25/11/16 à 13:20 - Mise à jour à 13:43

La Commission vie privée réagit: "Toute association avec quelque donnée de client que ce soit n'est absolument pas acceptable"

Suite au débat sur les données massives (big data) chez Proximus, Matthias Dobbelare-Welvaert de LesJuristes avait qualifié la Commission vie privée d'institut désuet. La Commission rejette à présent cette affirmation et nuance le fait d'avoir pris sa décision sur les big data en quelques heures.

La Commission vie privée réagit: "Toute association avec quelque donnée de client que ce soit n'est absolument pas acceptable"

© iStock

Cher Monsieur Dobbelaere, Maître,

Vos critiques à propos de notre prise de position dans l'affaire des big data chez Proximus et, plus largement, au sujet du fonctionnement général de la Commission vie privée, ne sont pas tombées dans l'oreille d'un sourd. Permettez-nous donc de vous donner quelques explications. Tout le monde - vous et les lecteurs inclus - a en effet droit à un compte-rendu correct de ce que vous prétendez.

La problématique des big data est à l'agenda depuis quelque années déjà. Des entretiens, mais aussi des débats approfondis sont menés avec diverses parties prenantes. Le fait que cela se passe parfois plutôt sous le giron de la WP29 (qui regroupe les commissions vie privée européennes) et de l'EDPS (le contrôleur européen), est pour nous un choix conscient: nous accordons la préférence à un avis commun plutôt que de rester sur notre îlot belge. Cela a aussi été notre politique dans l'affaire des cookies (mouchards). Plutôt que d'adopter un comportement "attentiste", nous voulons "régler les choses". Cette aspiration à une uniformité est du reste propre à la dimension transfrontalière des nouveaux phénomènes numériques.

Depuis 2010, la Commission vie privée tente de suivre la problématique big data, qui fut abordée lors du congrès sur la recherche scientifique et le respect de la vie privée ("from obstruction to construction") organisé en son temps. Une formation a également été consacrée en interne au phénomène en 2014. Il est en effet question de télécommunications, mais aussi de recherche en matière de santé, d'utilisation de datamining dans des affaires fiscales, de recherche policière et du secteur financier, où c'est surtout l'ouverture des "conditions générales" quant à une réutilisation libre des données des clients qui nous préoccupe.

Dans les débats sur la GDPR (la nouvelle loi européenne sur le respect de la vie privée), la Commission vie privée a travaillé d'arrache-pied et est montée aux barricades pour défendre le principe "désuet" de la finalité et des limites en matière de réutilisation des données (débats sur l'article 6.4. GDPR).

L'approche des opérateurs télécoms, nous la suivons maintenant depuis quelque vingt ans: il y a eu des entretiens avec divers acteurs, mais aussi avec les commanditaires et les utilisateurs. Jusqu'à présent, il s'agissait de projets d'essai, mais qui nous ont permis quand même d'acquérir de la connaissance par le dialogue et d'échanger des expériences et des visions. Nous avons nous-mêmes pris des initiatives, mais nous avons aussi reçu des questions directes à propos des projets envisagés. Même si nous n'avons pas le pouvoir d'"habiliter" ou d'approuver ce genre d'initiatives, nous avons quand même observé que les entreprises responsables nous écoutent et tentent de s'accommoder de nos conseils.

Le dernier entretien entre la Commission vie privée et Proximus à propos du projet de proposer des rapportages commerciaux sur mesure sur base de données d'emplacement anonymes, date du 12 juillet de cette année. Le point de vue de la Commission vie privée n'a donc pas été adopté en quelques heures seulement.

Au niveau du contenu, ce point de vue est clair et juridiquement correct. L'article 123 de la Loi sur la Communication électronique permet aux opérateurs de réseaux mobiles (Proximus ou autres) notamment de traiter les données d'emplacement concernant un abonné ou un utilisateur final, si les données d'emplacement en question sont rendues anonymes.

Des explications techniques que Proximus a données durant l'entretien, il est apparu que les données d'emplacement individuelles que l'entreprise utilise comme base des rapportages, sont effectivement rendues anonymes, où même les identifiants techniques des appareils mobiles individuels sont cryptées heure après heure. Toute association avec quelque donnée de client que ce soit, au niveau d'une analyse ou d'un rapportage, n'est absolument pas acceptable pour la Commission vie privée.

En outre, l'on posa comme condition à la mise en oeuvre de modèles de mobilité sur base de gisements de données massives rendues anonymes qu'au niveau de la donnée souche d'identification de ce genre de modèles, l'on ne pouvait travailler qu'avec suffisamment de données groupées. Le travail avec des données d'emplacement individuelles, même détachées de toute donnée client et de l'identifiant technique, n'a donc pas été accepté pour des raisons de sécurité par la Commission vie privée.

Proximus s'est engagé à ne travailler qu'avec des données d'emplacement groupées de 30 utilisateurs finaux mobiles au minimum. Dans le rapportage final, il y a en outre encore une extrapolation sur base notamment de la part de marché de Proximus par rapport à celles des autres opérateurs.

En tant que Commission vie privée, nous pensons donc avoir été plus que prudents sur base d'une solide vision technique des traitements proposés. Nous n'avons pas uniquement pris en compte l'esprit de la loi, mais aussi tous les principes utiles en matière de recherche statistique (anonymisation primaire, agrégation et extrapolation), en combinaison avec le conseil de n'exploiter dans aucune phase le processus des données de clients sous-jacentes.

Par la présente, monsieur Dobbelaere, vous disposez à présent des informations nécessaires qui devraient vous permettre de vous faire un jugement en toute connaissance de cause. Nous nous réjouissons de votre implication au niveau de la réflexion. Nous sommes toujours ouverts au dialogue en vue d'aider à rechercher des solutions correctes.

Veuillez agréer l'expression de nos salutations distinguées.

Willem Debeuckelaere, Président CPVP

Gert Vermeulen, Commissaire CPVP

Frank De Smet, Commissaire CPVP

Nos partenaires