Le règlement ePrivacy, l'autre chantier numérique européen
Le Règlement général pour la protection des données (RGPD), qui modernise le cadre européen de la protection des données personnelles, s'appliquera le 25 mai 2018. Un second règlement, spécifique aux communications électroniques, appelé ePrivacy et en discussion, devrait entrer en vigueur à la même date.
Le projet de règlement « concernant le respect de la vie privée et de la protection des données à caractère personnel dans les communications électroniques » (ePrivacy) a été publié en janvier dernier. Jusque’alors, la protection des données personnelles dans les télécommunications s’effectuait par le biais d’une directive de 2002 (2002/58/CE). Cette directive a été transposée, en France, par la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN).
Le nouveau règlement ePrivacy abrogera ce cadre juridique afin d’actualiser les dispositions pour les nouveaux moyens de communication et d’harmoniser celles applicables aux communications électroniques avec la nouvelle réglementation, le RGPD, dont s’est dotée l’Union européenne pour la protection des données personnelles.
ePrivacy et RGPD
Comme pour le RGPD, le législateur européen propose un règlement d’application directe dans les Etats membres de l’Union européenne. L’ePrivacy a vocation à compléter les dispositions du régime commun mis en place par le RGPD en matière de télécommunications. Il fait donc de nombreux renvois aux dispositions de ce texte. Il a la même portée que le RGPD et s’appliquera dès lors que les données concernent un utilisateur présent dans l’Union. Ainsi, il n’est pas nécessaire que le traitement ait lieu dans un pays de l’Union. En cas de manquements, on retrouve les mêmes sanctions qu’au sein du RGPD, soit une amende pouvant aller jusqu’à 20 millions d’euros ou égale à 4 % du chiffre d’affaires mondial.
Les nouveautés apportées
Traitement des données de communications électroniques : le texte s’applique à l’ensemble des fournisseurs de services de communications électroniques. Ainsi, les modes de communication de type Skype, WhatsApp ou encore Facebook Messenger sont concernés. Le projet de règlement rappelle que les communications électroniques sont, par principe, confidentielles, sauf dérogations spéciales prévues par le règlement. De même, les données de communications ne doivent être traitées qu’à des fins de communication entre les individus, pour assurer une sécurité des transmissions, fournir un service spécifique, ou si l’internaute concerné a donné son consentement au traitement.
Les métadonnées
Le projet ePrivacy étend la protection de la vie privée aux métadonnées, qu’il définit comme « les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l’échange de contenu de communications électroniques ». Elles peuvent être traitées sur consentement de la personne concernée, pour des fins de sécurité ou assurer une qualité de service.
Cependant, le texte encadre le traitement des métadonnées : l’article 6 du projet prévoit que les métadonnées doivent être supprimées ou rendues anonymes si l’utilisateur n’a pas donné son consentement à leur réutilisation, à moins qu’elles ne soient indispensables à la facturation. En outre, si l’internaute a donné son consentement, le prestataire pourra utiliser les métadonnées pour « la fourniture de services spécifiques ».
Les cookies
A propos des cookies publicitaires, le projet ePrivacy prévoit de simplifier les règles en matière de consentement de l’internaute. Il serait donné au moment de l’installation d’un navigateur Internet, ou après une mise à jour si le navigateur a été installé avant le 25 mai 2018. Le même processus est prévu pour les applications en ligne. Par ailleurs, le consentement ne sera plus requis pour les cookies qui ne sont pas considérés comme portant atteinte à la vie privée. Le règlement vise, ici, ceux qui sont indispensables à la navigation ou qui analysent le flux d’un site Internet.
Prospection commerciale : le règlement encadre les « spams » et le démarchage téléphonique. L’article 16 du nouveau ePrivacy prévoit une interdiction générale de la prospection des personnes physiques, sauf en cas de consentement des personnes concernées (règle de l’« opt-in »). Pour la prospection par voie électronique (e-mail), le règlement rappelle qu’un « opt-out » est suffisant si l’internaute a été informé de l’utilisation de ses données à des fins de prospection commerciale et si la prospection concerne des produits ou services analogues à ceux déjà fournis. Enfin, en matière de prospection téléphonique, les démarcheurs ne pourront masquer leur numéro de téléphone.
Le projet de règlement, qui est loin de faire l’unanimité parmi les professionnels du secteur du numérique (voir encadré), est actuellement en cours de discussion entre la Commission, le Conseil et le Parlement européens, qui pourront procéder à des modifications. A suivre.
Blandine POIDEVIN, avocat, spécialiste des technologies de l’information et de la communication
Cookies : des mesures qui fâchent les éditeurs
Pour le contrôleur européen de la protection des données personnelles, Giovanni Buttarelli, le projet de règlement contient des avancées non négligeables quant au champ d’application et en matière de consentement pour les cookies. Cependant, il relève la complexité des mesures mises en place, ce qui pourrait entraver le respect des dispositions européennes ; il met aussi en avant des faiblesses dans les définitions proposées. Les éditeurs de presse expriment leurs inquiétudes au sujet du contrôle du consentement aux cookies par les navigateurs Internet. Dans une lettre ouverte au Parlement européen et au Conseil de l’Union, fin mai, une trentaine entre eux ont pointé une mesure qui va « renforcer l’asymétrie du rapport entre les éditeurs de presse et les portails numériques mondiaux ». Selon eux, « ePrivacy entraînera une concentration des données des citoyens numériques européens aux mains de quelques entreprises mondiales, renforcera les positions dominantes de ces dernières, et donc la vulnérabilité des internautes, tout en instaurant un environnement digital d’une complexité encore accrue pour la presse ». Le GESTE, qui rassemble des éditeurs de contenus et services en ligne, a émis lui aussi des réserves sur la nouvelle forme d’expression du consentement pour les cookies. Il estime notamment que la nouvelle politique en matière de cookies publicitaires « fait peser des risques importants sur la compétitivité des entreprises européennes ».