Jean-Pierre Grand
Question N° 36400 au Ministère de l'Industrie
Question soumise le 25 novembre 2008
M. Jean-Pierre Grand attire l'attention de M. le secrétaire d'État chargé de l'industrie et de la consommation sur le développement des spams par bluetooth. Cette nouvelle pratique, qui se développe actuellement dans des magasins, va bientôt se propager dans de nombreux champs de la vie quotidienne : le métro, les cafés, les discothèques, les salles de concerts ou encore sur les panneaux publicitaires. Elle constitue un caractère véritablement intrusif sur les téléphones mobiles ou les ordinateurs portables sans consentement préalable de l'utilisateur. En effet, les données techniques traitées dans le cadre du protocole de communication bluetooth, à savoir l'adresse physique de l'interface du portable et l'identifiant bluetooth du téléphone portable, sont des données à caractère personnel. Aussi, il lui demande de bien vouloir lui indiquer les mesures qu'il entend prendre pour protéger les consommateurs de l'envoi non sollicité de publicités via bluetooth.
Réponse émise le 21 avril 2009
Le protocole de communication Bluetooth permet de transmettre un message à un téléphone compatible se trouvant à faible distance (jusqu'à une dizaine de mètres). Les données physiques traitées dans le cadre de ce protocole, qui sont l'adresse physique de l'interface du portable et son identifiant bluetooth, peuvent légitimement être considérées comme des données, à caractère personnel. Le 11 septembre 2008, la Commission nationale de l'informatique et des libertés (CNIL) s'est réunie en séance plénière pour examiner le régime juridique applicable à l'envoi de messages publicitaires par la technologie Bluetooth sur des téléphones mobiles. Dans l'avis rendu à l'issue de cette séance plénière, elle a conclu à l'application de la loi du 6 janvier 1978 modifiée le 6 août 2004 en considérant que le traitement réalisé dans ce cadre constituait bien un traitement de données à caractère personnel. La CNIL a également estimé que l'envoi de messages publicitaires via la technologie « Bluetooth » constituait une prospection directe au moyen d'un courrier électronique, au sens de la loi « confiance dans l'économie numérique ». Par ailleurs, ces positions sont en accord avec les recommandations du groupe de travail européen des autorités de protection des données ou « G29 ». Par conséquent, conformément aux dispositions de l'article L. 34-5 du code des postes et des communications électroniques, le consentement des utilisateurs doit être préalablement recueilli. Il en résulte que l'envoi systématique de messages publicitaires à tous les utilisateurs se trouvant dans la zone de couverture d'une affiche est impossible. De même, l'envoi d'un message demandant à l'utilisateur s'il accepte l'établissement d'une connexion Bluetooth n'est pas une modalité satisfaisante du recueil du consentement dans la mesure où elle intervient trop tardivement. Néanmoins, des solutions alternatives permettant de recueillir le consentement préalable des utilisateurs existent. Par exemple, il en est ainsi de dispositifs où l'utilisateur doit approcher son mobile à très faible distance de l'émetteur (moins de 10 centimètres) ce qui constitue une action volontaire exprimant un consentement. En particulier, la technologie NFC (Near Field Communication), dont la portée n'est que de quelques centimètres, permet de telles applications. Le Gouvernement, conscient du potentiel économique que représentent les nouveaux services de communication des téléphones mobiles, mais soucieux de la protection des données personnelles des citoyens, s'est engagé en faveur du développement de services mobiles « éthiques et responsables », notamment en soutenant la création du forum des services mobiles sans contact qui constitue un lieu de réflexion autour des nouveaux usages permis par les technologies sans contact, comme le NFC. Il conviendra de suivre avec attention les résultats de ces travaux afin de s'assurer que les consommateurs puissent bénéficier de services à la fois utiles, pertinents et respectueux de leur vie privée. Enfin, le Conseil national de la consommation (CNC), qui rassemble des représentants des associations de consommateurs et des professionnels, a constitué un groupe de travail relatif à la protection des données personnelles des consommateurs. Les travaux de ce groupe ont débuté le 4 février 2009 et devraient se terminer avant le mois de juin 2009. Cette instance permettra donc un échange entre le monde des consommateurs et le monde économique, en particulier sur la protection des données personnelles au regard de pratiques telles que le pourriel (spam) et le hameçonnage (phishing), qui viendra enrichir la réflexion qui est en cours.
Aucun commentaire n'a encore été formulé sur cette question.