Centre de Coordination pour la
R
echerche et l'
Enseignement en
Informatique et
Société
Logo du CREIS



" L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques."
Article 1 de la loi " Informatique, Fichiers et Libertés" (6 janvier 1978)


rechercher un article


Journées d'étude du CREIS

Fleche.gif 1999

Fleche.gif 2000

Fleche.gif 2002

Fleche.gif 2003


Contacts

Fleche3.gif Boîte email

Fleche3.gif Coordonnées


Le CREIS est hébergé par le R@S (Réseau Associatif et Syndical)

le site du R@S

La protection des données personnelles sur Internet en Hongrie ( les manques et les solutions)
par Dr. Eva Simon
version imprimable

La généralisation de l’utilisation d’Internet a mis à jour une nouvelle génération de problèmes liés à la protection des données, problèmes dont la plupart des utilisateurs – ni une partie des fournisseurs – ne sont pas conscients. Toute utilisation d’Internet laisse une trace, et la collecte et l’utilisation de ces traces ne sont en fait limitées que par les dépenses qu’elles engendrent. Le courrier électronique pourrait être comparé à une correspondance par carte postale, dont le contenu peut être facilement accessible au responsable du site, au chef de bureau etc. Toute activité des lecteurs des sites web sur le réseau génère une multitude de données nouvelles qui permettent d’établir de façon automatique des profils de consommateurs, ou n’importe quel autres profils. Un bon exemple de ce type d’information est l’adresse IP, dont l’appartenance aux données à caractère personnel est sujet à controverse encore aujourd’hui. Ce ne sont pas uniquement le demandeur ou le FAI (fournisseur d’accès à Internet) qui peuvent connaître l’adresse IP, elle figure également sur les sites web qui fournissent des statistiques de visite – ainsi, n’importe qui peut apprendre de quelle adresse IP a été visitée tel ou tel site. La connaissance de l’adresse IP ne signifie pas forcément que la personne assise devant l’ordinateur pourra également être identifiée. Dans les cas d’une adresse IP fixe, la connexion est encore suffisamment proche, puisque le nom de l’utilisateur peut être retrouvé grâce à la base de données WHOIS (à l’exception du serveur proxy). De l’autre côté, l’adresse IP dynamique indique des personnes différentes à chaque fois, la connexion sera probablement trop éloignée pour que l’on puisse parler de donnée personelle. La question des cas dans lesquels plusieurs personnes utilisent le même ordinateur reste cependant toujours sans réponse (bien que cela soit possible dans le cas d’un téléphone également, et que l’on considère néanmoins qu’il s’agit de données personnelles). Selon la définition législative, l’adresse IP est considérée comme donnée personnelle si la connexion réalisée en commun par le FAI et le fournisseur de service de télécommunication peut être rétablie.

En Hongrie, la loi sur la protection des données a été adoptée par le parlement en 1992. Selon la définition contenue dans cette loi, une donnée personnelle est une donnée qui peut être mise en relation avec une personne physique donnée, ou dont il est possible de tirer des conclusions concernant cette personne. La donnée personnelle est considérée comme telle tant que son rapport avec la personne concernée est reconnaissable. Par conséquent, seules les personnes physiques peuvent avoir des données personnelles, les entreprises, non. Il est de plus sous-entendu dans la définition que la capacité concrète de reconnaissance de la personne ou de la donnée par le maître du fichier ou autre personne est indifférente : si, d’une manière ou d’une autre, la connexion peut être rétablie, l’information est considérée comme donnée personnelle. Selon la loi hongroise sur la protection des données, une donnée personnelle ne peut être traitée que si la personne concernée a donné son accord ou si un texte législatif le décrète. Les modalités d’autorisation par la personne concernée ne sont pas réglementées par la loi. Selon la pratique du médiateur (/ de l’ombudsman) chargé de la protection des données, l’autorisation doit avoir lieu de façon volontaire, explicite et en connaissance de cause. L’objectif des premières lois sur la protection des données avait prinicpalement été de prévenir le trop-plein de pouvoir du plus grand maître du fichier, l’État. La situation a depuis naturellement évolué. Les organes étatiques ne sont plus les seuls concernés, les diverses entreprises traitent également des données personnelles en grande quantité et établissent des bases de données concernant leurs utilisateurs ou consommateurs. En 1981, le Conseil de l’Europe a adopté la Convention sur la protection des données pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, à laquelle la Hongrie est aussi partie. Le Parlement et la Commission de l’Union européenne ont adoptée en 1995 la directive portant sur la protection des données, et sur la base de cette directive, la Commission a jugé en 2000 que le niveau de protection existant en Hongrie était adéquat. L’importance de cette prise de position réside dans le fait qu’il devient ainsi possible bien plus facilement de transmettre des données personnelles des États membre de l’Union vers les États ayant obtenu cette qualification que vers les autres États non membres de l’UE. La législation hongroise déclare à propos de la transmission des données qu’elle n’est possible que si la personne concernée donne son accord, ou si la loi le permet, et si les conditions du traitement de données sont respectées pour chaque donnée personnelle, y compris au cours de l’activité du maître du fichier étranger également. Selon cette disposition de la loi sur la protection des données, le pays vers lequel s’effectue le transfert doit garantir une protection équivalente à celle assurée par le droit hongrois, condition remplie par les États membres de l’UE par exemple, ou bien il faut que le destinataire étranger de la transmission s’engage par contrat à garantir cette protection équivalente. Avec la qualification européenne de 2000, le changement ne réside pas uniquement dans le fait qu’il est devenu plus simple de transférer des données de l’Union vers les maîtres du fichier de Hongrie, mais également dans le fait que d’importants transmetteurs de données vers l’étranger, comme par exemple les filiales hongroises de banques étrangères, pourront effectuer ces transferts de façon beaucoup plus simple. Bien que l’accord de la personne concernée soit nécessaire à la transmission de ses données, ceci se déroule en général de la façon suivante : la déclaration signée par le client autorise le traitement des données par la banque hongroise, autorisation qui est nécessaire et inévitable – sans elle, la banque ne serait pas même habilitée à gérer l’argent du client –, et contient en même temps un passage qui concerne les utilisations autres de ces données, et parmi elles, leur transmission à l’étranger. Par conséquent, si le client souhaite signer un contrat avec la banque, il est en fait obligé de donner son accord aux traitements de données à objectifs autres également. Cette pratique est illicite, puisque les accords concernant les divers traitements de données ne sont pas séparés, et également parce que ces autorisation sont souvent obtenues sans que les clients en soient dûment informés. L’Inspection des Organismes Financiers sanctionne ces cas d’amendes, la pratique se poursuit cependant, car l’intérêt économique lié au traitement et au transfert des données est bien plus important que les sommes payées à titre d’amende par les établissements financiers.

C’est pour assurer le respect du droit fondamental à la protection des données personnelles et à la publicité des données d’intérêt général qu’a été créée en 1995, conformément au modèle scandinave, la fonction du médiateur chargé de la protection des données. Le médiateur peut demander toute information au maître du fichier, avoir accès à tout document, prendre connaissance de tout traitement de données qui peuvent être liés à des données personnelles ou d’intérêt général, et peut entrer dans toute pièce où se déroulent des traitements de données. Le médiateur est autorisé à consulter et prendre connaissance de tout document classé secret d’État ou secret de service. Naturellement, les règles visant le respect de ces secrets sont obligatoires dans le cas du médiateur également.

Dans les années précédentes, plusieurs affaires qui avaient trait à la protection des données sur Internet ont éclaté au grand jour, et le médiateur s’est penché sur ces cas. L’Office du médiateur a été informé que des enfants hongrois étaient proposés pour adoption sur Internet. Dans l’annonce figuraient la photographie, la date de naissance et les maladies éventuelles des enfants. Au cours de l’examen, il s’est avéré que les données des enfants pouvant, selon la législation en vigueur, être donnés en adoption à l’étranger avaient été transmises à un Centre d’adoption hungaro-américain sur la base d’un accord passé avec les organes compétents hongrois (équivalent de la DDASS). L’accord ne spécifiait pas que la partie américaine pourrait proposer les enfants en adoption aux personnes intéressées en utilisant Internet. Sur proposition du médiateur, les organes compétents ont sans tarder pris les mesures nécessaires pour que les données des enfants qui vivaient dans leurs établissements soient retirées du réseau, ce qui a été effectivement fait. Malgré les bonnes intentions et les avantages apparents, la procédure était contraire aux principes fondamentaux d’humanité, et violait également le droit fondamental à la protection des données personnelles. Cette affaire illustre bien que la violation des données personnelles n’est pas nécessairement une violation de droit intentionnelle ou qui serait lié à des dommages. C’est très souvent le manque de connaissances juridiques qui menace la sécurité des données. Naturellement, si quelqun accède par hasard à des données personnelles, il y a violation, mais qu’il soit permis de rajouter que l’intentionnalité est dans ce cas tout à fait déterminante.

Résumé : La loi hongroise sur la protection des données, comme il ressort de la décision de la Commission européenne, est pour l’essentiel conforme aux dispositions de la directive européenne en la matière, l’évolution technologique et la circulation grandissante de données sur le réseau exigeraient cependant de modifier la législation en vigueur. L’adoption de dispositions adéquates et qui pourront être appliquées au réseau, est nécessaire. D’un autre côté – puisque la collecte et le transfert illégal de données, et la connexion illégale de bases de données peuvent être réalisés de façon beaucoup plus simple –, il faudrait fournir des outils adéquats aux utilisateurs pour qu’ils puissent eux-même prendre des mesures dans l’intérêt de la protection de leur propre sphère privée, autrement dit, il faudrait rendre possible de façon générale le recours au cryptage, et ce naturellement sans que les autorités aient accès aux clés. Le cryptage à but civil n’est pas réglementé en Hongrie. Il existe certe un texte concernant les activités de cryptage, il ne concerne cependant que le cryptage des données qui constituent des secrets de service ou d’État, par conséquent, l’utilisation de moyens de cryptage comme par exemple le PGP (Pretty Good Privacy) est tout à fait possible. Des exemples internationaux laissent cependant penser que l’État souhaitera sous peu réglementer le recours au cryptage à fins civiles, par exemple en garantissant à certains organes l’accès aux clés. La révision de la législation hongroise concernant la protection des données apparaît nécessaire pour une autre raison également : la loi actuelle est beaucoup trop restrictive – comme je l’ai déjà signalé, seuls l’accord de la personne concernée ou l’autorisation expresse d’un texte peuvent rendre possible le traitement de données. Cette disposition entraîne d’absurdes conséquences : nous ne pouvons inscrire dans notre carnet d’adresse les coordonnées de nos amis sans leur accord, et la presse investigative devient juridiquement contestable, puisque les personnes touchées par les reportages dénonciateurs n’ont pas consenti à la divulgation de leurs données. Un autre problème est posé par le système inadéquat de sanctions en droit de la protection des données. L’autre objectif de la révision devra donc être de rendre plus efficace ce système. Actuellement, le médiateur n’est habilité qu’à exprimer des recommandations : dans le cas d’organes administratifs, cet outil est efficace, mais dans le cas d’entreprises qui ont un sérieux intérêt matériel à procéder aux traitements de données de façon illégale, il ne sert à rien. La sanction adéquate consisterait en une amende décidée par l’Office du médiateur. Pour cela, il faut naturellement que l’office dispose de pouvoirs plus importants. Il existe de nombreux exemples de solutions : la loi tchèque habilite par exemple l’office de la protection des données à infliger une amende qui peut aller jusqu’à 1 million de couronnes (plus de 30 milles Euro) à toute personne qui procéderait à un traitement illégal de données. Il faut rajouter cependant que la situation de la Hongrie est spéciale. Internet n’a commencé à se répandre qu’il y a un ou deux ans, les utilisateurs ne représentent que 10% de la population même selon les estimations les plus optimistes. Le nombre des utilisateurs, qui avait radicalement augmenté depuis le milieu des années ’90 est en stagnation depuis deux ans, ce qui s’explique, d’une part, par le prix élevé des outils informatiques, et d’autres part, par le coût élevé d’Internet. Comme le réseau téléphonique est cher, l’abonnement mensuel par câble atteint les 25% du SMIG (salaire minimum national interprofessionnel garanti), l’utilisation d’Internet relève donc encore aujourd’hui du luxe. L’apparition sur le net des entreprises et des organes administratifs ne remonte qu’aux deux dernières années. Le portail du gouvernement a été terminé en automne dernier. Le retard par rapport aux pays de l’Union et aux États-Unis fait que les internautes hongrois ont manqué certaines étapes. Il n’y a par exemple pas eu d’importantes attaques de hackers ou de saérieux vols de données en Hongrie. En Hongrie, l’essentiel de la polémique de la protection et la sécurité des données ne réside pas dans les manières de réduire l’accès aux données d’intérêt général, puisque les organes administratifs et étatiques décident bien avant que ce problème se pose de ne pas mettre leurs bases de données sur Internet. De même, les dispositions pénales se rapportant à l’altération illicite des bases de données deviennent plus sévères avant même que ce type d’infraction apparaisse de façon massive. Autrement dit, le droit pénal et l’auto-réglementation du domaine de la protection des données évoluent donc de manière préventive, pratiquement sans que la polémique de la protection et sécurité des données se pose, en réagissant aux influences internationales, et ce sans que nous ressentions vraiment en Hongrie la nécessité de réglementer ces actes.

Home.gif Pageup.gif

Fleche2.gif Adhérer au CREIS

Fleche2.gif Liens


Nos partenaires

Association des Informaticiens de langue Française Association française des Sciences et Technologie de l'Information Droits Et Libertés face à l'Informatisation de la Société Imaginons un Réseau Internet Solidaire Jeunes espoir 2000 Ligue des Droits de l'Homme Société des Personnels Enseignants et Chercheurs en Informatique de France Terminal Vecam liste des partenaires