La refonte de la Directive « vie privée et communications électroniques »

En parallèle de l’adoption du nouveau RGPD en 2016, la Commission européenne entreprend d’adapter les règles de la Directive « vie privée et communications électroniques ». Un projet de Règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques est en débat ; il abrogerait la directive 2002/58/CE et s’articulerait avec le RGPD pour entrer en vigueur à la même période. Publié le 10 janvier 2017, ce projet vise à répondre à la préoccupation croissante des personnes quant à la protection de leur vie privée et à la confidentialité de leurs données. Marju Lauristin, rapporteur principal concernant le texte européen, a déposé son rapport fin juin 2017. L’occasion de faire un point de situation.

Le règlement se fixe deux grands champs d’action :

• renforcer la protection de la vie privée dans les communications électroniques, notamment en actualisant les règles en vigueur et en étendant leur application à l’ensemble des fournisseurs de services de communications électroniques, y compris les acteurs tels que Facebook, Gmail ou Skype.
• renforcer les règles relatives au traitement, à la confidentialité et à la sécurité des données relatives aux communications électroniques, dans le but de renforcer la confiance des personnes dans le marché unique numérique, qu’il s’agisse de personnes physiques ou morales.

En bref, les principales mesures envisagées sont les suivantes :

• Article 5 : Sur les données de communication, il est prévu que toutes les communications électroniques (SMS, emails ou appels vocaux…) sont par principe confidentielles. Les traitements tels que l’écoute, l’interception, l’analyse ou le stockage de ces communications sont interdits sauf consentement de la personne et sauf exception prévue par le règlement.
• Article 6 : Les données relatives au contenu des communications électroniques (textes, voix, images, vidéos, sons…) et aux métadonnées (sites web visités, date, heure et localisation d’un appel…), ne pourront être exploitées par les opérateurs que sous réserve de l’autorisation expresse de la personne concernée ou dans les cas nécessaires visés au règlement (tels que la facturation, la détection d’une utilisation frauduleuse ou abusive des services de communication…).
• Article 9 : Lorsque le consentement est donné, la personne devra en outre être en mesure de le retirer à tout moment et cette possibilité devra lui être rappelée tous les 6 mois.
• Article 9 et 10 : S’agissant des cookies et autres traceurs, le but est d’éviter que les internautes aient constamment à répondre à des demandes d’autorisation par un clic sur une bannière chaque fois qu’ils visitent un site internet, tout en leur garantissant une transparence sur les pratiques du site internet visité. Le règlement propose ainsi de simplifier les conditions de fourniture du consentement des internautes au dépôt de cookies et traceurs en leur permettant d’accepter ou de refuser le dépôt des cookies via la configuration de leur navigateur. Les navigateurs devront proposer une option permettant d’empêcher le dépôt de cookies tiers. Ces options de configuration devront être proposées à l’utilisateur lors de l’installation du navigateur ou lors de sa mise à jour s’il a été installé avant le 25 mai 2018 (et au plus tard le 28 août 2018).
• Article 8 : Le consentement de l’internaute ne sera pas nécessaire pour les cookies non intrusifs utilisés pour améliorer l’expérience en ligne des internautes, ainsi que pour les cookies d’audience (créés par un site afin de compter le nombre de visiteurs).
• Article 16 : Les démarcheurs devront afficher leur numéro de téléphone ou utiliser un indicatif spécial indiquant qu’il s’agit d’un appel commercial. En matière de prospection par voie électronique et téléphonique, il est prévu une interdiction générale de prospection des personnes physiques, sauf consentement préalable (opt-in). Par exception, à l’instar de ce que prévoit aujourd’hui le droit français, un opt-out sera suffisant pour la prospection par voie électronique, lorsque les personnes sont bien informées de l’utilisation qui sera faite de leurs données lors de leur collecte et que la prospection concerne des produits ou services analogues à ceux déjà fournis par la même personne. S’agissant du démarchage téléphonique, la loi nationale de chaque Etat-membre pourra également prévoir que seules les personnes physiques inscrites sur une liste d’opposition ne peuvent être appelées (opt-out).

A l’instar du RGPD, les manquements aux obligations prévues par le règlement eprivacy sont sanctionnées jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.

Dans le rapport récemment déposé (consultable ici) la rapporteur principal salue l’initiative de la Commission étant donné que les textes qui régissent actuellement le numérique au niveau européen datent de 2002. Compte tenu de l’évolution des nouvelles technologies, une telle refonte est nécessaire. Toutefois, elle revient sur différents points et clarifie la relation entre le RGPD et l’e-privacy.

Selon Madame Marju Lauristin, « il est important de se rappeler que le RGPD est vraiment basé sur l’article 8 de la Charte des droits fondamentaux relatif à la protection des données. Alors que le e-privacy est basé quant à lui sur l’article 7 relatif au respect de la vie privée. Les deux textes se complètent donc parfaitement.

Le rapport propose notamment d’inclure la communication machine-machine « seulement lorsqu’elle concerne une personne ». Son cheval de bataille : « Permettre l’innovation tout en fournissant des garanties ».

Juin 2017 a été le mois des controverses autour du projet de Règlement. Les r<éactions des acteurs principaux sont nombreuses et souvent négatives. Les Etats réclament plus de flexibilité, les médias européens ont formé des alliances pour lutter contre le règlement, des politiques demandent de voir quels sont les problèmes de mise en œuvre du RGPD avant de penser « e-privacy ».

Le calendrier prévu par le Parlement pour l’entrée en vigueur du nouveau règlement e-privacy en mai 2018 pourrait être compromis.

Le projet, toujours en débat au sein du parlement européen, est consultable ici. 

A suivre…