Des informations contradictoires ont circulé sur l'utilisation dans les EPN de programmes capables d'effectuer un contrôle de l'utilisation d'Internet (comme Cyberlux) ou sur l'obligation ou non de conserver les fichiers journaux ("log") des internautes fréquentant l'EPN.
Notre courrier électronique adressé à la Commission de la Protection de la Vie privée le 26 avril 2006 a reçu une réponse (datée du 31 janvier 2007). Nous vous livrons cette analyse.
En ce qui concerne le recours à un programme de type Cyberlux pour contrôler l'utilisation d'Internet
La Commission indique :
"Je vous renvoie, par analogie, à l'avis "relatif à la surveillance par l'employeur de l'utilisation du système informatique sur le lieu de travail" émis par la Commission le 3 avril 2000" (note : le texte est disponible en téléchargement sur www.privacycommission.be > publications > moteur de recherche > mot-clé "système informatique").
"Il ressort clairement de l'avis en question que, conformément à l'article 9 de la LVP (note : loi sur la vie privée)
, la politique de contrôle doit être transparente. Les informations à fournir aux utilisateurs doivent notamment porter sur les points suivants :
- les utilisations d'Internet qui sont permises, tolérées ou interdites;
- les finalités du contrôle et ses modalités (nature des données collectées, étendue et circonstances des contrôles, personnes ou catégories de personnes soumises aux procédures de contrôle);
- le stockage des données de télécommunication, par exemple sur un serveur central, dans le cadre de la gestion technique du réseau, et la durée de ce stockage;
- les éventuels systèmes de cryptage;
- les décisions pouvant être prises à l'encontre de l'utilisateur sur la base du traitement des données collectées à l'occasion d'un contrôle;
- le droit reconnu à l'utilisateur d'avoir accès aux données à caractères personnel le concernant".
En ce qui concerne la conservation de fichiers journaux concernant la navigation sur Internet (par des internautes ayant recours aux services d'un EPN)
La Commission de la Protection de la Vie privée répond de la manière suivante :
"L'article 126 de la loi "relative aux communications électroniques" (Loi du 13 juin 2005 relative aux communications électroniques, ci-après la "LCE") stipule que le Roi fixe par arrêté les conditions dans lesquelles les opérateurs doivent enregistrer et conserver les données de trafic d'utilisateurs. Or, sans même parler du fait que cette disposition ne s'applique qu'aux "opérateurs" tels que définis dans la loi, c'est-à-dire aux personnes ayant introduit une notification auprès de l'IBPT, conformément à l'article 9 de la LCE, il faut bien constater que l'arrêté royal portant exécution de l'article 126 se fait toujours attendre. Par conséquent, même si vous êtes un opérateur au sens de la LCE, il n'y a actuellement aucune obligation légale d'enregistrer et de conserver des données de trafic".