SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2017-2018 Zitting 2017-2018
________________
15 juin 2018 15 juni 2018
________________
Question écrite n° 6-1905 Schriftelijke vraag nr. 6-1905

de Rik Daems (Open Vld)

van Rik Daems (Open Vld)

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique

aan de staatssecretaris voor Bestrijding van de sociale fraude, Privacy en Noordzee, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________________
Consommation de données mobiles - Dévoreurs de données - Consommation furtive de données - Droits du consommateur Mobiel dataverbruik - Datavreters - Stiekem dataverbruik - Consumentenrechten 
________________
communication mobile
téléphone mobile
fournisseur d'accès
données personnelles
protection de la vie privée
protection du consommateur
transmission de données
tarif des communications
mobiele communicatie
mobiele telefoon
provider
persoonlijke gegevens
eerbiediging van het privé-leven
bescherming van de consument
datatransmissie
communicatietarief
________ ________
15/6/2018Verzending vraag
(Einde van de antwoordtermijn: 19/7/2018)
20/7/2018Antwoord
15/6/2018Verzending vraag
(Einde van de antwoordtermijn: 19/7/2018)
20/7/2018Antwoord
________ ________
Aussi posée à : question écrite 6-1903
Aussi posée à : question écrite 6-1904
Aussi posée à : question écrite 6-1903
Aussi posée à : question écrite 6-1904
________ ________
Question n° 6-1905 du 15 juin 2018 : (Question posée en néerlandais) Vraag nr. 6-1905 d.d. 15 juni 2018 : (Vraag gesteld in het Nederlands)

Le régulateur australien a lancé une enquête sur Google parce que cette société recueillerait de grandes quantités de données sur des smartphones et autres appareils fonctionnant sous Android. Il s'agit entre autres de données détaillées de localisation. Pour cette enquête, la Commission australienne de la concurrence et des consommateurs (ACCC-Australian Competition and Consumer Commission) collabore avec des experts de l'entreprise Oracle.

Il ressortirait de cette enquête que Google collecte chaque mois environ 1Gb de données d'utilisateur par usager sur les appareils fonctionnant sous Android. Cela soulève de graves questions, pas seulement pour des raisons liées au respect de la vie privée, mais également du point de vue du consommateur qu'est l'utilisateur. Sur base annuelle, Google utilise en effet pour 580 millions de dollars de données d'utilisateur en Australie. Il en coûte 3,6 dollars australiens par mois à chaque utilisateur et ce, à l'insu de celui ci puisque c'est subrepticement que Google collecte ces données sur les appareils.

Les données sont par la suite transmises aux annonceurs qui peuvent alors vérifier si leurs annonces publicitaires ont amené l'utilisateur à acheter un produit ou à se rendre dans un magasin. Selon les experts d'Oracle qui ont pu décoder les messages, ces informations ont ainsi été envoyées en toute discrétion via des paquets cryptés au départ des appareils mobiles.

Les données ont même pu être transmises alors que Google Maps n'était pas allumé ou que le mode avion était activé. Réagissant à ces premiers résultats d'enquête, l'ACCC a indiqué que ces pratiques soulèvent de très graves questions sur le plan de la vie privée et des droits des consommateurs ainsi qu'en matière de concurrence.

J'ai le sentiment que Google n'est certainement pas la seule société qui « absorbe » des données à son profit grâce à toutes sortes d'applications.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux ci sont définis dans la Note cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016 2019, et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique et la protection de la vie privée font partie des priorités fixées. Cette question concerne dès lors une compétence régionale transversale, les Régions et les Communauté intervenant surtout dans le volet préventif et en matière d'enseignement.

Je souhaite dès lors poser les questions suivantes :

1) Que pensez vous de la violation des droits des consommateurs par ces « dévoreurs de données » sournois, qui, du moins en ce qui concerne Google en Australie, engendre pour l'utilisateur une surconsommation pouvant aller jusqu'à 1 Gb par mois ? Pensez vous qu'une enquête similaire est également indiquée dans notre pays ? Disposez vous de plaintes et / ou d'indications selon lesquelles Google collecterait également ce genre de données dans notre pays, sur les appareils fonctionnant sous Android ? Pouvez vous indiquer de manière détaillée quelles applications absorbent la plupart des données qui sont ensuite facturées à l'utilisateur comme s'il les avait lui-même consommées, sans que celui ci ait donné son autorisation pour ce faire ?

2) Cette matière relève-t-elle de l'Institut belge des services postaux et des télécommunications (IBPT) ? Pouvez vous expliquer de manière détaillée si des enquêtes sont prévues ? Avez vous déjà reçu des plaintes sur ce genre d'applications, dénonçant une consommation non souhaitée de données à charge du consommateur ?

3) Ne conviendrait il pas de lancer une vaste enquête sur les dévoreurs de données agissant sur plusieurs appareils mobiles afin de savoir précisément quelles applications collectent quelles données (sur base annuelle ou mensuelle) de quels consommateurs et quels plateformes et logiciels sont concernés ? Cette enquête devrait – comme en Australie – évaluer sur base mensuelle l'impact sur la consommation de données des consommateurs. Pouvez vous fournir des précisions concrètes en ce qui concerne le contenu et le calendrier de cette enquête ? Dans la négative, pourquoi ?

4) Pouvez vous me dire de façon très précise comment la question est abordée sous l'angle de la vie privée, étant donné qu'il s'agit d'une collecte de données d'utilisateurs à grande échelle, systématique et difficilement traçable qui a été transmise de manière cryptée ? Avez-vous déjà reçu des plaintes similaires dans notre pays ? Avez-vous connaissance d'une collecte de données de ce type de la part de Google sur des appareils fonctionnant sous Android dans notre pays ? Le Règlement général sur la protection des données (RGPD) qui vient d'entrer en vigueur peut il y remédier ?

5) Comment compte-t-on combattre ces « dévoreurs de données » ? Pensez vous comme moi qu'à côté de l'autorisation claire à obtenir de la part du consommateur, il faut également imputer les coûts de cette consommation de données non pas à l'utilisateur mais au « dévoreur de données » ? Pouvez-vous fournir des précisions ? De quelles sanctions ces « dévoreurs de données » sont-ils actuellement passibles et celles ci suffisent elles ?

 

De Australische regulator heeft een onderzoek opgestart over Google omdat dit bedrijf grote hoeveelheden data zou oogsten vanuit smartphones en andere toestellen die draaien op Android. Het betreft onder meer gedetailleerde locatiedata. De Australian Competition and Consumer Commission (ACCC) werkt voor dit onderzoek samen met experten van Oracle.

Uit dit onderzoek zou blijken dat Google op maandbasis vanuit de toestellen die draaien op Android rond 1 Gb aan gebruikersdata ophaalt per gebruiker. Niet alleen omwille van de privacy roept dit ernstige vragen op, maar ook vanuit het standpunt van de gebruiker als consument. Op jaarbasis gebruikt Google immers, wat Australië betreft, voor 580 miljoen dollar aan gebruikersdata. Dit kost elke gebruiker 3,6 Australische dollar per maand en dit terwijl de gebruiker zich hiervan niet bewust is, omdat Google deze data onopgemerkt uit de toestellen haalt.

De data worden vervolgens doorgeschoven naar de adverteerders die aldus kunnen nagaan of hun advertenties hebben geleid tot een aankoop van een product of een winkelbezoek. Deze informatie werd op die manier onopgemerkt verzonden via geëncrypteerde pakketjes vanuit de mobiele toestellen, aldus de experts van Oracle die de boodschappen konden ontcijferen.

De data werden zelfs verzonden wanneer Google Maps niet aanstond of de vliegtuigmodus geactiveerd was. Het ACCC gaf in een reactie op deze eerste onderzoeksresultaten aan dat dit zeer ernstige vragen oproept op het vlak van privacy en consumentenrechten alsook inzake mededing.

Mijn aanvoelen is dat Google zeker niet het enige bedrijf is dat via allerhande apps en voor eigen gewin als " dataslurper " actief is.

Wat betreft het transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016 2019, en werden besproken tijdens een Interministeriële Conferentie waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit en de bescherming van de privacy. Het betreft aldus een transversale aangelegenheid met de Gewesten, waarbij de rol van de Gewesten en de Gemeenschappen vooral ligt in het preventieve aspect en het onderwijs.

Ik heb dan ook volgende vragen :

1) Hoe reageert u op de schending van de consumentenrechten door deze geniepige " datavreters " die alvast wat Google in Australië betreft, tot 1 Gb per maand aan extra verbruik kosten aan de consument ? Meent u dat een gelijkaardig onderzoek ook in ons land is aangewezen ? Beschikt u over bepaalde klachten en/of indicaties dat Google ook in ons land gelijkaardige data verzamelt van de toestellen die draaien op Android ? Kunt u uitvoerig toelichten welke apps de meeste data opslorpen en die de consument als eigen gebruik worden aangerekend zonder dat die daarvoor zijn expliciete toestemming heeft gegeven ?

2) Is dit een aangelegenheid voor het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT) ? Kunt uitvoerig toelichten of er eventuele onderzoeken gepland zijn ? Hebt u over dit soort applicaties reeds klachten ontvangen over ongewenst dataverbruik ten laste van de gebruiker ?

3) Is het niet aangewezen om een breed onderzoek te starten over de datavreters die actief zijn op de diverse mobiele toestellen om een duidelijk beeld te krijgen van welke apps welke data opvragen (op jaar of maandbasis) van welke gebruikers en welke platformen of software hierbij geviseerd worden ? Dit onderzoek - zoals dat in Australië is gebeurd - zou een beeld moeten geven van de impact op het dataverbruik van de consumenten op maandbasis. Kunt u zeer concreet de inhoud en de tijdschema van dit onderzoek toelichten ? Zo neen, waarom niet ?

4) Kunt u zeer duidelijk meedelen hoe dit wordt benaderd vanuit het aspect privacy aangezien het hier gaat om een grootschalige, systematische en moeilijk traceerbare opvraging van gebruikersdata die geencrypteerd werd doorgezonden ? Hebt u reeds gelijkaardige klachten ontvangen in ons land ? Hebt u weet van een gelijkaardige " datagathering " vanwege Google op Android-toestellen in ons land ? Kan de onlangs in werking getreden General Data Protection Regulation (GDPR) hieraan tegemoet komen ?

5) Hoe gaat men deze " dataslurpers " aanpakken ? Bent u het met me eens dat naast een duidelijke toestemming vanwege de consument ook de kosten van dit dataverbruik ten laste moeten liggen van de " dataslurper " en niet van de gebruiker ? Kunt u dit toelichten ? Welke sancties riskeren deze " dataslurpers " momenteel en volstaan deze ?

 
Réponse reçue le 20 juillet 2018 : Antwoord ontvangen op 20 juli 2018 :

Les autres questions relevant de la compétence des ministres des Télécommunications et des Affaires économiques, je répondrai à la question 4) et à la question 5) en partie.

4) & 5) On peut considérer que ces pratiques de Google constituent des traitements ultérieur de données à caractère personnel. Le règlement général de l’Union européenne relatif à la protection des données à caractère personnel (ci-après RGPD) dispose qu’un traitement ultérieur de données soit peut être fondé sur le consentement de la personne concernée – donc les utilisateurs des appareils Android – soit doit être compatible avec le traitement initial.

Je ne dispose pas de suffisamment d’éléments concernant cette enquête menée par l’Australian Competition Consumer Commission mais supposons en effet que le consentement n’a pas été obtenu ou n’est pas obtenu dans les conditions déterminées par l’article 7 RGPD. Dans ce cas le RGPD impose des paramètres spécifiques pour déterminer si le traitement ultérieur est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, dont :

– l'existence éventuelle d'un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

– le contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

– les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

– l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

En tout cas, le RGPD est très clair sur ce point : avant de pouvoir traiter leurs données à caractère personnel les utilisateurs des appareils Android doivent être informés par les annonceurs de toute une série d’informations (leur identité et coordonnées, les catégories de données qui sont traitées, les finalités du traitement ultérieur, …). En cas de non-respect de ces droits les autorités de contrôle compétentes peuvent infliger des sanctions administratives telles qu’une limitation temporaire ou définitive du traitement ou des sanctions pécuniaires.

Aangezien de andere vragen vallen onder de bevoegdheid van de ministers van Telecommunicatie en Economische Zaken, bied ik een antwoord op vraag 4) en gedeeltelijk vraag 5).

4) & 5) We kunnen beschouwen dat die praktijken van Google latere verwerking van persoonsgegevens inhouden. De algemene verordening van de Europese Unie inzake de bescherming van persoonsgegevens (hierna GDPR), voorziet dat een latere verwerking van gegevens ofwel gebaseerd kan zijn op de toestemming van de betrokken persoon – dus de gebruikers van Android toestellen – ofwel compatibel moet zijn met de oorspronkelijke verwerking.

Ik beschik niet over voldoende elementen betreffende dit onderzoek door de Australian Competition Consumer Commission, maar laten we veronderstellen dat de toestemming niet verkregen werd of niet verkregen werd onder de vastgestelde voorwaarden door artikel 7 GDPR. Dan legt de GDPR specifieke parameters op om te bepalen of de latere verwerking compatibel is met de doeleinden waarvoor de persoonsgegevens oorspronkelijk verzameld werden, zijnde :

– het eventueel bestaan van een link tussen de doeleinden waarvoor de persoonsgegevens verzameld werden en de doeleinden van de latere geplande verwerking ;

– de context waarin de persoonsgegevens verzameld werden, in het bijzonder betreffende de relatie tussen de betrokken personen en de verwerkingsverantwoordelijke ;

– de mogelijke gevolgen van de latere geplande verwerking voor de betrokken personen ;

– het bestaan van passende waarborgen die de becijfering of pseudonimisering kunnen inhouden.

In ieder geval is de GDPR zeer duidelijk over dit punt : vooraleer de persoonsgegevens verwerkt kunnen worden moeten de adverteerders heel wat informatie meedelen aan de gebruikers van Android toestellen (hun identiteit en contactgegevens, de categorieën gegevens die verwerkt worden, de doeleinden van de latere verwerking, …). Bij niet-naleving van die rechten kunnen de bevoegde toezichthoudende overheden administratieve sancties opleggen zoals een tijdelijke of definitieve beperking van de verwerking of geldelijke sancties.