Règlement ePrivacy : quels enjeux pour notre vie privée ?

by | Apr 12, 2018 | GDPR / RGPD

Le Règlement ePrivacy

Avec l’arrivée imminente du RGPD, personne ou presque ne se préoccupe de la directive “vie privée et communications électroniques”, le fameux règlement ePrivacy. Proposé par la Commission européenne, le règlement ePrivacy s’apprête à modifier la protection de la vie privée des citoyens européens, en offrant de nouvelles perspectives commerciales aux entreprises européennes.

Parmi les grandes thématiques abordées figurent l’utilisation des cookies et autres traceurs, sans oublier le recueil du consentement des internautes.

Le 26 octobre 2017, le Parlement européen s’est arrêté sur un premier texte, consultable ici. C’est maintenant au tour des gouvernements des États européens et des représentants du Parlement de débattre pour s’entendre sur une version commune. La version finale de ce règlement devrait remplacer à terme la directive du même nom “règlement ePrivacy”, afin de l’harmoniser avec le RGPD.

La géolocalisation

La situation juridique actuelle

Aujourd’hui, les données émisent par nos appareils électroniques sont protégées par le droit de l’Union européenne depuis 2002 (articles 6 et 9 de la directive 2002/58/CE). Ces données sont celles émises lors de la connexion à des bornes Wi-Fi ou lorsqu’un téléphone se connecte aux antennes relais du réseau. Pour le moment, ces données sont utilisées pour connecter les citoyens à un réseau de communications.

Pour toute autre raison, comme la géolocalisation par exemple, le consentement de l’utilisateur est exigé.

Ce qui pourrait changer avec l’arrivée de ePrivacy

La Commission européenne souhaite supprimer cette exigence de consentement (article 8§2 de la proposition de règlement).

En remplacement de celle-ci, la Commission veut autoriser les entreprises à géolocaliser les individus à condition qu’elles installent une affiche leur indiquant qu’ils évoluent dans un lieu “surveillé” et les procédures à suivre pour éviter cette surveillance.

A titre d’exemple, le gérant d’un centre commercial aura la possibilité de tracer les allées et venues de toute personne se déplaçant dans les différents magasins du centre : dans quelle boutique, combien de temps, le nombre de visites par mois etc.

Le Parlement européen indique que ce traçage ne pourrait être utilisable que pour des “statistiques” anonymes, c’est à dire ne permettant pas d’identifier les personnes individuellement. Une limite qui ne restreint pas le temps de conservation de ces données personnelles.

Traçage en ligne

La situation juridique actuelle

En 2009, l’Union européenne a interdit aux sites internet de déposer ou de lire des informations (comme les cookies) sur nos ordinateurs, smartphones, tablette ou tout autre appareil connecté, sans obtenir le consentement des utilisateurs (article 5§3 de la directive 2002/58/CE). Cette mesure empêchait un traçage généralisé d’un site à un autre.

Mais depuis cette directive, son application est devenu trop permissive, entraînant un consentement “silencieux” et “forcé”. Effectivement, le consentement est aujourd’hui accordé à partir du moment où l’internaute navigue sur un site et qu’un bandeau le prévenant du pistage dont il fait preuve (les “bandeaux cookie”) est affiché. Le silence vaut donc acceptation.

Et pour limiter ce pistage, l’internaute doit configurer son navigateur pour interdire les cookie ou installer un bloqueur de publicité, ce qui n’est pas forcément évident, ni totalement utile.

Ce qui pourrait changer avec l’arrivée de ePrivacy

Avec le RGPD (entrée en vigueur le 25 mai prochain), l’Union européenne adopte un nouveau règlement avec de nouveaux droits pour ses citoyens, notamment deux changements majeurs :

  • Avec RGPD, le consentement devra obligatoirement être donné par une “action positive”, le silence ne pourra plus être considéré comme acceptation (article 4§11 du règlement).
    Un accord fourni sous la menace de ne pas pouvoir accéder à un service sera désormais invalide (article 7§4).
  • Ces changements sont positifs pour la protection des données personnelles des citoyens. En effet, avec ePrivacy, un fournisseur de services ne pourra plus refuser un service pour cause de non consentement (paragraphe 18 de la proposition de « Règlement ePrivacy ») :

« Le consentement relatif au traitement de données résultants de l’utilisation d’Internet ou des communications vocales ne sera pas valable si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »

Avec ePrivacy, les données personnelles ne sont définitivement pas des marchandises.

L’analyse des communications

La situation juridique actuelle

Actuellement, le droit de l’Union européenne exige de donner son consentement pour qu’une communication électronique (SMS, appels, e-mails ou utilisation d’Internet) soit analysée ou revendue à des fins commerciales (articles 5 et 6 de la directive 97/66/CE, repris par la directive 2002/58/CE).

Ce qui pourrait changer avec l’arrivée de ePrivacy

L’arrivée du RGPD a pour objectif de mieux protéger la vie privée des citoyens européens. Ce règlement va s’appliquer à tous les domaines d’activités et ses règles ne sont pas remises en cause par le règlement ePrivacy.

Mais à la question : “Dans quels cas est-il acceptable de traiter des données personnelles sans le consentement des personnes concernées ?” Le RGPD a choisi de ne pas y répondre précisément, laissant chaque acteur définir lui-même, en fonction de son activité, quels sont les « intérêts légitimes » lui permettant de ne pas demander le consentement des utilisateurs (règle héritée de la directive de 1995).

ePrivacy, parce qu’il concerne un secteur d’activité (confidentialité des communications électroniques), doit statuer sur le cas où traiter des données personnelles sans consentement serait acceptable.

L’utilisation des données personnelles par un État

La situation juridique actuelle

L’Union européenne interdit aux entreprises d’exploiter les données recueillies lors de communications. Mais les États européens sont autorisés à contraindre une entreprise à déroger à cette règle (article 15 de la directive 2002/58/CE). C’est le cas notamment lorsque la sûreté nationale est menacée. Par exemple, en France, en Allemagne, en Espagne ou en Italie, les fournisseurs d’accès à Internet sont obligés de conserver des données sur leurs utilisateurs pendant un certain laps de temps.

Ce qui pourrait changer avec l’arrivée de ePrivacy

Avec ePrivacy, le Parlement européen a souhaité prendre en compte certaines des limites posées par la Cour de justice, notamment l’interdiction de la surveillance pour des motifs économiques (pour un “intérêt économique important”) et en exigeant plus de transparence des États et leurs autorités.

La protection de la vie privée des citoyens est largement améliorée avec l’arrivée prochaine de RGPD. Le règlement ePrivacy doit permettre d’améliorer la protection des données personnelles dans le domaine des communications électroniques : réseaux de télécommunications, services de messagerie, pistage en ligne et géolocalisation.

Il sera très intéressant de voir comment le RGPD et ePrivacy parviennent à changer les pratiques, et surtout à imposer la mise en application de leurs exigences. Ces réglementations, bien qu’en retard sur nos usages digitaux, interviennent au moment opportun puisqu’une prise de conscience générale sur ces sujets de protection de la vie privée et des données personnelles est en cours (à l’instar du cas Cambridge Analytica/Facebook).

A défaut de voir ces nouveaux règlements comme des contraintes, il y a là l’opportunité d’apporter des arguments de poids pour insuffler la culture d’une transformation digitale réussie au sein des organisations, pas toujours conscientes ni volontaires sur ces problématiques.