Présentation du projet de règlement ePrivacy
Ce projet, publié le 10 janvier 2017, s’inscrit dans le prolongement de la réforme des textes européens en matière de protection des données personnelles, initiée depuis 2012. Ce texte vise à remplacer la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques). Il fait suite à l’adoption du nouveau règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (2016/679) (abrégé en Règlement Général sur la Protection des Données ou « RGPD »), qui a remplacé l’ancienne directive 95/46/CE.
L’on peut d’ores et déjà présenter les aspects principaux de ce nouvel instrument.
Un règlement plutôt qu’une directive
Le nouvel instrument privilégié par la Commission pour remplacer la directive 2002/58/CE est un règlement, ce qui signifie que ses dispositions s’imposeront de manière obligatoire aux Etats membres, sans marge de manœuvre possible pour les législations nationales (sauf disposition spéciale).
Domaine d’application
Les domaines couverts par le projet de Règlement complètent ceux du RGPD. Ainsi, le RGPD s’applique à tous les domaines non couverts par le règlement ePrivacy ; ce dernier prévaudra en cas de conflit avec le RGPD et constitue une loi spéciale à cet égard (considérant 5, article 1.3).
Le règlement ePrivacy s’appliquera de manière large, notamment aux fournisseurs de services de télécommunications classiques, mais aussi aux services d’applications de messagerie et de communications électroniques (dits « over-the-top », tels que Whatsapp ou Skype) (considérant 8, article 2.1).
De manière générale, le règlement ePrivacy aura vocation à s’appliquer à tous traitements de données de communications électroniques en relation avec la fourniture, même gratuite, desdits services à des utilisateurs situés dans l’Union, quand bien même un service serait fourni depuis un pays non membre de l’Union ou que le traitement aurait lieu en dehors du territoire de l’Union (considérant 9, article 3).
De même, les transmissions de données personnelles entre « machines » (notamment le cas concernant les objets connectés) pourront être couvertes par le Règlement (considérant 12).
Métadonnées et cookies
Tout en énonçant le principe de confidentialité des communications électroniques (article 5), le règlement ePrivacy précise les conditions de licéité de la collecte et du traitement de métadonnées à l’occasion d’une communication électronique (article 6). En particulier, le traitement de métadonnées est possible sans autorisation préalable lorsqu’elle est nécessaire pour réaliser la communication ou pour assurer la sécurité service (article 6.1). L’on peut relever que l’utilisateur peut également consentir au traitement de ses métadonnées à condition que la finalité ne puisse être atteinte par le traitement de données anonymisées (article 6.2.c).
Le projet de règlement conserve la règle du consentement concernant le dépôt des cookies, et indique même que des règles identiques devraient s’appliquer lors de la collecte d’informations relatives aux équipements utilisés (considérant 20 et article 8).
Il conviendra donc d’obtenir le consentement préalable, à moins qu’il s’agisse de cookies techniquement nécessaires à l’utilisation du service par la personne concernée (article 8), ou qu’il s’agisse de cookies de paramétrage des préférences de l’utilisateur (considérant 21). En outre, si les cookies sont nécessaires pour réaliser des mesures d’audience, le fournisseur de service (et lui seul) pourra recourir à des cookies à cette fin sans l’autorisation préalable de l’utilisateur (article 8.d).
Consentement et paramétrage (« Do Not Track »)
Le règlement ePrivacy fait expressément référence au RGDP concernant les conditions d’obtention du consentement préalable (article 9.1). Il convient de noter que le consentement peut être exprimé via le paramétrage de son navigateur (grâce à l’option « Do Not Track » généralement proposée par les éditeurs) (article 9.2). Référence expresse est également faite au RGDP sur les modalités de retrait du consentement (à tout moment), le règlement ePrivacy prévoyant également un rappel de cette possibilité tous les six mois (article 9.3).
Cette disposition prend tout son sens à la lecture de l’article 10 du projet qui impose aux éditeurs de logiciels de communication électronique de prévoir l’option pour les utilisateurs de configurer le logiciel de manière à interdire aux tiers de stocker sur un appareil des données, ainsi que de traiter des données déjà présentes sur cet appareil (article 10.1). Ceux-ci doivent également informer et imposer aux utilisateurs de consentir à un paramétrage spécifique au moment de l’installation (article 10.2). Il convient de noter que la Commission a modifié le projet sur ce point par rapport au texte non-officiel qui avait fuité en décembre 2016 : celui-ci prévoyait une obligation de paramétrage par défaut interdisant la collecte (« privacy by design »), obligation qui aurait dû s’imposer également aux fabricants de matériel informatique.
Communications commerciales
Le règlement traite également la question des communications électroniques à but commercial, qu’elles soient réalisées par téléphone ou par messagerie électronique.
Ainsi, les communications constituant une prospection commerciale directe transmises par voie électronique par des personnes physiques ou morales sont soumises au consentement préalable du destinataire personne physique (article 16). L’on observe que le texte ne prévoit aucune distinction selon qu’il s’agisse d’un destinataire professionnel ou particulier, ce qui fait peser une incertitude sur le maintien de l’exception au consentement préalable concernant les sollicitations commerciales destinées aux professionnels.
En revanche, les communications commerciales transmises par appel téléphonique de voix à voix ne nécessitent pas l’obtention du consentement préalable, à condition que l’utilisateur ne se soit pas opposé à ce type de communication (article 16.4) ; elles sont toutefois notamment soumises à l’utilisation d’un préfixe au numéro indiquant qu’il s’agit d’une communication commerciale (article 16.3).
Sanctions
Le règlement prévoit une augmentation des sanctions mises à disposition des autorités de contrôle européennes, qui peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour des manquements au principe de confidentialité, aux règles régissant les utilisations permises et les délais de conservation des données.
Cependant, la Commission n’a pas prévu la possibilité d’action de groupes des utilisateurs, contrairement à ce que le projet non officiel de décembre 2016 envisageait dans le prolongement du RGDP (article 21).
Calendrier
Le texte du projet peut connaître de nombreux changements d’ici à son adoption. Le calendrier souhaité par la Commission est une entrée en vigueur effective en même temps que le RGPD, soit au 25 mai 2018. Le projet devrait donc prendre sa forme finale dans le courant de l’année 2017.
Loïc FOUQUET