Article réservé aux abonnés Archimag.com

Futur règlement ePrivacy : les discussions continuent et le calendrier s’allonge

  • garage_privé.jpg

    garage-propriete-privee
    « le futur règlement ePrivacy a pour objet de compléter et particulariser les règles du GDPR en matière de communications électroniques » Willy Mikalef, avocat. (Geralt/Pixabay)
  • Il est aujourd’hui clair que l’objectif ambitieux de voir adoptée la proposition de règlement européen « ePrivacy » concomitamment à l’entrée en application du GDPR le 25 mai 2018 ne sera pas atteint.

    Willy-MikalefLe 10 janvier 2017, la Commission européenne publiait une proposition de règlement « ePrivacy » visant à renforcer la protection des données personnelles des utilisateurs de services en ligne, et aligner le cadre existant avec les règles plus strictes du Règlement européen sur la protection des données (GDPR). Un an après, où en est-on ? Difficultés rencontrées par les institutions à définir leur position, opposition des acteurs de l’écosystème numérique, mobilisation des associations de défense des citoyens… Les obstacles ne cessent de se dresser devant ce texte.

    1. Aux origines de la réforme

    Le traitement des données des utilisateurs de services de communications électroniques est soumis au niveau européen à un cadre législatif général, ainsi qu’à un cadre législatif spécial.

    Le cadre général découle - encore pour quelques semaines - de la directive sur la protection des données personnelles du 24 octobre 1995 et des 28 lois nationales qui la transposent. Il sera abrogé et remplacé à compter du 25 mai 2018 par le GDPR qui opère une profonde mutation des codes de la protection des données personnelles.

    En effet, la logique administrative de la directive qui fait la part belle aux « formalités préalables » laissera sa place à une logique de conformité dynamique placée sous la responsabilité des organisations. Ces dernières devront notamment intégrer les nouveaux principes d’« accountability », « privacy by design » et de « privacy by default » dans leurs process, tenir un registre des traitements, mener des études d’impact sur la vie privée, etc.

    sécurité et confidentialité

    En marge de ce cadre général, l’Union européenne s’est dotée de règles spéciales visant à préciser l’application des principes de protection des données au secteur des communications électroniques à travers la directive ePrivacy du 12 juillet 2002. Des mesures spécifiques ont été prises dans ce domaine compte tenu du caractère très sensible des informations que peuvent révéler le contenu des communications, ou les métadonnées découlant de ces communications. Elle a ainsi imposé aux opérateurs télécoms le respect de règles relatives à la sécurité et à la confidentialité des communications, aux annuaires d’abonnés ou à la présentation des factures – mais pas seulement. En effet, la directive a instauré des règles relatives aux cookies et à la prospection commerciale par email, applicables à tous les acteurs de l’écosystème numérique.

    réexamen des règles spéciales

    Intégrée au « paquet télécom », cette directive a été amendée pour la dernière fois en 2009. Sa transposition dans l’ensemble des États membres de l’Union européenne a été achevée en 2011. Ce sont aujourd’hui ces règles spéciales qui font l’objet d’un réexamen, l’articulation entre le cadre général et le cadre spécial demeurant le même. Tout comme le rôle que jouait la directive ePrivacy au regard de la directive protection des données personnelles, le futur règlement ePrivacy a pour objet de compléter et particulariser les règles du GDPR en matière de communications électroniques.

    2. Un texte qui progresse lentement

    Il a fallu 9 mois pour que le Parlement européen adopte une position sur le texte lors d’un vote en assemblée plénière le 27 octobre 2017. C’est maintenant au Conseil d’adopter une position commune. Les quatre projets de compromis publiés durant le second semestre 2017 par la présidence estonienne de l’Union européenne n’ont pas clos les discussions. La nouvelle présidence bulgare espère décrocher une position commune d’ici le prochain Conseil télécoms du 8 juin 2018. Ce n’est qu’après que les négociations en trilogue (procédure officieuse réunissant la Commission, le Parlement et le Conseil en vue d’établir un texte final) pourront débuter.

    fin 2018

    Alors qu’il était prévu initialement que ce texte entre en application en même temps que le GDPR dans le souci de fournir aux citoyens et aux entreprises un cadre juridique complet et opérationnel, il est aujourd’hui clair que cet objectif ne sera pas atteint. Dans le scénario le plus ambitieux, le règlement ePrivacy pourrait être adopté à la fin de l’année 2018.

    3. Les grandes lignes de la réforme

    Cette réforme a pour objectif premier d’assurer la concordance des règles ePrivacy avec celles du GDPR. Il s’agit d’adopter un instrument de même niveau à savoir un règlement ainsi que des mesures d’harmonisation entre les deux textes. Ainsi, la proposition de règlement ePrivacy renvoie au GDPR à plusieurs titres, par exemple pour ses définitions, l’information des personnes ou les conditions de collecte du consentement. La proposition reprend les mêmes critères d’application territoriale que ceux du GDPR : le règlement s’applique à toute entité traitant des données d’individus localisés dans l’Union européenne. Enfin, la proposition aligne le régime de sanctions sur celui du GDPR (avec un plafond maximum situé à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial) et place la supervision des dispositions ePrivacy sous le contrôle des autorités de protection des données personnelles.

    prendre en compte l’évolution des technologies et des usages

    La révision des règles ePrivacy a également pour but d’étendre le champ d’application du principe de confidentialité des communications aux fournisseurs de services dits Over-The-Top (OTT), notamment les fournisseurs de messagerie instantanée, d’emails et de communications VoIP. Ce principe devrait aussi s’appliquer aux transmissions machine-to-machine. Il s’agit de prendre en compte l’évolution des technologies et des usages.

    actualisation et nouveautés

    Par ailleurs, la proposition de règlement ePrivacy actualise certaines règles de la directive actuelle et en ajoute de nouvelles. Les plus discutées sont les suivantes.

    • consentement de l’utilisateur
      Elle érige le consentement de l’utilisateur comme base juridique du traitement des métadonnées et du contenu des communications, sous réserve de quelques exceptions. À cet égard, le texte est plus restrictif que le GDPR qui permet de se reposer sur des bases alternatives telles que l’intérêt légitime.
    • cookies
      Les règles en matière de cookies sont modifiées. La proposition de règlement entend empêcher l’utilisation de bandeaux d’acceptation des cookies qui ne permettent pas à l’utilisateur d’être correctement informé, selon la Commission. Le texte favorise ainsi le recours aux paramètres du navigateur - qui devraient être réglés par défaut sur un refus d’acceptation des cookies - afin de redonner à l’utilisateur un contrôle plus effectif sur ses données. Par ailleurs, le Parlement européen souhaite ajouter au texte des restrictions à l’utilisation de cookies analytiques qui n’étaient pas prévues initialement. L’industrie craint que ces dispositions entrainent la disparition des cookies et remettent en cause le modèle économique de nombreux acteurs du numérique.
    • prospection commerciale par email
      Le texte maintient le régime applicable à la prospection commerciale par email (à savoir l’obligation d’obtenir le consentement de la personne et l’exception des produits et services analogues). Elle l’étend à la prospection commerciale par téléphone, sauf si l’État membre a opté pour une solution permettant aux consommateurs de s’opposer à la réception d’appels vocaux commerciaux, par exemple en s’inscrivant sur une liste d’opposition.
    • paramètres de confidentialité
      Enfin, le texte impose une obligation aux fournisseurs de logiciels permettant d’effectuer des communications d’intégrer à leurs produits la possibilité pour l’utilisateur de régler ses paramètres de confidentialité.

     

    Willy Mikalef
    Avocat. Cabinet Bird & Bird, Membre de l’Adij


    + repères

    A retenir

    La proposition de règlement ePrivacy est indéniablement porteuse de changements dans les pratiques des entreprises.

    • Les DPO ou les personnes responsables de la conformité au sein des organismes doivent surveiller l’avancement de ce texte car il leur reviendra de le mettre en œuvre sur le plan opérationnel – lorsque sa version finale sera connue. Ces dernières ne pourront l’ignorer compte tenu des sanctions dissuasives prévues par le texte qui sont alignées sur celles du GDPR.
    • Avant d’être adopté, le texte devra cependant relever de nombreux obstacles. Accusé de détruire le modèle économique des acteurs de l’économie numérique et critiqué par les associations de citoyens pour ne pas être assez protecteur, les institutions européennes devront désamorcer la levée de boucliers qu’il suscite et définir un niveau de protection de la vie privée des utilisateurs de services en ligne qui n’obère pas le développement de l’écosystème numérique.

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !

    Couverture-Archimag-311
    Dans le cycle de la veille - expression des besoins, collecte, traitement-analyse, diffusion -, le sourcing est à la base de la deuxième étape. Après avoir défini une stratégie de veille, il s’agit de bien choisir les sources qui vont alimenter la recherche d’informations : Béatrice Foenix-Riou en livre les principes de méthode.
    Acheter ce numéro  ou  Abonnez-vous

    À lire sur Archimag

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.

    Le chiffre du jour

    99
    C'est le pourcentage de services publics disponibles en ligne en Estonie, qui apparaît comme le premier "Etat plateforme" au monde.

    Recevez l'essentiel de l'actu !