L’Union européenne souhaite. avec le règlement ePrivacy (nom officiel : règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniqueset abrogeant la directive 2002/58/CE), renforcer la protection de la vie privée des citoyens lorsqu’ils communiquent en ligne et intensifier la réglementation de la protection des données au sein de l’UE. Il s’agit aussi de restaurer la confiance des personnes envers les canaux de communication numérique. Après la première directive sur la protection des données (directive 95/46/CE) et la directive ePrivacy (2002/58/CE), le règlement ePrivacy, qui n’est pas encore entré en vigueur, est la troisième et probablement dernière mesure d’une initiative visant à établir des règles et des directives obligatoires pour la protection des données en Europe. En résumé : grâce au projet ePrivacy de l’UE, la protection de la vie privée et des données ne devrait plus se heurter à l’avenir aux frontières nationales (du moins au sein de l’UE).
Avec cette initiative, l’UE prend un cap bien nécessaire, puisque Internet comme nous le savons ne connaît pas de frontières. Mais qu’envisagent de faire exactement les autorités européennes avec le règlement ePrivacy ? Il faut tout d’abord noter que le règlement va toucher davantage les entreprises que toute loi antérieure sur la protection des données. Les propositions qui doivent entrer en vigueur s’adressent spécifiquement aux gestionnaires de sites Web et aux éditeurs de logiciels, dont par exemple Meta (anciennement Facebook), Google et Zoom, et, plus largement, à l’ensemble de l’industrie numérique.
Le texte actuel comporte en tout cas un changement important au niveau de l’utilisation des cookies. Le rejet des cookies non nécessaires devrait ainsi être plus facile pour les internautes et visiteurs du site et peut être maîtrisé via les paramètres du navigateur, par exemple. Les opérateurs de sites Web ne devraient être autorisés à placer des cookies que si les utilisateurs les acceptent expressément ou s’il s’agit de « cookies nécessaires » qui permettent le bon fonctionnement d’un site (par exemple, les cookies de connexion). Si l’utilisateur refuse, le contenu du site Internet devrait tout de même s’afficher. Ainsi, au lieu d’opter pour l’opt-out qui est aujourd’hui toléré, un opt-in serait donc nécessaire et obligatoire.
À cette proposition est aussi associée une nouveauté qui imposerait aux éditeurs d’offrir aux internautes et utilisateurs la possibilité de réglementer le tracking. Ainsi, sera-t-il possible de poser et de stocker des cookies ? Et si oui, est-ce que cela peut être réalisé par un fournisseur initial ou bien par un tiers ? L’un des problèmes est donc de savoir quelle forme exacte devra prendre la configuration par défaut, c’est-à-dire si l’utilisateur doit devenir actif afin de protéger sa vie privée. Le RGPD part du principe de « Privacy by Default » : les paramètres de confidentialité et de protection des données doivent être aussi stricts que possible après l’installation et ne peuvent être assouplis qu'ensuite par les utilisateurs. En règle générale, les services de tracking ne doivent être autorisés sans le consentement des utilisateurs que s’ils servent à des évaluations purement statistiques.