La proposition de règlement ePrivacy concernant le respect à la vie privée et la protection des données à caractère personnel dans les communications électroniques a été dévoilée le 10 janvier 2017 par la Commission européenne. Elle tend à renforcer et à adapter les règles issues de la directive vie privée et communications électroniques (directive 2002/58/CE, révisée en 2009). L’adoption du règlement ePrivacy entraînera l’abrogation de la directive.

Dans un souci d’harmonisation, la Commission européenne tient à ce que le règlement ePrivacy entre en application en même temps que le Règlement général n°2016/679 sur la protection des données, à savoir le 25 mai 2018. Or, il n’est pas certain que cette échéance soit respectée. En effet, la Commission des libertés civiles, de la justice et des affaires intérieure (Commission LIBE) a soumis plus de 800 amendements et de nombreux points de discussion demeurent.  Le 20 juillet 2017, la Commission LIBE a en outre publié une étude concernant le projet de règlement ePrivacy.

Parmi les évolutions, on peut notamment noter que :

  • Les communications électroniques deviennent confidentielles par principe. Certains traitements tels que l’écoute, l’analyse ou le stockage sont donc interdits sauf exceptions contenues dans le Règlement ou consentement de l’utilisateur final (Article 5 relatif à la « Confidentialité des données de communications électroniques »).
  • La notion de consentement est définie par renvoi à la définition qui figure dans le RGPD (exigence notamment d’un acte positif de la personne concernée). Les personnes ayant consenti au traitement des données de communications électroniques pourront retirer leur consentement à tout moment. Cette possibilité devra lui être rappelée tous les 6 mois.

Quelles sont les modifications proposées par la Commission LIBE ?

La Commission LIBE a identifié quatre points majeurs qui, selon elle, méritent une attention particulière de la part des législateurs européens :

  • Les dispositifs de localisation

L’article 8 (2) dispose des règles concernant la collecte d’informations émises par l’équipement de l’utilisateur pour permettre sa connexion à un autre dispositif ou à un équipement de réseau (exemples : Bluetooth, Wifi…). La collecte est interdite sauf si elle est « pratiquée exclusivement dans le but d’établir la connexion et pendant la durée nécessaire à cette fin » ou lorsqu’un message clair en informe l’utilisateur final. La Commission LIBE estime que l’article ne protège pas assez les utilisateurs finaux contre le suivi secret ou indésirable de leur localisation. A titre d’illustration, une entreprise pourrait diffuser un message, dans un centre commercial expliquant que la connexion de l’utilisateur au Wifi emporte la collecte de ses données. L’entreprise serait ensuite en mesure de localiser l’utilisateur et de suivre ses déplacements dans le centre commercial. La Commission estime qu’une telle information serait insuffisante. Dans ce contexte, elle recommande de préciser que la collecte de données, notamment la localisation, émises par l’équipement de l’utilisateur final est uniquement autorisée lorsqu’il consent au traitement.

  • Les paramétrages par défaut et les navigateurs

L’article 10 simplifie le cadre applicable aux cookies. Les logiciels doivent offrir la « possibilité d’empêcher les tiers de stocker des informations sur l’équipement terminal d’un utilisateur final ou de traiter des informations déjà stockées ». Cependant, la Commission estime que l’article ne garantit pas suffisamment la protection de la vie privée de l’utilisateur final. En outre, l’article est difficilement conciliable avec le règlement 2016/679 qui instaure les notions de privacy by design et de privacy by default. La Commission LIBE recommande d’inclure la notion de privacy by design dans le projet de règlement ePrivacy afin de renforcer et d’assurer la protection de la vie privée de l’utilisateur final.

  • Les « murs de cookies » et autres dispositifs ne laissant aucun choix à l’utilisateur final

Malgré les apports du projet de règlement ePrivacy, la Commission LIBE considère que les entreprises sont encore libres de mettre un « mur de cookies » qui empêche l’internaute d’accéder au site à moins de consentir au dépôt de cookies sur son terminal. Il conviendrait, selon elle, d’interdire explicitement cette pratique. Rappelons que le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte

[…] par un acte positif clair » la collecte de ses données (article 4, 11° du RGPD). Si le seul moyen d’accéder au site ou au service est de consentir au dépôt de cookies, peut-on parler de consentement libre ?

  • Le principe de la confidentialité des communications et les exceptions

Le principe de confidentialité interdit toute collecte ou utilisation de données à caractère personnel de l’utilisateur final à moins que ce dernier y ait consenti ou qu’une exception s’applique. Or, la Commission s’inquiète de l’étendue des deux exceptions envisagées. Les données pourront être utilisées et/ou collectées pour ce qui est nécessaire au regard de la finalité poursuivie par le fournisseur de services de communication électroniques ou dans le but de garantir la sécurité des services. La Commission LIBE recommande de modifier la première exception en ajoutant le terme « strictement nécessaire » plutôt que simplement « nécessaire ». En outre, elle préconise également d’interpréter la seconde exception de sécurité de manière limitative. Par exemple, seul le fournisseur et non le sous-traitant pourrait en bénéficier.

Que retenir ?

La proposition de règlement en sa version actuelle ne semble pas faire l’unanimité compte tenu des nombreuses questions non tranchées. En outre, le contrôleur européen de la protection des données, Giovanni Buttarelli, a souligné la fragilité de certaines dispositions et appel à un renforcement de la protection des données à caractère personnel des internautes. Pour en savoir plus sur le sujet, Mathias Avocats vous invite à consulter son article.

Mathias Avocats ne manquera pas de vous informer des modifications apportées au projet de règlement ePrivacy.