Il est aujourd’hui clair que l’objectif ambitieux de voir adoptée la proposition de règlement européen « ePrivacy » concomitamment à l’entrée en application du GDPR le 25 mai 2018 ne sera pas atteint.
Le 10 janvier 2017, la Commission européenne publiait une proposition de règlement « ePrivacy » visant à renforcer la protection des données personnelles des utilisateurs de services en ligne, et aligner le cadre existant avec les règles plus strictes du Règlement européen sur la protection des données (GDPR). Un an après, où en est-on ? Difficultés rencontrées par les institutions à définir leur position, opposition des acteurs de l’écosystème numérique, mobilisation des associations de défense des citoyens… Les obstacles ne cessent de se dresser devant ce texte.
1. Aux origines de la réforme
Le traitement des données des utilisateurs de services de communications électroniques est soumis au niveau européen à un cadre législatif général, ainsi qu’à un cadre législatif spécial.
Le cadre général découle - encore pour quelques semaines - de la directive sur la protection des données personnelles du 24 octobre 1995 et des 28 lois nationales qui la transposent. Il sera abrogé et remplacé à compter du 25 mai 2018 par le GDPR qui opère une profonde mutation des codes de la protection des données personnelles.
En effet, la logique administrative de la directive qui fait la part belle aux « formalités préalables » laissera sa place à une logique de conformité dynamique placée sous la responsabilité des organisations. Ces dernières devront notamment intégrer les nouveaux principes d’« accountability », « privacy by design » et de « privacy by default » dans leurs process, tenir un registre des traitements, mener des études d’impact sur la vie privée, etc.
sécurité et confidentialité
En marge de ce cadre général, l’Union européenne s’est dotée de règles spéciales visant à préciser l’application des principes de protection des données au secteur des communications électroniques à travers la directive ePrivacy du 12 juillet 2002. Des mesures spécifiques ont été prises dans ce domaine compte tenu du caractère très sensible des informations que peuvent révéler le contenu des communications, ou les métadonnées découlant de ces communications. Elle a ainsi imposé aux opérateurs télécoms le respect de règles relatives à la sécurité et à la confidentialité des communications, aux annuaires d’abonnés ou à la présentation des factures – mais pas seulement. En effet, la directive a instauré des règles relatives aux cookies et à la prospection commerciale par email, applicables à tous les acteurs de l’écosystème numérique.
réexamen des règles spéciales