Protection des données et droits des consommateurs (débat) 
Le Président
(PL) L'ordre du jour appelle la déclaration de la Commission sur la protection des données et les droits des consommateurs.
Franco Frattini
Vice-président de la Commission. - (EN) Monsieur le Président, j'aimerais commencer par signaler que la directive 95/46/CE (la "directive sur la protection des données") s'applique aux responsables du traitement de données établis dans la Communauté. Elle s'applique également aux responsables du traitement qui ne sont pas établis sur le territoire d'un État membre mais qui ont recours à des moyens situés sur le territoire d'un État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté.
La directive confère des droits à toutes les personnes physiques, quelle que soit leur nationalité ou leur résidence, qu'elles agissent ou non en qualité de consommateurs. Elle comporte des dispositions substantielles imposant des obligations aux responsables du traitement de données et reconnaissant les droits des personnes physiques. Elle prévoit également des sanctions et des recours appropriés en cas de violation de ces droits et créé des mécanismes destinés à en assurer l'efficacité.
Nous suivons de près les progrès technologiques et les défis connexes, notamment ceux qui sont liés à la protection de la vie privée et des données à caractère personnel. En ce qui concerne la coopération transatlantique, nous entretenons des contacts réguliers avec les autorités américaines compétentes en matière de sécurité - le ministère du commerce et la commission fédérale du commerce -, dans le cadre desquels nous abordons les questions relatives à la protection des données à caractère personnel. Les problèmes posés par les nouvelles technologies et leur déploiement dans le monde entier sont également examinés dans ce contexte.
Dans ce cas particulier, qui concerne la fusion entre Google et DoubleClick, la Commission étudie encore le dossier afin d'établir si l'opération envisagée est compatible avec le règlement 139/2004/CE (le "règlement sur les concentrations"). Nous adopterons une décision sous peu. On peut tout de même d'ores et déjà dire que la Commission a procédé à une analyse approfondie des questions économiques soulevées par l'opération envisagée afin de déterminer si elle est compatible avec les règles du marché commun.
Les entreprises sont tenues de se conformer aux actes législatifs nationaux portant transposition de la directive sur la protection des données, tandis que les autorités nationales compétentes en matière de protection des données sont chargées de veiller au respect de ces actes législatifs par les entités qui traitent des données à caractère personnel sur leur territoire.
Une fusion entre différentes entités n'exonère pas les parties à la fusion des obligations qui leur incombent en vertu des principes nationaux en matière de protection des données. En effet, toute décision que la Commission peut adopter en faveur d'une fusion ne préjuge pas des obligations imposées aux parties par la législation communautaire sur la protection de la vie privée au regard du traitement des données à caractère personnel.
Indépendamment de l'approbation de la fusion, la nouvelle entité devra respecter, dans le cadre de ses activités courantes, les droits fondamentaux reconnus par tous les instruments applicables, y compris ceux qui concernent la protection des données et de la vie privée. Les autorités nationales compétentes en matière de protection des données sont donc chargées de veiller au respect des dispositions applicables et, le cas échéant, de prendre les mesures qui s'imposent pour les faire respecter.
Manfred Weber
au nom du groupe PPE-DE. - (DE) Monsieur le Président, Monsieur le Vice-président de la Commission, Mesdames et Messieurs les députés, l'Internet est d'une aide précieuse. Aucun d'entre nous ne pourrait imaginer travailler aujourd'hui sans cette nouvelle technologie, qui permet également de réaliser des échanges des données d'une ampleur prodigieuse. Rien n'est parfait cependant, et les imperfections apparaissent clairement lorsque des milliards de fichiers sont stockés sur une longue période.
En ce qui concerne le cas qui nous occupe, le Commissaire Frattini a précisé que le cadre juridique de l'Union européenne devait être activé pour examiner la fusion entre Google et DoubleClick. Nous devons attendre les résultats de cet examen pour en tirer ensuite nos conclusions politiques.
Ceci soulève toutefois une question fondamentale, à savoir la question de savoir comment assurer la protection des données sur l'Internet car, qu'elles soient grandes ou petites, les entreprises utilisatrices ne sont pas indifférentes à la façon dont leurs données sont protégées. Il n'existe pas de réponses simples, puisqu'il y a au cœur de ce problème la question de savoir si une adresse IP constitue une information personnelle. Si c'est le cas pour les fournisseurs qui attribuent des adresses statiques, l'adresse IP ne révèle pas automatiquement l'identité de l'utilisateur avec une multitude d'autres fournisseurs. Nous estimons qu'il y a bel et bien une perte nette de protection des données, puisque les données collectées peuvent même être divulguées à des tiers.
Il faut toujours établir si des règles juridiques s'imposent au regard des principes de nécessité et de proportionnalité. Il est vrai que les utilisateurs tirent une foule d'avantages de la publication des données les concernant. Le point essentiel est qu'ils doivent décider de communiquer leurs données en toute connaissance de cause et pouvoir déterminer comment elles peuvent être utilisées. Autrement dit, les utilisateurs doivent avoir des droits à l'information, c'est-à-dire le droit de savoir quelles sont les données les concernant qui sont stockées, et il doit donc y avoir des règles claires en matière de transfert et de vente de données à des tiers.
Aussi devrions-nous commencer par des engagements volontaires, de préférence en adoptant une approche transatlantique, car il nous est tout bonnement impossible de réglementer l'Internet en l'absence d'initiatives communes à l'échelle mondiale, et si ces engagements volontaires se révèlent être inappropriés, il faudra alors que nous envisagions d'adopter des mesures juridiques.
Stavros Lambrinidis
au nom du groupe PSE. - (EL) Monsieur le Président, lorsque l'utilisateur lambda surfe sur l'Internet, il n'a pas conscience de ce que les données à caractère personnel les plus sensibles le concernant, comme ses convictions politiques et philosophiques, ses finances, ses achats, les voyages qu'il réalise et, d'une manière plus générale, ses centres d'intérêt, sont enregistrées chaque fois qu'il effectue une simple recherche, réalise un achat ou participe à une discussion. En effet, les sociétés privées qui collectent ces données ne sont pas européennes la plupart du temps. Aujourd'hui, ni la législation européenne ni les accords internationaux n'empêchent les grandes sociétés privées d'utiliser les données à caractère personnel qui nous concernent. J'irais même jusqu'à dire que rien n'empêche les autorités de sécurité des pays tiers d'accéder à ces données. Pourquoi l'Europe a-t-elle la responsabilité et la capacité de s'impliquer dans ce domaine? Parce que, comme M. Frattini l'a dit à juste titre, la directive sur la protection des données s'applique aux fournisseurs de services Internet et électroniques établis tant à l'intérieur qu'à l'extérieur du territoire européen. Les données à caractère personnel ne deviennent pas moins importantes ou intéressantes au seul motif qu'une entreprise est établie hors Europe.
J'ai trois propositions spécifiques à formuler, Monsieur le Président:
Premièrement, les personnes physiques elles-mêmes doivent être invitées à consentir expressément à toute collecte et, à plus forte raison, à toute utilisation de données à caractère personnel les concernant, comme le prévoit d'ailleurs la directive que je viens de citer. Cela doit être indiqué non pas en petits caractères, mais dans des termes clairs et explicites. À l'heure actuelle, même ceux qui souhaitent supprimer les données qui les concernent ou empêcher qu'elles soient communiquées à des tiers sont généralement incapables de le faire, faute de pouvoir se repérer sur des pages web déroutantes. Les sites sont délibérément compliqués pour permettre aux entreprises de découvrir par la suite, grâce à des outils et autres logiciels spéciaux, quels sont les intérêts des utilisateurs afin de leur vendre des produits, ou pour permettre aux autorités de sécurité de localiser des utilisateurs pour d'autres raisons.
Deuxièmement - et je me réjouis que M. Frattini ait évoqué ce point -, il est essentiel que la Commission européenne comprenne que l'importance des fusions entre ces entreprises ne se résume pas en termes d'analyses financières, mais concerne aussi les données à caractère personnel des citoyens, qui sont probablement utilisées de manière abusive ou qui pourraient l'être à l'avenir. Nous ne sommes pas une simple communauté de capitaux et de marchés; nous sommes, avant tout, une communauté de valeurs.
Troisièmement, Monsieur le Président, permettez-moi de conclure en disant que la discussion d'aujourd'hui a trait à un très vaste sujet que nous avons à peine effleuré, bien qu'il s'agisse d'un problème d'envergure mondiale. Il faut élaborer une charte internationale des droits fondamentaux des utilisateurs de l'Internet. Il n'existe encore rien de ce genre. Or, à notre époque, si Big Brother doit surgir un jour, Monsieur le Président, ce ne sera pas à l'instigation de l'une ou l'autre dictature, mais bien parce que toute notre vie est désormais enregistrée sous forme électronique sur l'Internet. Si nous ne parvenons pas à trouver ensemble quelques principes de base pour nous protéger, nous nous réveillerons demain dans un monde fort différent et, je crois, bien plus mauvais, aussi convivial, agréable et magique que tout puisse nous sembler être aujourd'hui.
Sophia in 't Veld
au nom du groupe ALDE. - (NL) J'aurais vraiment aimé voir la collègue de M. Frattini, Mme Neelie Kroes, assise à ses côtés aujourd'hui, car je pense que la différenciation stricte entre les règles du marché et les règles de protection de la vie privée est dépassée. Nous savons que la fusion entre Google et DoubleClick va se produire et, bien évidemment, le Parlement européen ne souhaite pas s'immiscer dans les détails de cette fusion, mais nous voulons savoir quelles garanties seront données en matière de protection de la vie privée. Les données à caractère personnel sont devenues un gros marché. Les informations sur les clients, les utilisateurs, leurs habitudes et leurs préférences donnent un précieux avantage concurrentiel aux entreprises. La protection des données à caractère personnel ne devrait donc plus être examinée séparément de la politique de concurrence.
La Commission a opté pour une approche très traditionnelle de la concurrence qui n'est plus adaptée face à la publicité comportementale du XXIe siècle. La politique de concurrence doit englober des mesures de protection de la vie privée et des consommateurs si les fusions sont appelées à créer des méga-entreprises détenant une grande quantité d'informations sur leurs utilisateurs, comme c'est le cas de Google/DoubleClick, par exemple, ou comme cela pourrait être le cas suite à une opération de concentration entre Microsoft et Yahoo, Yahoo et Rupert Murdoch, ou Reed Elsevier et ChoicePoint, etc.
Les données à caractère personnel peuvent être utilisées de manière abusive afin d'empêcher l'entrée de nouveaux opérateurs sur le marché, et le fait est que, dans un environnement concurrentiel sain, le consommateur peut insister sur la protection de sa vie privée et peut sanctionner les entreprises, comme ce fut le cas avec Facebook, par exemple. Et nous avons également des règles en matière de concentration des médias. Alors pourquoi n'intégrons-nous pas la protection de la vie privée dans la politique de concurrence? Les adresses IP peuvent être considérées comme des données à caractère personnel. Et cela a des implications potentiellement lourdes pour l'industrie, mais aussi pour l'utilisateur. Aussi faut-il définir d'urgence des normes européennes, mais surtout internationales, pour ce secteur. L'Union européenne doit prendre les devants et travailler sur ce dossier avec les États-Unis, en consultation avec l'industrie. Je suggère donc d'inscrire ce sujet à l'ordre du jour du Conseil économique transatlantique.
Enfin, il est aussi dans l'intérêt des entreprises de faire en sorte que les gens aient la certitude que leur vie privée est bien protégée. Je viens juste de citer le cas de Facebook, où les consommateurs se sont imposés pour obtenir que Facebook respecte mieux leur vie privée. J'inviterais donc instamment la Commission européenne à adopter une approche différente, associant politique de concurrence, protection des consommateurs et protection des données à caractère personnel ou de la vie privée.
David Hammerstein
au nom du groupe Verts/ALE. - (ES) Monsieur le Président, nous sommes inquiets face à une fusion qui n'en est pas vraiment une: il s'agit plutôt de l'union de deux entreprises complémentaires, à savoir de l'entreprise Google, qui possède une myriade de données, plus de données que personne au monde, et de l'entreprise DoubleClick, qui a la capacité de traiter, manipuler et canaliser les données concernant les habitudes des consommateurs.
Cela doit préoccuper la Commission européenne parce qu'il s'agit d'une union dangereuse pour les citoyens d'Europe, et pour la préservation du caractère privé de nos habitudes courantes. La structure de la fusion pourrait compromettre cet aspect de la vie privée, mais les autorités nationales n'ont pas la capacité de savoir comment ces données sont manipulées, et les consommateurs ne savent pas non plus où vont les données les concernant, ni comment elles sont utilisées par des tiers.
Carl Schlyter
. - (SV) Monsieur le Président, le consommateur est sans défense sur l'Internet. Lorsque l'on souhaite utiliser des services populaires, on ne nous propose pas de sélectionner l'option "ne pas recueillir d'informations me concernant". On ne peut pas non pas savoir ce qu'il advient de ces informations. On fait des recherches, on effectue des achats. Si une même entreprise est capable d'associer toutes ces informations, elle peut en tirer un énorme avantage commercial et amasser une mine d'informations sur tous ceux qui utilisent l'Internet. Il en va de même lorsque l'on veut télécharger légalement un film sur l'Internet, puisque l'on doit utiliser le logiciel de la même entreprise, comme Windows par exemple.
On ne peut pas se protéger contre ces grandes entreprises sans l'aide de nos législateurs. Il est effarant de constater à quel point la protection des données devient mince dans le cadre de la lutte contre les atteintes au droit d'auteur, par exemple. L'ordinateur d'un utilisateur de fichiers partagés est fouillé et toutes les données à caractère personnel le concernant sont passées en revue. Ces informations sont ensuite transmises à des entreprises de médias, chargées d'établir ce qui était protégé par copyright et ce qui ne l'était pas. Lorsque les entreprises de médias ont accès aux éléments des enquêtes policières, comment peut-on protéger les consommateurs? Il est temps d'améliorer grandement la protection des données.
Alexander Alvaro
(DE) Monsieur le Président, je dois reconnaître que j'apprécie cette procédure "catch the eye", en particulier la partie qui précède le démarrage du compte à rebours.
Il ne fait aucun doute que les sujets que nous devons aborder sont nombreux en ce qui concerne la protection des données. Certains membres du groupe des Verts ont abordé le sujet des données relatives aux entreprises privées et aux personnes physiques. Il est incontestable que les fusions telles que celle envisagée entre Google et DoubleClick soulèvent des questions. Il importe toutefois de veiller à ne pas tout confondre. Quel que soit le nombre de grenouilles qui coassent, ce sera toujours un coassement que l'on entendra. Ce que je veux dire, c'est que nous ne devons pas perdre de vue la nécessité de comprendre les processus techniques sous-jacents.
Nous - et mon groupe politique n'est certainement pas une exception - nous intéressons souvent de très près aux questions relatives à l'Internet et, bien entendu, à la protection des données à caractère personnel, et nous y répondons souvent avec une grande émotion. Pour pouvoir comprendre comment fonctionnent l'Internet et la saisie des données, toutefois, il faut d'abord comprendre la technologie sous-jacente.
À cet égard, je pense qu'il y a beaucoup à dire sur l'approche de M. Weber visant à établir d'abord la mesure dans laquelle les adresses IP peuvent constituer des données à caractère personnel au sens de la directive 2002/58/CE sur la vie privée et les communications électroniques, car, dans certains cas, l'adresse IP, associée aux données concernant l'utilisateur, peut certainement être la clé de la collecte des informations personnelles. Par ailleurs, vu l'état actuel des évolutions technologiques, où des réfrigérateurs, par exemple, peuvent récupérer automatiquement des recettes sur l'Internet, la question de savoir si l'adresse IP de mon réfrigérateur constitue des données à caractère personnel est obsolète.
Eva Lichtenberger
(DE) Monsieur le Président, comme le précédent orateur l'a justement signalé, il faut examiner le contexte technique de ces règles. Nous avons affaire ici à un cas plutôt délicat en ce sens où tous ses aspects ne concernent pas le droit de la concurrence. De plus, ce cas implique le dépassement d'une masse critique, ce qui pose de graves problèmes.
En définitive, il sera plus que difficile pour les autorités nationales compétentes en matière de protection des données et la législation afférente de faire face aux atteintes qui pourraient être commises à la suite de cette fusion, puisque les données communiquées à DoubleClick feront l'objet d'un nouveau traitement complètement différent. Nous sommes face ici à une difficulté technique que nous devons résoudre. Je pense que l'accumulation d'un tel potentiel entre les mains d'un seul groupe est extrêmement mauvaise pour le marché de par l'exclusion de nouveaux concurrents.
Franco Frattini
Vice-président de la Commission. - (IT) Monsieur le Président, Mesdames et Messieurs les députés, je crois également que les inquiétudes exprimées par un grand nombre d'orateurs sont des inquiétudes que nous partageons tous, en ce sens où nous ne disposons pas encore d'un système satisfaisant pour protéger les données à caractère personnel par rapport aux nouvelles technologies et à l'Internet.
L'attention accordée à la protection des données à caractère personnel lors d'une enquête antiterroriste doit être la même, voire même plus importante, que lorsque les données à caractère personnel me concernant sont révélées non pas à un tribunal, mais à un groupe industriel privé.
Il y a donc de graves préoccupations et, bien qu'elle soit relativement nouvelle, l'idée que M. Lambrinidis a mise en avant concernant une sorte de carte mondiale de protection des données répond parfaitement au caractère mondial de l'Internet.
Comme vous le savez, et comme je viens de l'expliquer dans mon introduction, les règles existantes s'appliquent en fonction du territoire sur lequel le fournisseur est établi, mais cette limite géographique n'est pas vraiment adaptée à l'Internet. C'est donc, il me semble, dans cette direction que nous devrions orienter nos travaux, et je crois également qu'il est important de trouver un lien entre les aspects liés à la politique de concurrence et les aspects liés à la protection des consommateurs, y compris les données à caractère personnel les concernant.
C'est un sujet sur lequel notre discussion ne fait que commencer et, comme vous le savez, la Commission suit les évolutions dans un grand nombre de domaines liés à la protection des données qui ne sont pas couverts par la législation européenne, dont les initiatives du Conseil de l'Europe, des Nations unies et de la Conférence internationale des commissaires à la protection des données.
Il y a toutefois un risque que nous ne devons pas perdre de vue. Permettez-moi de soulever la question suivante: une carte mondiale de protection des données n'affaiblirait-elle pas la protection dans la mesure où elle devrait couvrir un nombre extraordinairement important de personnes? Cela a au moins le mérite de nous faire comprendre que nous devons considérer notre législation européenne comme un exemple - si je peux me permettre cette effronterie - à exporter et ne pas accepter des règles plus souples en matière de protection des données au seul motif que ces règles doivent s'appliquer dans un contexte géographique bien plus large.
En conclusion, je peux vous dire qu'afin de mettre en marche des mesures pratiques, le "groupe de travail Article 29", que tous ceux qui participent à ces travaux connaissent et qui est chargé de coordonner les mesures en matière de protection des données, est en train de préparer un avis motivé sur la protection des données vis-à-vis des moteurs de recherche et des prestataires de services.
En d'autres termes, nous abordons cet aspect, et un questionnaire qui constituera le point de départ de cet avis motivé a été distribué. Ce questionnaire, qui porte sur les politiques relatives à la protection des données, a été envoyé à un très grand nombre de hautes personnalités, responsables de moteurs de recherche et prestataires de services. Pour ma part, je pense que les réponses qui seront recueillies ainsi que l'avis qui, j'en suis sûr, sera publié dans les plus brefs délais, de préférence avant les vacances parlementaires d'été, vont peut-être, pour la première fois, apporter une réponse coordonnée aux problèmes qui se posent et permettre d'orienter nos travaux.
Le Président
Le débat est clos.
Déclarations écrites (article 142)
Silvia-Adriana Ţicău  
par écrit. - (RO) Les citoyens européens sont aujourd'hui de plus en plus nombreux à avoir recours aux services de la société de l'information, qu'il s'agisse de services financiers, de systèmes de transport intelligents, de systèmes de péage des infrastructures routières, de systèmes informatisés pour les soins de santé, de l'Internet, de caméras de contrôle et de surveillance ou de l'utilisation de données biométriques. La sécurité de ces services est vitale pour la confiance des utilisateurs.
La sécurité des réseaux électroniques et des systèmes informatisés, ainsi que les technologies permettant de renforcer la protection des données à caractère personnel, représentent le premier souci de la stratégie pour une société de l'information sûre, que la Commission a adoptée en 2006. Dans une communication de mai 2007, la Commission a présenté les risques potentiels liés à l'utilisation des technologies de l'information, tels que l'usurpation d'identité, la surveillance ou même la fraude.
Afin de créer une société de l'information plus sûre, les produits et services concernés devraient comporter des mécanismes de protection des données dès le stade de leur conception. Il est également nécessaire de définir les processus et les principes applicables pour garantir la sécurité de la société de l'information et de les rendre accessibles à tous ceux qui participent à la conception et à l'utilisation de systèmes informatisés. Je demande à la Commission d'examiner la nécessité de mettre en place certains règlements communautaires sur la sécurité des services de communications électroniques et des systèmes informatisés.
Tout prestataire de services propres à la société de l'information doit respecter la législation nationale et internationale en matière de protection des données.
