E-déchets et protection des données: le CEPD met en garde contre les risques de sécurité et recommande une approche "privacy by design"

Hier, le Contrôleur européen de la protection des données (CEPD) a adopté un avis sur la proposition de la Commission européenne visant à réviser la directive relative aux déchets d'équipements électriques et électroniques (DEEE ou "e-déchets") ^(*), une proposition faisant l'objet de discussions approfondies au sein du Parlement européen et du Conseil, mais sans prendre en compte les implications en matière de protection des données.

Tout en soutenant l'objectif de la proposition visant à améliorer les politiques respectueuses de l'environnement dans le domaine des e-déchets, le CEPD souligne que l'initiative ne porte que sur les risques environnementaux liés à l'élimination des DEEE et ne prend pas en compte les risques de protection des données qui peuvent survenir suite à une élimination, une réutilisation ou un recyclage inappropriés. Ces risques existent en particulier lorsque les données personnelles relatives aux utilisateurs des appareils et/ou appartenant à des tiers restent stockées dans des équipements informatiques et de télécommunications (ordinateurs personnels et ordinateurs portables, par exemple) au moment de leur destruction.

Compte tenu de ces risques, le CEPD souligne l'importance d'adopter des mesures de sécurité appropriées à chaque étape du traitement des données à caractère personnel, y compris pendant la phase de destruction des appareils contenant des données personnelles. Le principe du "privacy by design" ^(**) ou, dans ce domaine précis, de "security by design", devrait également être inclus dans la proposition afin de s'assurer que des garanties en matière de vie privée et de sécurité soient intégrées par défaut dans la conception des équipements électriques et électroniques.

Selon Peter Hustinx, CEPD: "Il est important de prendre en compte les effets potentiellement dommageables de la destruction des DEEE sur la protection des données personnelles stockées dans les équipements utilisés. Le respect des mesures de sécurité et une approche basée sur le "privacy by design" devraient être considérés comme des conditions préalables primordiales afin de garantir de manière efficace le droit à la protection des données".

Rappelant que la phase de destruction de DEEE contenant des données personnelles entre dans le champ d'application de la directive 95/46/CE sur la protection des données, le CEPD recommande que le législateur:

• intègre "par défaut" la vie privée et la protection des données dans la conception des équipements électriques et électroniques afin de permettre aux utilisateurs de supprimer - de manière simple et gratuite - les données personnelles pouvant se trouver dans les appareils dans le cas où ceux-ci devraient être détruits;
• interdise la commercialisation d'appareils utilisés qui n'ont pas fait l'objet de mesures de sécurité appropriées, en conformité avec les normes techniques les plus avancées, afin d'effacer toutes les données personnelles qu'ils contiennent.

(*) Proposition de directive, du 3 décembre 2008, du Parlement européen et du Conseil relative aux déchets d'équipements électriques et électroniques (DEEE).