Pourquoi cette loi ?
Au vu de l'essor et de l'importance des données à caractère personnel qui transitent par les voies électroniques (par téléphone fixe ou mobile, fax, e-mail, sms, etc.), il était nécessaire d'adapter la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel aux communications électroniques.
La loi du 30 mai 2005, modifiée par la loi du 27 juillet 2007, transpose la Directive 2002/58/CE du 12 juillet 2002 dite directive « vie privée et communications électroniques ». Elle a encore été modifiée par la loi du 24 juillet 2010 qui est une transposition de la Directive 2006/24/CE du 15 mars 2006. En outre, la loi du 28 juillet 2011 transpose certaines dispositions de la Directive 2009/136/CE du 25 novembre 2009.
Comment est assurée la confidentialité?
Sauf si l'utilisateur a donné son consentement, il est impossible à toute personne autre que l'utilisateur, de stocker, d'intercepter, de surveiller les communications (par exemple la fourniture de services vidéo à la demande) et des données relatives au trafic (qui concernent l'acheminement d'une communication et la facturation de cette communication).
Le fournisseur de service et l'opérateur garantissent cette confidentialité.
Il est fait exception à cette règle dans le cadre des usages professionnels (par exemple, les brokers peuvent enregistrer les ordres reçus par mail).
Quand et comment sont possibles les traitements des données ?
Les entorses au principe général de confidentialité tiennent soit aux finalités légitimes de l'opérateur ou du fournisseur, soit à la répression de la criminalité.
Le fournisseur ou l'opérateur ont des raisons légitimes de conserver les données relatives au trafic dans deux hypothèses uniquement :
- pour établir la facture (les données sont conservées jusqu'à ce qu'il n'y ait plus de contestation possible),
- pour commercialiser ses services de communications électroniques ou pour fournir des services à valeur ajoutée, à condition toutefois d'avoir obtenu le consentement de l'abonné ou de l'utilisateur, et de l'avoir informé sur la finalité et la durée de ce traitement.
Lorsque l'opérateur ou le fournisseur proposent à ses clients un service à valeur ajoutée (par exemple lui rechercher le restaurant italien le plus proche), il est bien obligé de pouvoir localiser son client. C'est pourquoi le législateur autorise le traitement de données relatives à la localisation à condition toutefois que la finalité unique du traitement soit de fournir un tel service (dit "service à valeur ajoutée") et que les données aient été anonymisées ou bien que la personne concernée ait donné son consentement.
Enfin, et dans le souci de réprimer notamment la criminalité organisée, le fournisseur de service et l'opérateur sont tenus de mettre à la disposition des autorités judiciaires toutes les données relatives au trafic et à la localisation pendant une période déterminée. La Directive 2006/24/CE, transposé en droit national par la loi du 24 juillet 2010, a rendu obligatoire pour les Etats membres l'introduction de cette rétention des données en laissant toutefois une marge de transposition substantielle aux législateurs nationaux qui doivent fixer la durée de conservation des données à une période de 6 mois au minimum et 24 mois au maximum. Le législateur luxembourgeois a opté pour la durée minimale de 6 mois. En contrepartie à cette conservation, le fournisseur de service et l'opérateur doivent tout mettre en œuvre pour empêcher l'accès aux tiers de ces données.
La loi du 24 juillet 2010 prévoit également que les données retenues ne peuvent être utilisées que pour la poursuite d'infractions pénales qui comportent une peine correctionnelle dont le maximum est supérieur ou égal à un an d'emprisonnement.
Qu'en est-il des spams (e-mails, mais aussi envoi massif de fax, de sms non sollicités) ?
A défaut d'avoir préalablement donné leur consentement, les personnes physiques sont en droit de ne pas recevoir de courriers électroniques commerciaux non sollicités (les spams).
Exceptionnellement, un fournisseur qui a obtenu les coordonnées de son client dans le cadre d'une vente peut les utiliser pour lui offrir un service ou produit analogue, à condition de l'avoir préalablement averti de l'envoi de tels messages à caractère commercial. En toute hypothèse, le client a le droit de s'opposer à tout moment à l'exploitation des données le concernant.
Garanties de transparence et d’usage loyal des « cookies »
La loi du 28 juillet 2011 a introduit und innovation importante qui a trait aux témoins de connexions sur Internet (généralement appelés « cookies ») et renforce les garanties de transparence et d’usage loyal de ces techniques qui se sont quasi généralisées avec l’évolution d’Internet. Les offres de services en ligne (souvent non payants) utilisent cette méthode pour personnaliser autant que possible la navigation de l’internaute et l’interaction avec lui (y compris le placement de publicités tenant compte de ses intérêts).
L’exigence de loyauté et de transparence et la possibilité qui doit lui être offerte d’accepter ou de refuser le recours aux « cookies » s’étend aussi bien au placement sur le terminal de l’usager (stockage d’informations de connexion) qu’à l’accès ultérieur à ces témoins (informations stockées) par le site web d’origine et/ou par d’autres sites partenaires ou similaires.
Droits de l'usager et/ou de l'abonné garantis par la loi
Outre les droits qui ont déjà été énumérés, l'utilisateur ou l'abonné a un droit à l'information préalable portant sur :
- les risques éventuels quant à la confidentialité des communications, sur les moyens pour remédier à ces risques et le coût de ces moyens préventifs,
- l'identification de la ligne appelante et la ligne connectée,
- les annuaires d'abonnés,
- le type de données de localisation traitées, la finalité, la durée et les destinataires pour la fourniture de services à valeur ajoutée.
Il a le droit de s'opposer aux appels entrants s'il n'a pas accès à l'affichage du numéro de l'appelant.
Il a également le droit au renvoi automatique d'appel d'un tiers vers son terminal ainsi que le droit de recevoir une facture non détaillée gratuite .
Il a le droit de s'opposer temporairement et gratuitement et à chaque connexion à tout traitement des données de localisation et de retirer à tout moment son consentement.
Enfin, la loi prévoit que l'utilisateur et l'abonné ont un droit de rectification et un droit d'opposition au traitement de données les concernant.
Devoirs qui incombent au fournisseur et/ou à l'opérateur
En plus de l'obligation de confidentialité et de conservation des données relatives au trafic et à la localisation, le fournisseur et/ou l'opérateur ont une obligation de sécurité des services et du réseau.
La loi du 28 juillet 2011 a introduit une nouvelle disposition obligeant les fournisseurs à avertir immédiatement la CNPD en cas de survenance d’une violation de la sécurité et de la confidentialité de données à caractère personnel et d’informer de surcroît leurs abonnés dès lors que l’incident constaté est susceptible d’affecter défavorablement le niveau de la protection de leur vie privée et des données les concernant.
Le fournisseur et/ou l'opérateur qui contreviennent à la loi modifiée du 30 mai 2005 s'exposent à des peines pénales.