La proposition de règlement E-Privacy sur la protection de la vie privée : un nouveau cadre de protection pour les communications électroniques

Le 10 janvier 2017, la Commission européenne a présenté une proposition de règlement « vie privée et communications électroniques » [1] destinée à remplacer la directive dite E-Privacy [2] modifiée en 2009. La proposition vise à achever le cadre juridique existant de la protection des données, en complétant et précisant le Règlement Général sur la Protection des Données Personnelles [3] (RGDP) en ce qui concerne les données de communications électroniques.

L'instrument juridique choisi est le règlement, directement applicable et légalement contraignant dans tous les Etats membres. Il favorisera la sécurité juridique et l'uniformité des règles au bénéfice du marché unique numérique.

La proposition E-Privacy tient compte de l'important développement technologique et économique dans le secteur des communications électroniques et a pour objectif d'adapter les principes existants aux nouvelles pratiques. Elle vise à assurer un haut niveau de protection de la confidentialité des communications, quelle que soit la technologie utilisée.

La proposition suit actuellement le processus législatif de l'Union européenne (UE). Le « groupe de travail de l'Article 29 » (G29) [4] et le Contrôleur européen de la protection des données (CEPD) ont publié leurs avis en avril 2017, tout comme le Comité économique et social européen (CESE) en juillet 2017. Le 26 octobre 2017, le Parlement européen a voté, en session plénière, en faveur des amendements proposés par la Commission des libertés civiles, de la justice et des affaires intérieures (« LIBE »). La prochaine étape du processus vers le nouveau règlement E-Privacy, avant le Trilogue, est l'adoption de la version définitive des propositions d'amendement du Conseil de l'Union européenne, qui est attendue pour la fin du second semestre 2018. Le 5 décembre 2017, le Conseil a publié un document résumant le travail effectué à ce jour, qui servira de base aux discussions ultérieures.

Principaux apports de la proposition de règlement dans sa version modifiée :
- Extension des services couverts
La proposition E-Privacy vise à adapter les règles actuellement applicables aux services de télécommunication traditionnels aux nouvelles formes de services de communications électroniques. Les services de communication par contournement ou technologies « Over the Top » (OTT) tels que Skype, WhatsApp, Facebook, Messenger, Gmail, etc. seront couverts par le nouveau règlement.

- Extension du champ d'application territorial du règlement
D'après la proposition, le règlement aura un effet extraterritorial. Il s'appliquera à la fourniture de services de communications électroniques aux utilisateurs finaux situés dans l'UE, même si le fournisseur est établi en dehors de l'UE.

- Une protection forte de toutes les données de communication
Dans la mesure où les données de communications électroniques sont susceptibles de révéler des aspects sensibles de la vie privée des individus, la proposition de règlement a pour objectif d'assurer un niveau de protection élevé de la confidentialité des données de communications électroniques. La notion de données de communications électroniques couvre à la fois le contenu de celles–ci et les métadonnées qui leurs sont associées. Le traitement des données de communications électroniques est autorisé dans des cas limitativement énumérés par le futur règlement, principalement pour des raisons techniques (transmission d'une communication ou fourniture d'un service, maintien de la sécurité, facturation, etc.) ou sur la base du consentement préalable des utilisateurs. Le futur règlement prévoit également des limitations au stockage des données de communication.

- Simplification des règles sur les cookies et autres traceurs
L'aspect le plus visible et certainement le plus discuté du nouveau règlement est la nouvelle politique concernant les cookies. La proposition E-Privacy vise à redonner aux utilisateurs le contrôle sur leurs informations, en simplifiant les règles concernant les cookies et autres traceurs.

Conformément à la proposition, l'utilisation de cookies et autres traceurs sera interdite, sauf (1) en cas de consentement préalable des utilisateurs, (2) lorsque cela sera nécessaire pour la transmission des communications électroniques, (3) pour fournir un service à distance par voie électronique demandé par l'utilisateur ou (4) s'ils sont nécessaires pour mesurer les résultats d'audience sur le Web.

Le Parlement européen a ajouté des conditions à l'utilisation de cookies pour les mesures d'audience, en particulier l'agrégation des données. Il propose également d'autres exceptions : (5) lorsque cela sera nécessaire pour les mises à jour de sécurité de l'équipement terminal et (6) dans le cadre des relations de travail.

De plus, le Parlement propose d'interdire expressément aux fournisseurs de services de refuser l'accès à un service ou une fonctionnalité au motif que les utilisateurs n'ont pas donné leur consentement à l'utilisation de cookies non nécessaires à la fourniture de ce service ou de cette fonctionnalité (« cookies wall »).

- Communications commerciales
Les règles relatives aux communications commerciales non sollicitées, qui complètent le droit général de s'opposer à la prospection commerciale imposé par le RGDP, resteront similaires à la législation actuellement en vigueur. Le consentement préalable de l'utilisateur sera requis avant l'envoi de communications électroniques à des fins de prospection commerciale. L'exception applicable à la prospection commerciale concernant des produits ou services similaires à ceux déjà achetés par le client est également maintenue.

Toutefois, dans le cadre du nouveau règlement, le champ d'application de ces règles est étendu à toutes les communications de prospection commerciale adressées via des « services de communications électroniques ». Le rapport du Parlement européen précise que seront désormais couverts les appels automatisés, les systèmes de communication, les systèmes semi-automatisés qui relient la personne appelante à un particulier, les télécopies, les courriers électroniques ou toute autre utilisation de services de communications électroniques. La proposition comprend également des conditions spécifiques applicables à la prospection commerciale par voie téléphonique et renforce les garanties pour les personnes physiques.

- Nouvelle définition du consentement et « privacy-by-default »
Les conditions du consentement de l'utilisateur sont alignées avec le RGDP. Ainsi, le consentement devra être donné par le biais d'une déclaration ou d'un acte positif clair. Par conséquent, les bandeaux concernant les cookies et autres traceurs ne seront plus considérés comme appropriés et une manière plus « conviviale » de recueillir le consentement sera requise.

En outre, la proposition prévoyait initialement une obligation de développer les logiciels, y incluant les navigateurs Internet, de façon à ce qu'ils offrent aux utilisateurs, à travers un paramétrage technique approprié, la possibilité d'empêcher l'utilisation de cookies et autres traceurs. Le Parlement européen est allé plus loin, en introduisant le principe de protection de la vie privée par défaut (« privacy-by-default »). Ce principe imposera aux fournisseurs de logiciels de configurer leurs produits avec les paramètres les plus protecteurs de la vie privée. Les logiciels devront protéger la vie privée et interdire le suivi, le stockage et la collecte d'informations sans qu'aucune action de la part de l'utilisateur ne soit nécessaire.

- Les sanctions pour non-conformité renforcées
Le régime de sanctions en cas d'infraction au nouveau règlement sur la protection de la vie privée a été aligné à celui du RGDP. L'amende administrative maximale peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Prochaines étapes
À l'origine, l'intention de la Commission était que le règlement sur la protection de la vie privée soit applicable à compter du 25 mai 2018, tout comme le RGDP. Néanmoins, en raison du processus législatif complexe et des nombreux débats, il est peu probable que le règlement soit adopté assez tôt. En outre, le Parlement européen propose une période de transition d'un an entre l'entrée en vigueur du règlement et son application.

Même si le texte final n'est pas encore adopté, il est recommandé aux organisations de tenir déjà compte du prochain règlement sur la protection de la vie privée et d'anticiper certains éléments importants dans le cadre de leur stratégie RGDP.

1 Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE

2 Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

3 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

4 « Groupe de travail de l'Article 29 » institué par la Directive européenne 95/46/CE (qui rassemble les autorités de protection des données des Etats membres, outre un représentant de la commission européenne et du délégué européen à la protection des données)