Le règlement ePrivacy : à quoi devez-vous vous attendre ?

L’Union européenne s’efforce depuis des années de créer des règles uniformes au sein du marché unique numérique afin de mieux protéger les consommateurs, les internautes et les titulaires de droits. C’est dans ce contexte que l’ePrivacy est encore et toujours en discussion. En effet, l’UE souhaite formuler des règles plus contraignantes en matière de protection des données pour l’ensemble des états membres de l’Union européenne. Outre ce règlement, il existe déjà le règlement général sur la protection des données (RGPD) qui s’applique depuis 2018, ainsi que la loi pour une République numérique de 2016 et la loi Informatique et Libertés, toutes les deux toujours en vigueur en France. En réalité, on ne sait pas encore quand la loi sur l’ePrivacy de l’UE entrera en vigueur et quelles seront les directives concrètes qui en découleront pour le secteur numérique.

Remarque

Le règlement ePrivacy n’est pas identique au règlement général sur la protection des données (RGPD). Vous trouverez plus d’informations sur ce règlement européen, qui est obligatoire depuis mai 2018 dans notre article détaillé consacré au RGPD.

En quoi consiste l’ePrivacy ?

L’Union européenne souhaite. avec le règlement ePrivacy (nom officiel : règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE), renforcer la protection de la vie privée des citoyens lorsqu’ils communiquent en ligne et intensifier la réglementation de la protection des données au sein de l’UE. Il s’agit aussi de restaurer la confiance des personnes envers les canaux de communication numérique. Après la première directive sur la protection des données (directive 95/46/CE) et la directive ePrivacy (2002/58/CE), le règlement ePrivacy, qui n’est pas encore entré en vigueur, est la troisième et probablement dernière mesure d’une initiative visant à établir des règles et des directives obligatoires pour la protection des données en Europe. En résumé : grâce au projet ePrivacy de l’UE, la protection de la vie privée et des données ne devrait plus se heurter à l’avenir aux frontières nationales (du moins au sein de l’UE).

Avec cette initiative, l’UE prend un cap bien nécessaire, puisque Internet comme nous le savons ne connaît pas de frontières. Mais qu’envisagent de faire exactement les autorités européennes avec le règlement ePrivacy ? Il faut tout d’abord noter que le règlement va toucher davantage les entreprises que toute loi antérieure sur la protection des données. Les propositions qui doivent entrer en vigueur s’adressent spécifiquement aux gestionnaires de sites Web et aux éditeurs de logiciels, dont par exemple Meta (anciennement Facebook), Google et Zoom, et, plus largement, à l’ensemble de l’industrie numérique.

Le texte actuel comporte en tout cas un changement important au niveau de l’utilisation des cookies. Le rejet des cookies non nécessaires devrait ainsi être plus facile pour les internautes et visiteurs du site et peut être maîtrisé via les paramètres du navigateur, par exemple. Les opérateurs de sites Web ne devraient être autorisés à placer des cookies que si les utilisateurs les acceptent expressément ou s’il s’agit de « cookies nécessaires » qui permettent le bon fonctionnement d’un site (par exemple, les cookies de connexion). Si l’utilisateur refuse, le contenu du site Internet devrait tout de même s’afficher. Ainsi, au lieu d’opter pour l’opt-out qui est aujourd’hui toléré, un opt-in serait donc nécessaire et obligatoire.

À cette proposition est aussi associée une nouveauté qui imposerait aux éditeurs d’offrir aux internautes et utilisateurs la possibilité de réglementer le tracking. Ainsi, sera-t-il possible de poser et de stocker des cookies ? Et si oui, est-ce que cela peut être réalisé par un fournisseur initial ou bien par un tiers ? L’un des problèmes est donc de savoir quelle forme exacte devra prendre la configuration par défaut, c’est-à-dire si l’utilisateur doit devenir actif afin de protéger sa vie privée. Le RGPD part du principe de « Privacy by Default » : les paramètres de confidentialité et de protection des données doivent être aussi stricts que possible après l’installation et ne peuvent être assouplis qu'ensuite par les utilisateurs. En règle générale, les services de tracking ne doivent être autorisés sans le consentement des utilisateurs que s’ils servent à des évaluations purement statistiques.

Note

Même s’il faudra encore attendre un certain temps avant que le règlement ePrivacy n’entre en vigueur et soit juridiquement valable, la CNIL (Commission nationale de l’informatique et des libertés a imposé un changement important en matière de suivi des cookies. Depuis le 1er avril 2021, chaque site Internet doit suivre l’article 82 de la loi Informatique et Libertés et permettre aux internautes de refuser aussi facilement qu’ils peuvent accepter l’utilisation des cookies destinés au traçage publicitaire. De plus, un silence doit être interprété comme un refus.

Par conséquent, la communication machine à machine est un service de communication électronique, elle est donc incluse dans le projet du règlement ePrivacy. Telle est la réponse de l’UE face aux défis posés par l’Internet des objets. Il en va de même pour ce type de transfert de données que pour ceux dans lesquels les utilisateurs sont directement impliqués. Il est prévu que les appareils ne transmettent des données à caractère personnel que si les utilisateurs y consentent. Ainsi, cela pourrait affecter, par exemple, les données GPS des smartphones.

D’une manière générale, les utilisateurs doivent être informés de toute collecte de données et de la finalité de l’utilisation de celle-ci. Par conséquent, le consentement ne doit pas être caché dans les conditions générales ou lié à d’autres services. Par exemple, si un achat en ligne nécessite le transfert de données utilisateur, ce qui est le cas en général, ceci reste autorisé. En revanche, il n’est pas permis d’utiliser ces données à des fins publicitaires. Cela nécessiterait en effet un nouvel accord spécifique ou consentement clair du client.

Le règlement ePrivacy ne vise pas seulement à limiter l’utilisation des données à caractère personnel par les entreprises. L’intervention de l’État devrait aussi être plus fortement réglementée par l’ePrivacy. Le chiffrement de bout en bout pourrait devenir obligatoire : toute transmission de données devra être totalement cryptée et ne pourra pas être consultée par les gouvernements. L’établissement de « porte dérobée » (backdoor) doit également être interdit : des portes dérobées installées par les fabricants pour permettre aux gouvernements d’y accéder seront à l’avenir considérées comme illégales.

À noter que l’ePrivacy ne touche pas qu’Internet en matière de marketing direct. Si rien de change en principe pour l’email marketing, le règlement devrait réguler plus fortement le télémarketing : la proposition est que les appels téléphoniques à des fins publicitaires ne soient autorisés que si l’appelant divulgue son numéro de téléphone ou utilise un code obligatoire pour indiquer qu’il s’agit bien d’un appel publicitaire.

Règlement ePrivacy vs. Directive Cookie vs. RGPD

Le règlement ePrivacy vise à remplacer la directive « ePrivacy » de 2002 (2002/58/CE), actualisée en 2009 avec la directive 2009/136/CE, également appelée « Directive Cookie ». Son objectif est d’harmoniser les différentes législations et d’accompagner la réforme du RGPD (Règlement général sur la protection des données). Une directive européenne n’est pas une loi directement applicable et contraignante, les directives doivent en effet être transposées au niveau du droit national. Pour cela, les états se voient alors accorder une période d’adaptation plus ou moins longue. Cependant, un règlement est différent à ce niveau : en effet comme le RGPD, le futur règlement ePrivacy entrera en vigueur immédiatement et sera contraignant pour tous les États membres. La loi peut certes accorder une période transitoire, mais par exemple, le RGPD s’applique à tous les citoyens de l’Union européenne depuis le 25 mai 2018.

L’introduction du RGPD risque d’ajouter encore plus de confusion : quel règlement devra-t-on alors prendre en compte ? Dès la mise en application du règlement ePrivacy, la réponse est simple : il faudra tenir compte des deux règlements. L’ePrivacy va en effet concrétiser et détailler le RGPD. L’ePrivacy est une lex specialis. Cela signifie qu’il a priorité et précisera le règlement général sur la protection des données (RGPD) qui est une lex generalis. Le RGPD va ainsi être précisé et clarifié par l’ePrivacy sur des points spécifiques avec des règles claires. En effet, le RGPD n’a pas été créé exclusivement pour Internet.

Ainsi, l’ePrivacy contiendra des clauses d’ouverture. Cela signifie que les états vont pouvoir influer sur certains paragraphes et dans les détails de la mise en œuvre. Cependant, chaque législateur national doit encore modifier ou adapter des points de la législation nationale pour se conformer et respecter le droit européen. En France, la justice souhaite dans ce but moderniser et renforcer la protection de la vie privée.

Le règlement ePrivacy : pour quand ?

Le règlement ePrivacy est en discussion depuis avril 2016 mais aucune conclusion définitive n’a encore été apportée. En janvier 2017, la Commission européenne a publié son premier projet. Par la suite, plusieurs commissions ont donné des avis aboutissant à un projet de proposition du Parlement européen en octobre 2017 (le RGPD était lui déjà adopté). Un mois plus tard, la présidence du Conseil de l’UE a publié un rapport sur l’état d’avancement des travaux. L’étape suivante consiste à ce que le Conseil de l’UE décide et finalise le projet.

Le plan initial prévoyait l’entrée en vigueur de l’ePrivacy en même temps que le RGPD. Ce plan fut abandonné. Les États membres de l’UE n’ont pas été en mesure de se mettre d’accord sur une ligne commune. Mais il y a une lueur d’espoir : en février 2021, le Conseil de l’Union européenne a tout de même pu choisir une version commune, ce qui marque le coup d’envoi du trilogue. Cela signifie que les représentants actuels des trois institutions impliquées dans le processus législatif de l’UE, à savoir la Commission européenne, le Parlement et le Conseil des ministres, négocient entre eux.

Comme le règlement ePrivacy prévoit une période transitoire de deux ans, il n’y aura dans tous les cas pas de mise en œuvre soudaine de la proposition. Pour 2022, la France prendra la présidence du Conseil, succédant au Portugal et à l’Allemagne, qui ont échoué avec leurs propositions.

Réactions et critiques

Le règlement ePrivacy, dans son état actuel risque d’affecter (en plus des citoyens) principalement les opérateurs de services Internet et l’industrie du marketing en ligne. Il n’est donc guère surprenant que les plus grandes critiques proviennent de ces deux domaines. L’industrie de la publicité, en particulier, critique le projet de l’UE :

  • Plus d’efforts pour les internautes : l’industrie pense que les utilisateurs seront dépassés à l’avenir par le nombre d’approbations qui peuvent être exigées par l’ePrivacy. On suppose qu’un consentement spécifique devra être donné pour chaque transfert individuel.
  • Le financement des médias en ligne en péril : la principale critique est que les médias en ligne, aujourd’hui financés par la publicité, sont en danger. En effet, certains blogs, sites Web de journaux et autres médias sont bien souvent tributaires de la publicité Web pour se financer. Les utilisateurs ne paient pas mais « consomment » plutôt de la publicité. La sélection des publicités est généralement basée sur les données collectées par les annonceurs grâce au tracking. Si l’ePrivacy devrait sous sa forme actuelle entrer en vigueur, une telle publicité ne serait possible qu’avec un consentement explicite ; il est alors fort à parier que la plupart des utilisateurs déclineraient ce consentement. Ainsi, une partie de l’industrie du marketing Web craint que cela empêche à l’avenir la libre disponibilité de l’information sur Internet.
  • Manque de cohérence avec le RGPD : on voit des contradictions avec le RGPD. Pour cette raison, les associations responsables supposent que ce nouveau règlement risque de ne pas apporter de clarté, mais plutôt une insécurité juridique. Il est à craindre que des changements dans les modèles d’affaires qui ont été réalisés pour se conformer avec le RGPD devront être bientôt modifiés à nouveau.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.