles pratiques. Le système de sécurisation de ces entreprises n'est par ailleurs pas toujours en ordre. Notre pays a récemment adopté des dispositions similaires à celles qui sont en vigueur depuis 2009 aux Pays-Bas.

Mes questions au ministre sont dès lors les suivantes.

1) Comment le ministre réagit-il à cette enquête néerlandaise ? Peut-il indiquer si, dans notre pays, des entreprises de télécommunications peuvent utiliser ces données à des fins de marketing ? Dans la négative, quelles sanctions sont-elles prévues ? Une étude similaire et/ou des mesures de contrôle supplémentaires ne sont-elles pas nécessaires chez nous, d'autant plus que l'autorité néerlandaise a ordonné une étude complémentaire ? Le ministre peut-il donner des explications très détaillées ?

2) Qui vérifie dans notre pays si les entreprises de télécommunications détruisent effectivement les données après la conservation obligatoire durant un an de certaines coordonnées téléphoniques et électroniques ? Des abus ont-ils été constatés ? Dans l'affirmative, quels sont-ils ?

3) Qui vérifie dans notre pays si les entreprises de télécommunications n'abusent pas de l'obligation de conservation pour traiter les données à des fins autres que légales et donc pour leur usage propre ? Des abus ont-ils été constatés ? Dans l'affirmative, quels sont-ils ?

4) Qui vérifie si les divers fournisseurs d'accès et les entreprises de télécommunications sécurisent suffisamment les données qui doivent être conservées ? Le ministre peut-il expliquer dans le détail les exigences minimales et préciser concrètement qui exerce ce contrôle ?

 

Een kwart van de telecombedrijven in Nederland maakt misbruik van de bel- en mailgegevens die ze verplicht een jaar moeten opslaan. De betrokkenen erkennen dat ze opgeslagen data ook gebruiken voor marketingdoeleinden bijvoorbeeld. Ook worden de gegevens lang niet altijd vernietigd na dat verplichte jaar, terwijl dat wel moet. Dat blijkt uit een Nederlands onderzoeksrapport van het Agentschap telecom over het naleven van de wet betreffende de bewaarplicht van telecommunicatiegegevens. Uit dat onderzoek van het Agentschap telecom blijkt dat 24% van de aanbieders erkent de gegevens "louter voor andere dan wettelijke doelen te verwerken". Ook blijkt dat 10% van de telecom- en internetaanbieders de telefoon- en mailgegevens van de klanten niet vernietigt nadat ze verplicht een jaar bewaard zijn. Met name de kleine en middelgrote aanbieders maken zich daaraan schuldig. Deze bedrijven hebben ook hun beveiliging vaak niet goed op orde. Ons land keurde onlangs gelijkaardige bepalingen goed als die welke reeds sinds 2009 in Nederland in voege zijn.

Ik had dan ook volgende vragen voor de geachte minister:

1) Hoe reageert de minister op dit Nederlandse onderzoek en kan hij enerzijds aangeven of in ons land telecombedrijven deze gegevens mogen gebruiken voor marketingdoeleinden en zo neen, welke straffen daarvoor voorzien zijn? Is er bij ons geen behoefte aan een gelijkaardig onderzoek en/of bijkomende controlemaatregelen, te meer daar de Nederlandse overheid een bijkomend onderzoek heeft gelast? Kan de minister zeer gedetailleerd en uitvoerig toelichten?

2) Wie gaat in ons land na of de telecombedrijven geen misbruik maken van de vernietiging van de gegevens na de verplichte bewaring voor één jaar van bepaalde mail- en belgegevens? Werden misbruiken vastgesteld en zo ja, welke?

3) Wie gaat in ons land na of de telecombedrijven geen misbruik maken van de wettelijke bewaarplicht om de gegevens voor andere dan wettelijke doelen te verwerken en dus voor eigen gebruik? Werden misbruiken vastgesteld en zo ja, welke?

4) Wie gaat na of de diverse providers en telecombedrijven de verplicht te bewaren gegevens voldoende beveiligen? Kan de minister uitvoerig toelichten wat de minimumvereisten zijn alsook wie dit concreet controleert?

 
Réponse reçue le 29 novembre 2013 : Antwoord ontvangen op 29 november 2013 :

En réponse à ses questions, je suis en mesure de communiquer ce qui suit à l'honorable membre:

1. Concernant l'utilisation par des opérateurs de données à caractère personnel à des fins de marketing:

Conformément à l'article 122, § 3, de la loi du 13 juin 2005 relative aux communications électroniques par la loi ("LCE"), les opérateurs sont autorisés à utiliser des données à caractère personnel à des fins de marketing, en se conformant cependant aux conditions fixées par la loi. Ces conditions impliquent plus précisément ce qui suit:

1° L'opérateur informe l'abonné ou, le cas échéant, l'utilisateur final auquel se rapportent les données, avant d'obtenir le consentement de celui-ci pour le traitement :

a) des types de données de trafic traitées ;

b) des objectifs précis du traitement;

c) de la durée du traitement.

2° L'abonné ou, le cas échéant, l'utilisateur final, a préalablement au traitement, donné son consentement pour le traitement.

3° L'opérateur concerné offre gratuitement à ses abonnés ou ses utilisateurs finals la possibilité de retirer le consentement donné de manière simple.

4° Le traitement des données en question se limite aux actes et à la durée nécessaires pour fournir le service à données de trafic ou de localisation en question ou pour l'action de marketing en question.

Ces conditions sont d'application sous réserve des conditions complémentaires découlant de l'application de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Ceci implique concrètement que les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées, toutefois pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités de marketing (art. 4, § 1, 5°, de la loi du 8 décembre 1992).

De plus, l'article 122, LCE, § 5 stipule que les données à caractère personnel en question servant à des fins de marketing ne peuvent être traitées que par les personnes chargées par l'opérateur du marketing des services de communications électroniques propres. Le traitement est limité à ce qui est strictement nécessaire pour effectuer ces activités.

L'Institut belge des services postaux et de télécommunications (IBPT) est compétent pour le contrôle du respect de la LCE. Lorsque l’IBPT constate une infraction, il peut démarrer une procédure de mise en demeure. Cette procédure peut entraîner l'imposition d'une amende administrative pouvant s'élever à maximum 5 % du chiffre d’affaires du contrevenant.

Les données à conserver par les opérateurs dans le cadre de leur obligation de rétention de données, conformément à l'article 126 de ladite loi et son arrêté d'exécution du 19 septembre 2013, relèvent en matière d'utilisation à des fins de marketing, des mêmes restrictions d'utilisation que celles fixées à l'article 122, §§ 3 et 5).

2. Le pouvoir de contrôle pour les dispositions précitées relève, pour ce qui concerne la loi du 13 juin 2005 relative aux communications électroniques, de l'IBPT et pour ce qui concerne la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, de la Commission de la protection de la vie privée.

À notre connaissance, à ce jour, aucune plainte n'a encore été déposée à cet égard auprès de l'IBPT.

3. idem 2.

4. L'article 114, §§ 1er et 2, LCE, détermine tout d'abord quelles mesures de protection les opérateurs doivent prendre: Le § 1er de cet article prescrit que les opérateurs doivent prendre les mesures techniques et organisationnelles appropriées afin de bien maîtriser les risques pour la sécurité de leurs réseaux ou services. Ces mesures doivent conduire à un niveau de sécurité adapté aux risques se présentant, compte tenu de l'état de la technique. Les opérateurs doivent en particulier prendre des mesures pour prévenir ou limiter les conséquences des incidents de sécurité pour les utilisateurs et les réseaux interconnectés.

L'article 114 § 2 stipule que sans préjudice de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, les mesures prises par les opérateurs lorsqu'elles concernent des données à caractère personnel, visent pour le moins à :

 garantir que seules des personnes habilitées à agir à des fins légalement autorisées puissent avoir accès aux données à caractère personnel;

 protéger les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites; et

 assurer la mise en œuvre d’une politique de sécurité relative au traitement des données à caractère personnel.

L'obligation pour les opérateurs de prendre les mesures de sécurité nécessaires, pour les données à conserver obligatoirement, est également reprise à l'article 126, § 5 de la loi du 13 juin 2005 relative aux communications électroniques. Cette disposition prévoit les obligations suivantes pour les opérateurs:

1° garantir que les données conservées sont de la même qualité et sont soumises aux mêmes exigences de sécurité et de protection que les données sur le réseau;

2° veiller à ce que les données conservées fassent l'objet de mesures techniques et organisationnelles appropriées afin de les protéger contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelle, ou le stockage, le traitement, l'accès ou la divulgation non autorisés ou illicites;

3° garantir que l'accès aux données conservées n'est effectué que par un ou plusieurs membres de la Cellule de coordination de la Justice visée à l'article 2 de l'arrêté royal du 9 janvier 2003 déterminant les modalités de l'obligation de collaboration légale en cas de demandes judiciaires concernant les communications électroniques et par les agents et préposés de ces fournisseurs spécifiquement autorisés par ladite Cellule;

4° veiller à ce que les données conservées soient détruites lorsqu'est expiré le délai de conservation applicable à ces données.

Le Roi fixe, par arrêté délibéré en Conseil des ministres, sur proposition du ministre de la Justice et du ministre, et après avis de la Commission de la protection de la vie privée et de l'Institut, les mesures techniques et administratives que les fournisseurs de services et de réseaux visés au paragraphe 1er, alinéa 1er, doivent prendre en vue garantir la protection des données à caractère personnel conservées.

Les fournisseurs de services et réseaux visés au paragraphe 1er, alinéa 1er, sont considérés comme responsables du traitement de ces données au sens de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

Comme déjà dit précédemment, l'IBPT est compétent pour le contrôle du respect de la LCE et l'IBPT peut, après une procédure de mise en demeure, imposer une amende administrative de maximum 5 % du chiffre d’affaires du contrevenant.

De plus, la LCE prévoit pour les infractions aux articles 114 et 126 des dispositions pénales spéciales: l'article 145, § 1er LCE, autorise la juridiction pénale à punir les infractions à l’article 114, LCE, d'amendes de 50 euros à 50.000 euros; l'article 145, § 3ter, LCE, autorise la juridiction pénale à punir les infractions à l'article 126 d'amendes de 50 euros à 50.000 euros et de peines d'emprisonnement de six mois à trois ans ou d'une de ces peines.

La Commission de la protection de la vie privée a, dans le cadre de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel également un pouvoir de contrôle et peut imposer des mesures.

Als antwoord op haar vragen kan ik het geachte lid het volgende meedelen :

1. Wat betreft het gebruik door operatoren van persoonsgegevens voor marketing-doeleinden:

Het is de operatoren overeenkomstig artikel 122, § 3, van de wet van 13 juni 2005 betreffende de elektronische communicatie (“WEC”) toegestaan om persoonsgegevens te gebruiken voor marketing¬-doeleinden, evenwel overeenkomstig de door de wet gestelde voorwaarden. Deze voorwaarden houden meer precies het volgende in :

1° De operator stelt de abonnee of, in voorkomend geval, de eindgebruiker waarop de gegevens betrekking hebben, voorafgaand aan het verkrijgen van diens toestemming voor de verwerking, in kennis van :

a) de soorten verkeersgegevens die worden verwerkt;

b) de precieze doeleinden van de verwerking;

c) de duur van verwerking.

2° De abonnee of, in voorkomend geval, de eindgebruiker, heeft voorafgaand aan de verwerking zijn toestemming gegeven voor de verwerking.

3° De betrokken operator biedt zijn abonnees of eindgebruikers gratis de mogelijkheid om op eenvoudige wijze de gegeven toestemming in te trekken.

4° De verwerking van de betrokken gegevens blijft beperkt tot de handelingen en de duur die nodig zijn voor de levering van de betrokken dienst met verkeersgegevens of locatiegegevens of voor de marketingactie in kwestie.

Deze voorwaarden zijn van toepassing onverminderd de bijkomende voorwaarden die voortvloeien uit de toepassing van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Dit houdt o.m. concreet in dat de verwerking van de persoonsgegevens in een vorm die het mogelijk maakt om de betrokkene te identificeren, niet langer worden bewaard dan voor de marketingdoeleinden noodzakelijk is (art. 4, § 1, 5°, van de wet van 8 december 1992).

Daarenboven bepaalt artikel 122, WEC, § 5 dat de betreffende persoonsgegevens die dienen voor marketingdoeleinden alleen mogen worden verwerkt door personen die in opdracht van de operator belast zijn met de marketing van de eigen elektronische communicatiediensten. De verwerking is beperkt tot hetgeen strikt noodzakelijk is om die activiteiten te verrichten.

Het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT) is bevoegd voor de controle op de naleving van de WEC. Wanneer het BIPT een overtreding vaststelt kan het een procedure van ingebrekestelling opstarten. Deze procedure kan leiden tot het opleggen van een administratieve boete die maximaal 5 % van de omzet van de overtreder kan bedragen.

De gegevens die de operatoren moeten bewaren in het kader van hun data retentie verplichting overeenkomstig het artikel 126 van vernoemde wet en zijn uitvoeringsbesluit van 19 september 2013, vallen op het vlak van gebruik voor marke-ting onder dezelfde gebruiksbeperkingen die zijn vastgelegd in het artikel 122, §§ 3 en 5).

2. De controlebevoegdheid voor de hoger-vermelde bepalingen ligt voor wat de wet van 13 juni 2005 betreffende de elektronische communicatie betreft bij het BIPT en voor wat de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens betreft bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer.

Voor zover gekend werden bij het BIPT nog geen klachten hierover geregistreerd.

3. idem 2.

4. In eerste instantie bepaalt artikel 114, §§ 1 en 2, WEC, welke beveiligingsmaatregelen de operatoren moeten nemen : § 1 van dit artikel schrijft voor dat de operatoren de passende technische en organisatorische maatregelen moeten nemen om de risico's voor de veiligheid van hun netwerken of diensten goed te beheersen. Deze maatregelen moeten leiden tot een veiligheidsniveau dat is afgestemd op de risico's die zich voordoen, rekening houdend met de stand van de techniek. De operatoren moeten met name maatregelen nemen om de impact van veiligheidsincidenten op gebruikers en onderling verbonden netwerken zo laag mogelijk te houden.

Artikel 114 § 2 bepaalt dat onverminderd de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, de maatregelen die genomen worden door de operatoren wanneer het persoonsgegevens betreft, er moeten voor zorgen dat in ieder geval :

 wordt gewaarborgd dat alleen gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens;

 opgeslagen of verzonden persoonsgegevens worden beschermd tegen onbedoelde of onwettige vernietiging, onbedoeld verlies of wijziging, en niet-toegestane of onwettige opslag, verwerking, toegang of vrijgave; en

 een beveiligingsbeleid wordt ingevoerd met betrekking tot de verwerking van persoonsgegevens.

De verplichting voor operatoren om de nodige beveiligingsmaatregelen te nemen, voor de verplicht te bewaren gegevens , is eveneens opge¬nomen in het artikel 126, § 5, van de wet van 13 juni 2005 betreffende de elektronische communicatie. Deze bepaling voorziet in de volgende verplichtingen voor operatoren:

1° zij garanderen dat de bewaarde gegevens dezelfde kwaliteit hebben en onderworpen worden aan dezelfde beveiligings- en beschermingsmaatregelen als de gegevens in het netwerk;

2° zij zorgen ervoor dat de bewaarde gegevens worden onderworpen aan passende technische en organisatorische maatregelen om de gegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies of wijziging per ongeluk, niet-toegelaten of onrechtmatige opslag, verwerking, toegang of openbaarmaking;

3° zij garanderen dat de toegang tot de bewaarde gegevens enkel gebeurt door een of meer leden van de Coördinatiecel Justitie bedoeld in artikel 2 van het koninklijk besluit van 9 januari 2003 houdende de modaliteiten voor de wettelijke medewerkingsplicht bij gerechtelijke vorderingen met betrekking tot elektronische communicatie en door het personeel en de aangestelden van deze aanbieders die specifiek door deze cel gemachtigd zijn;

4° hij zorgt ervoor dat de gegevens na afloop van de bewaringstermijn die voor die gegevens geldt, worden vernietigd.

De Koning bepaalt, bij een besluit vastgesteld na overleg in de Ministerraad, op voorstel van de minister van Justitie en van de minister, en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en van het Instituut, de technische en administratieve maatregelen die de aanbieders van diensten en netwerken beoogd in paragraaf 1, eerste lid, moeten nemen teneinde de bescherming van de bewaarde persoonsgegevens te garanderen.

De diensten- en netwerkaanbieders bedoeld in paragraaf 1, eerste lid, worden beschouwd als verantwoordelijk voor de verwerking van deze gegevens in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

Zoals eerder gezegd is het BIPT bevoegd voor de controle op de naleving van de WEC en kan het BIPT na een procedure van ingebrekestelling een administratieve boete opleggen van maximaal 5 % van de omzet van de overtreder.

Bovendien voorziet de WEC voor overtredingen van de artikelen 114 en 126 in bijzondere strafbepalingen : artikel 145, § 1, WEC, laat de strafrechter toe om overtredingen van artikel 114, WEC, te bestraffen met geldboetes van 50 euro tot 50.000 euro; artikel 145, § 3ter, WEC laat de strafrechter toe om overtredingen van artikel 126 te bestraffen met geldboetes van 50 euro tot 50.000 euro en gevangenisstraffen van zes maanden tot drie jaar of met één van die straffen.

De Commissie voor de Bescherming van de Persoonlijke Levenssfeer heeft in het kader van de wet van 8 december 1992 tot bescherming van de persoonlijke levens-sfeer ten opzichte van de verwerking van persoonsgegevens eveneens een controlebevoegdheid en kan maatregelen opleggen.