L’autorité européenne de protection des données critique le filtrage

Le 9 juin 2010

Le contrôleur européen des données personnelles explique dans un avis que la pédo-pornographie ne saurait être utilisée comme argument principal pour organiser le filtrage des sites Internet.

Le 10 mai dernier, le Contrôleur européen de la protection des données (CEPD) a rendu son avis (PDF) sur la proposition de directive relative “à l’exploitation et aux abus sexuels concernant des enfants et à la pédo-pornographie”.

Après voir rappelé qu’il ne remet pas en cause la nécessité de mettre en place “des mesures adéquates pour protéger les enfants contre de tels abus”, il émet de vives critiques sur le projet de filtrer des sites Internet. Notamment sur son impact “sur les droits fondamentaux à la vie privée et à la protection des données”. Tout en soulignant que cette position n’est pas spécifique à la lutte contre la pornographie enfantine en ligne, “mais à toute initiative visant à la collaboration du secteur privé à des fins de répression”.

Le blocage des sites Internet selon la directive

Pour rappel, la proposition de directive, de la commissaire européenne Cecilia Malmström (Affaires Intérieures), prévoit le “blocage de l’accès aux sites internet contenant de la pédo-pornographie”.

L’article 21 impose ainsi aux États membres de prendre “les mesures nécessaires pour obtenir le blocage de l’accès par les internautes sur leur territoire aux pages Internet contenant ou diffusant de la pédo-pornographie”. De manière assez floue, il indique que “des garanties appropriées sont prévues, notamment pour faire en sorte que le blocage de l’accès soit limité au strict nécessaire”.

Pour mettre en place le blocage, il propose deux mécanismes: un système placé sous l’ordre d’autorités judiciaires ou policières compétentes ou bien des actions de la part des fournisseurs d’accès Internet (FAI) sur une base volontaire de code de bonne conduite et de lignes directrices.

Autorité judiciaire ou policière a minima

La critique du contrôleur est sévère. A l’examen de ce texte, il s’interroge sur les critères et conditions conduisant à une décision de blocage. Il indique que : “s’il peut soutenir des actions menées par la police ou les autorités judiciaires dans un cadre juridique bien défini, il a de sérieux doutes quant à la sécurité juridique de tout blocage opéré par le secteur privé”.En clair : le blocage des sites peut être envisagé sous le contrôle d’une autorité judiciaire ou policière. Pas sous celui des FAI ou d’une seule autorité indépendante.

A noter qu’en France, dans le cadre de la Loppsi, les députés ont adopté en janvier dernier un amendement du député UMP Lionel Tardy qui impose l’intervention du juge à la notification par l’autorité administrative aux FAI de la liste noire des sites à bloquer. Mais il y a quelques jours, en Commission des Lois du Sénat, le sénateur et rapporteur UMP Jean-Patrick Courtois a déposé un amendement visant à supprimer l’accord préalable du juge.

Conséquences sur la protection des données à caractère personnel

Le CEPD se dit aussi préoccupé par la surveillance des réseaux. “La surveillance et le blocage peuvent impliquer différentes activités telles que scruter Internet, identifier les sites illicites ou suspects et bloquer l’accès aux utilisateurs finaux, mais aussi la surveillance du comportement en ligne des utilisateurs finaux qui tentent d’accéder ou de télécharger de tels contenus”.Et, selon le contrôleur, si chacune de ces pratiques implique la mise en place d’outils au degré d’intrusion différent, toutes ont “des conséquences sur la protection des données, comme les données à caractère personnel”. Et ceci vis-à-vis de toutes les parties concernées : les victimes, les témoins, les utilisateurs comme les fournisseurs de contenu.

Aussi, pour lui, cela pose la question de la légalité et de la compatibilité du traitement et de l’utilisation des données à caractère personnel en vertu des articles 6.1.b et 7 de la directive sur la protection des données. Selon le premier, les données à caractère personnel “doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités”.

Le second liste les seuls cas où le traitement de ces données est autorisé. Par exemple s’il est nécessaire à l’exécution d’une mission d’intérêt public ou au respect d’une obligation légale à laquelle le responsable du traitement est soumis.

Une même position quelque soit le contexte

A de nombreuses reprises, le CEPD rappelle avoir déjà émis dans de précédents avis des préoccupations similaires concernant le blocage et la surveillance des individus par les acteurs du secteur privé. Par exemple, par les FAI ou les titulaires de droits d’auteur.“Les questions de protection des données ont déjà été analysés par le CEPD dans différents contextes, en particulier celles liées à la lutte contre les contenus illicites” Et de citer un document de travail du Groupe 29 datant de 2005 sur les questions de protection des données liées aux droits de propriété intellectuelle. Un autre du 23 juin 2008 (PDF) sur la proposition d’un programme visant à la protection des enfants utilisant Internet et les autres technologies de communication. Et enfin celui du 22 février 2010relatif aux négociations de l’ACTA.

Concernant ce dernier, le contrôleur indique : “s’il ne fait pas de doute que la propriété intellectuelle est importante pour la société et doit être protégée, elle ne doit cependant pas être placée au-dessus du droit fondamental à la vie privée et à la protection des données.”

Sur le même sujet :
- Loppsi : Le Sénat opte pour un filtrage sans juge
Filtrage : Instrumentalisation de la pédo-pornographie en Europe

Laisser un commentaire

Derniers articles publiés