Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-10281

de Yoeri Vastersavendts (Open Vld) du 4 novembre 2013

au secrétaire d'État à la Fonction publique et à la Modernisation des Services publics, adjoint au ministre des Finances et du Développement durable, chargé de la Fonction publique

Internet - Législation sur les cookies - Supercookies - « Device fingerprinting » ou empreinte numérique - Vie privée - Union européenne

publicité électronique non sollicitée
virus informatique
protection de la vie privée
protection des données

Chronologie

4/11/2013Envoi question
2/1/2014Réponse

Question n° 5-10281 du 4 novembre 2013 : (Question posée en néerlandais)

Selon la législation belge sur les cookies, basée sur une directive européenne, l'internaute doit explicitement donner son autorisation pour l'installation de cookies.

Il se prépare des supercookies vraiment nouveaux qui peuvent très gravement porter atteinte à la vie privée. Il s'agit de supercookies qui utilisent la technique de l'empreinte numérique.

Chaque ordinateur, téléphone intelligent ou ordinateur de poche possède un code unique, « l'empreinte numérique ». Lorsque des annonceurs commencent à utiliser ce code au lieu des cookies comme moyen d'identification, tout contrôle est absent et le législateur belge est mis hors-jeu. Rien n'est stocké localement et des sociétés étrangères peuvent surveiller sans limite ce que font nos concitoyens sur internet. Elles peuvent le faire pour chaque appareil et chaque individu. Il est alors impossible pour la Commission de la protection de la vie privée et le législateur de savoir quelles sont les informations collectées par une société. Je fais référence à ce sujet à ma précédente question écrite 5-7758 du 16 janvier 2013, relative aux supercookies, à laquelle il n'a pas encore été répondu.

La technique de l'empreinte numérique n'est plus un lointain et beau projet. Une étude récente de la KUL a déjà décelé que 145 des dix mille sites internet les plus visités utilisent cette technique.

J'aurais dès lors souhaité poser les questions suivantes à ce sujet.

1) Comment le secrétaire d'État réagit-il à l'étude qui démontre que 145 des dix milles sites internet les plus visités utilisent déjà la technique de l'empreinte numérique ?

2) Les services du secrétaire d'État ou la Commission de la protection de la vie privée ont-ils déjà reçu de la part de citoyens ou d'entreprises des questions et/ou des plaintes à ce sujet ? Si oui, peut-il apporter des explications ?

3) Les services du secrétaire d'État ou la Commission de la protection de la vie privée ont-ils déjà trouvé des sociétés belges qui utilisent cette technique ? Si oui, peut-il apporter des explications et indiquer le nombre des entreprises et/ou des utilisateurs potentiellement touchés ?

3) Le secrétaire d'État est-il d'accord avec moi pour dire que les gestionnaires de domaines qui utilisent cette technique de l'empreinte numérique violent la législation sur la protection de la vie privée et celle sur les cookies et portent donc très gravement atteinte à la vie privée ? Si oui, peut-il expliquer son point de vue et indiquer s'il est disposé à faire examiner cette situation par les instances nationales ou autres ?Est-il disposé, le cas échéant, à lancer une procédure d'infraction contre les gestionnaires de domaines qui utilisent de tels cookies ? Peut-il apporter des explications très détaillées ?

4) Le secrétaire d'État est-il d'accord avec le point de vue selon lequel cette technique de l'empreinte numérique va beaucoup plus loin que les cookies normaux et se comporte comme une sorte de virus ou de logiciel malveillant ? Dans la négative, pour quelle raison ?

5) N'est-il pas question avec cette technique de l'empreinte numérique d'une « violation de la paix informatique », par analogie avec la violation de domicile ? Son utilisation ne doit-elle pas être interdite en tant que telle ? Dans la négative, pour quelle raison ?

6) Le secrétaire d'État est-il disposé à soumettre ce problème au niveau européen ? Si oui, peut-il apporter des explications quant au lieu, au contenu et au calendrier ? Si non, pour quelle raison ?

Réponse reçue le 2 janvier 2014 :

1) Mon administration Fedict a bien connaissance de l’article paru le 11 octobre 2013 dans Ars Technica et qui aborde l’étude de la KU Leuven. Il faut noter que 145 sites web seulement sur un total de 10.000 utilisent cette technique, ce qui représente un pourcentage très faible. 

2) Jusqu'à présent, Fedict n'a reçu aucune question ni aucune plainte en la matière de la part de citoyens ou d'entreprises. Nous n'avons pas non plus connaissance de la réception de questions ou de plaintes en la matière par la Commission de la protection de la vie privée.  

3) Fedict ne connaît aucune entreprise belge qui utiliserait cette technique. 

4) Selon Fedict, il est à l'heure actuelle prématuré de réagir à ces techniques d'"empreinte numérique", car nous ne connaissons pas encore précisément leur fonctionnement et ne savons donc pas s'il peut être question d'une violation de la législation sur la protection de la vie privée. En fonction des paramètres utilisés pour l’ « empreinte », chaque modification d'un de ces paramètres engendrerait une nouvelle identification qui ne peut pas être rattachée à l'ancienne « empreinte ». Il est en outre fort possible que différents utilisateurs génèrent, sur un même appareil, une « empreinte numérique » identique, ce qui limiterait fortement l'intérêt de suivre les utilisateurs. 

5) Fedict ne pense pas que cette "technique de l'empreinte numérique" aille beaucoup plus loin que les cookies normaux et se comporte comme une sorte de virus ou de logiciel malveillant. Cette technique (l'empreinte numérique) est déjà utilisée depuis 2010 dans le logiciel Flash Player d'Adobe. Pourtant, 3 ans plus tard, son utilisation en tant que remplacement des cookies reste très limitée. Nous pouvons en déduire que les cookies sont beaucoup plus efficaces pour l'identification d'utilisateurs individuels et beaucoup moins sujets à des adaptations de paramètres système/machine sur lesquels l’ « empreinte numérique » serait basée. 

6) Vu les informations limitées que nous avons trouvées sur cette technique, il serait prématuré d'établir un jugement formel quant aux implications juridiques de cette technique. Étant donné que, sur la base des informations disponibles, aucune information n'est placée sur l'ordinateur, on peut difficilement parler de « violation de l’ordinateur ». Fedict est convaincu que si l'utilisation de cette technique devait être beaucoup plus étendue, il y aurait une réaction visant à développer des logiciels pour, par exemple, sauvegarder le caractère unique de l' « appareil » (par exemple, par de petites adaptations ou via une protection des paramètres qui sont généralement utilisés par cette technique). 

7) Il n’est pas opportun pour l’instant de soumettre ce problème au niveau européen. L'évolution limitée de l'utilisation de cette technique au cours des 3 dernières années reflète son inefficacité.

J’ai demandé à mon administration Fedict de suivre cette évolution de très près. Le cas échéant, elle pourra proposer des mesures adéquates.