Mathias Avocats avait fait le point il y a quelques mois sur certaines dispositions de la proposition de règlement « ePrivacy » parue le 10 janvier 2017. Rappelons que cette proposition tend à réformer la directive 2002/58/CE du 12 juillet 2002 relative au traitement des données à caractère personnel et  la protection de la vie privée dans le secteur des communications électroniques. La Commission européenne avait lancé une consultation sur cette réforme, avant d’en publier le rapport.

Cette proposition vise à adapter la réglementation en matière de communications électroniques aux avancées technologiques, notamment pour mieux protéger les personnes physiques. La Commission européenne a aussi annoncé son souhait de créer de nouvelles perspectives d’activité pour les entreprises.

Le 24 avril 2017, l’avis du Contrôleur européen de la protection des données (CEPD), Giovanni Buttarelli, a été publié. Précisons que le Contrôleur européen est chargé de faire respecter les règles de protection des données et de la vie privée par les institutions et organes de l’Union européenne lorsqu’ils mettent en oeuvre des traitements de données à caractère personnel. A ce titre, le Contrôleur est l’autorité indépendante de protection des données de l’Union européenne.

Le Contrôleur européen salue l’ambition de la Commission européenne, qui ne manque pas de répondre aux préoccupations qu’il avait exprimées dans un avis de juillet 2016. Toutefois, certaines propositions soulèvent des questions.

La reconnaissance d’avancées majeures

Le contrôleur européen souligne d’abord que la législation européenne en matière de protection des données à caractère personnel serait incomplète sans l’adoption du règlement « ePrivacy« .

Rappelons que le Règlement 2016/679 du 27 avril 2016 (RGPD) est relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il encadre de manière globale la protection des données à caractère personnel sur le territoire européen. Le règlement « ePrivacy » a vocation à mettre en place des outils spécifiques pour protéger le droit à la vie privée des personnes physiques vis-à-vis des communications électroniques.

Notons que le contrôleur européen se félicite du choix opéré en faveur d’un règlement plutôt que d’une directive. Le règlement est en effet d’applicabilité directe, ce qui permettra de s’assurer de l’application harmonieuse du droit dans tous les Etats membres. Le contrôleur reconnait aussi que le projet vise à instaurer un niveau de protection élevé des personnes concernées notamment en soumettant la mise en oeuvre de traitements à la définition de conditions claires ou encore en conditionnant au consentement préalable toutes communications commerciales non sollicitées.

Il se réjouit également du choix fait de confier aux mêmes autorités de contrôle la surveillance de l’application du Règlement Général sur les Protection des Données et du règlement « ePrivacy« . Ce choix devrait permettre d’harmoniser l’application des deux règlements et d’éviter les conflits.

Cependant, le contrôleur européen met aussi en lumière un certain nombre de lacunes dans la proposition, qui seraient de nature à faire obstacle à l’instauration concrète d’un niveau élevé de protection et de sécurité.

Des éléments problématiques dans la proposition « ePrivacy« 

Pour le Contrôleur européen, la rédaction du texte s’avère bien trop complexe. Ceci est notamment dû à la distinction faite entre différents niveaux de données liées aux communications électroniques. Chaque type est soumis à un régime propre et à des exceptions spécifiques. Monsieur Giovanni Buttarelli souligne les deux grands défauts issus de cette complexité :

  • le règlement est opaque, son application à des cas d’espèce difficilement prévisible ;
  • des données risquent de passer au travers de la grille élaborée par les institutions européennes, ce qui mènerait à des trous dans la protection des résidents européens.

Le Contrôleur européen critique également le choix opéré par la Commission européenne de faire référence aux définitions issues du futur Code européen des communications électroniques. Ce dernier adopte une vision axée sur les aspects économiques et concurrentielles des communications électroniques qui, selon le Contrôleur européen, ne semble pas compatible avec l’objectif de protection des droits fondamentaux affiché par la Commission européenne dans le cadre de la proposition de règlement « ePrivacy« .

Dans ce contexte, le Contrôleur européen recommande de rédiger et d’inclure dans le règlement un ensemble de définitions adapté à son périmètre et à ses objectifs propres.

Le Contrôleur européen met enfin en exergue le risque que le règlement mette en place un niveau de protection moins élevé que celui instauré par le Règlement Général sur les Protection des Données. Il incite les instituions à inclure dans le règlement des dispositions contraignantes sur les obligations de Privacy by Design et Privacy by Default instaurée par le Règlement Général sur les Protection des Données.

Comme dans son avis sur la proposition de directive sur les contenus numériques, il souligne l’importance de s’assurer que le consentement libre et éclairé des utilisateurs est recueilli. A ce titre, les dispositions relatives au consentement des utilisateurs finaux devraient être renforcées. Le Contrôleur européen prône notamment l’interdiction explicite de l’usage des « tracking walls », pratique également connue sous le nom de « cookie walls ». Il désigne ainsi les situations où un internaute qui exprime son souhait de ne pas être tracé sur Internet se voit pour cette raison refusé l’accès à des sites.

Mathias Avocats ne manquera pas de vous tenir informé des répercussions de cet avis sur la proposition de règlement « ePrivacy » ainsi que sur l’évolution du texte.