Protection des données personnelles et communications électroniques : analyse du Projet de Règlement ePrivacy

Après l’adoption en 2016 du Règlement Général sur la Protection des Données (RGPD), la Commission Européenne poursuit son chantier de modernisation du cadre européen de protection des données personnelles et s’attaque aux règles relatives au marketing direct, aux cookies et au monitoring des individus sur internet.

La Commission a publié -officiellement- son projet de Règlement ePrivacy, destiné à remplacer la Directive 2002/58 sur la vie privée dans le secteur des communications électroniques. Transposée en droit français par la Loi pour la confiance dans l’économie numérique de 2004, la Directive 2002/58 vise à protéger la vie privée des internautes sur Internet et régule la gestion des données personnelles par les entreprises de télécom.

Les géants du web dans le viseur de la Commission

L’un des objectifs essentiels de ce projet est d’étendre le champ d’application du régime ePrivacy. En effet, malgré sa révision en 2009, la Directive ePrivacy ne s’applique pas aux opérateurs « over the top » qui offrent des services sur internet sans fournir les capacités réseaux (ces services en ligne « empruntent » l’infrastructure des opérateurs d’accès à internet). La Commission souhaite remédier à cette lacune et entend bien toucher les géants du net (le fameux quatuor Google, Amazon, Facebook, Apple dit « GAFA ») et autres joueurs tels que Skype ou WhatsApp. Grâce à une nouvelle définition extensive et moderne des « services de communication électronique », le Règlement ePrivacy s’appliquera aux opérateurs traditionnels de télécommunication mais également à ces nouveaux acteurs sur le marché.

Un projet de Règlement aligné avec le RGPD

Le Règlement ePrivacy s’appliquera lex specialis, c’est-à-dire qu’il viendra compléter le régime commun du RGPD dans le domaine particulier des communications électroniques. La Commission a donc aligné son projet avec le RGPD pour assurer une harmonisation du régime européen de protection des données.

Ainsi, la Commission a opté une nouvelle fois pour l’adoption d’un Règlement d’application directe en lieu et place d’une révision de la Directive 2002/58. Pour rappel, une directive européenne nécessite une transposition dans les législations nationales, ce qui laisse une marge de manœuvre aux Etats. En optant pour un acte directement applicable, la Commission souhaite éviter des différences substantielles de régime d’un Etat Membre à un autre.

Le Règlement ePrivacy aura également la même portée extra-territoriale que le RGPD. Tout traitement de données de communication électronique devra respecter le Règlement ePrivacy dès lors que ces données touchent des utilisateurs situés dans l’Union Européenne, peu importe que le traitement ait lieu ou non dans l’Union.

Surtout, le Règlement ePrivacy fait référence sur de nombreux points aux règles du RGPD, telles que les conditions de légalité du consentement ou encore les missions et pouvoirs des régulateurs, et s’aligne sur d’autres avec le RGPD, notamment en terme de sanctions administratives.

La protection des contenus et métadonnées, un enjeu majeur du Règlement ePrivacy

 

Toutes les communications électroniques sont par principe confidentielles, de sorte que les traitements tels que l’écoute, l’interception, l’analyse ou le stockage de ces communications sont par défaut interdits, sauf consentement de la personne et sauf exception prévue par le règlement.

Les prestataires concernés pourront bénéficier d’exceptions « classiques », telles que la fourniture des services demandés par l’utilisateur, la transmission des communications, la facturation, ou encore la détection d’une utilisation frauduleuse ou abusive des services de communication.

Pour les autres finalités poursuivies par le traitement, les prestataires devront recueillir le consentement des personnes concernées, selon les conditions édictées dans le RGPD. En outre, lorsque le consentement est donné, l’utilisateur devra être en mesure de le retirer à tout moment et cette possibilité devra lui être rappelée tous les 6 mois par le prestataire.

Une avancée essentielle du projet consiste en la protection des métadonnées, qui sont définies comme des « informations sur les données » telles que la date et le lieu à laquelle la donnée est produite (sites web visités, date, heure et localisation d’un appel…).

Ainsi, les données relatives non seulement au contenu des communications électroniques (textes, voix, images, vidéos…) mais aussi aux métadonnées ne pourront être exploitées par les prestataires que sous réserve de l’autorisation expresse de la personne concernée ou dans les cas nécessaires visés au règlement. Les exceptions prévues sont similaires à celles visées plus haut, à la différence -importante- que l’exigence de justification est durcie.

En effet, le prestataire devra justifier non seulement le bénéfice de l’exception mais aussi que le service concerné ne peut pas être fourni sur la base de données anonymisées.

Un régime en théorie simplifié pour les cookies et autres traceurs

Concernant les cookies et autres traceurs, le Règlement ePrivacy entend simplifier le régime actuel. Les cookies de fonctionnement mais aussi les cookies non intrusifs pour améliorer l’expérience client et les cookies statistiques ne demanderont pas (plus) le consentement de l’utilisateur. En revanche, les cookies « optionnels » à finalité de marketing, monitoring et profiling des utilisateurs devront faire l’objet d’un consentement exprès des individus.

A cet égard, le projet prévoit que le consentement de l’utilisateur pourra être implicite, via la configuration de son navigateur ou de l’application. En d’autres termes, si l’utilisateur a paramétré son navigateur internet/application pour autoriser ou limiter le dépôt de cookies optionnels, le prestataire devra prendre en compte ce choix et adapter la collecte de données en conséquence. Cette procédure devrait -en théorie- supprimer les bandeaux et pop-up incessants de consentement à chaque (première) visite d’un site.

Sur ce point, la version officielle du projet est regrettablement moins exigeante que la version révélée officieusement en décembre 2016. Dans cette dernière, le principe de Privacy by Design du RGPD impliquait le paramétrage par défaut des navigateurs sur les paramètres de confidentialité les plus fermes, interdisant par principe le dépôt et la collecte de cookies et données pour fournir des publicités ciblées.

Le démarchage direct, entre assouplissement et renforcement des contraintes

Sur le marketing direct, et en particulier le démarchage par voie de communication électronique, le principe est là encore à l’interdiction sauf consentement exprès de l’individu.

Toutefois, à l’instar des lignes directrices de la CNIL sur la prospection par courrier électronique, un opt-out sera suffisant lorsque les personnes sont (1) bien informées de l’utilisation qui sera faite de leurs données lors de leur collecte et (2) que la prospection concerne des produits ou services analogues à ceux déjà fournis.

Plusieurs mesures visent à réduire les nuisances du démarchage téléphonique, comme par exemple l’affichage obligatoire du numéro de téléphone, l’utilisation d’un indicatif spécial indiquant qu’il s’agit d’un appel commercial ou encore le blocage des appels d’un correspondant tiers cherchant à joindre un numéro pour lequel un renvoi vers la ligne a été activé.

L’objectif de la Commission est de faire passer le Règlement ePrivacy avant le 25 mai 2018, pour une entrée en vigueur coordonnée avec le RGPD. Le texte devra encore passer entre les mains du Conseil et du Parlement européens, et continuera sans nul doute de faire l’objet d’un intense lobbying avant son adoption définitive. DPO Consulting suivra de près les évolutions du projet.


https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications

https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation

http://ec.europa.eu/newsroom/document.cfm?doc_id=41238

http://europa.eu/rapid/press-release_IP-17-16_en.htm

Retour