Le règlement ePrivacy est en chemin, qu’en attendre ?

L’Union européenne s’efforce depuis des années de créer des règles uniformes au sein du marché unique numérique afin de mieux protéger les consommateurs, les internautes et les titulaires de droits. C’est dans ce contexte que l’ePrivacy est encore et toujours en discussion. En effet, l’UE souhaite formuler des règles plus contraignantes en matière de protection des données pour l’ensemble des états membres de l’Union européenne. Outre ce règlement, il existe déjà le règlement général sur la protection des données (RGPD) qui s’applique depuis 2018, ainsi que la loi pour une République numérique de 2016 et enfin la loi Informatique et Libertés qui sont toutes les deux toujours en vigueur en France. De plus, la confusion est augmentée par le fait qu’il n’y a pas encore de date précise sur l’entrée en vigueur du texte de l’UE « ePrivacy » et surtout qu’il n’existe pas encore de texte définitif comportant les exigences associées pour l’industrie du numérique.

Il reste donc encore beaucoup de zones d’ombres. Cependant afin d’avoir une idée approximative de ce qui risque d’advenir, nous vous informons dans cet article des points généraux et lignes directrices.

Remarque

Le règlement ePrivacy n’est pas identique au règlement général sur la protection des données (RGPD). Vous trouverez plus d’informations sur ce règlement européen, qui est obligatoire depuis mai 2018 dans notre article détaillé consacré au RGPD.

En quoi consiste l’ePrivacy ?

L’Union européenne souhaite avec le règlement ePrivacy (nom officiel : règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques) renforcer la protection de la vie privée en ligne des citoyens et réglementer en profondeur la protection des données. Il s’agit aussi de restaurer la confiance des personnes envers les canaux de communication numérique. Officiellement du moins, l’ePrivacy est censé renforcer le marché unique numérique (MUN). C’est la troisième et probablement dernière mesure de la stratégie MUN dédiée à l’économie numérique européenne. Le but est d’introduire une réglementation paneuropéenne pour que les entreprises sur Internet (du moins au sein de l’UE) n’échouent pas à cause des frontières nationales.

Avec cette initiative, l’UE prend un cap bien nécessaire, puisque Internet comme nous le savons ne connaît pas de frontières. Mais qu’envisagent de faire exactement les autorités européennes avec le règlement ePrivacy ? Il faut tout d’abord noter que le règlement ePrivacy qui a été présenté en janvier 2017 par la Commission européenne va toucher davantage les entreprises que toute loi antérieure sur la protection des données. Les propositions qui sont actuellement faites s’adressent aussi spécifiquement aux éditeurs de logiciels, dont par exemple les éditeurs d’applications comme WhatsApp ou Skype, et en principe plus largement à l’ensemble de l’industrie numérique.

Le texte actuel comporte en tout cas un changement important au niveau de l’utilisation des cookies. Le rejet des cookies non nécessaires devrait ainsi être plus facile pour les internautes et visiteurs du site et peut être maîtrisé, par exemple via les paramètres du navigateur. Les opérateurs de sites Internet. La question du consentement des internautes avant le dépôt de cookies sur leurs appareils est au cœur du nouveau texte. Les opérateurs de sites web ne devraient être autorisés à placer des cookies que si les utilisateurs les acceptent expressément. Si l’utilisateur refuse, le contenu du site Internet devrait tout de même s’afficher. Ainsi, au lieu d’opter pour l’opt-out qui est aujourd’hui toléré, un opt-in serait donc nécessaire et obligatoire.

Note

À ce jour, outre le RGPD est la directive 2009/136/CE, aussi connue sous le nom de Directive Cookie de l’UE qui encadre en particulier la manière dont les exploitants de sites Web peuvent placer des cookies pour les internautes.

À cette proposition est aussi associée une nouveauté qui imposerait aux éditeurs d’offrir aux internautes et utilisateurs la possibilité de réglementer le tracking. Ainsi, sera-t-il possible de poser et de stocker des cookies ? Et si oui, est-ce que cela peut être réalisé par un fournisseur initial ou bien par un tiers ? L’un des problèmes est donc de savoir quelle forme exacte devra prendre la configuration par défaut, c’est-à-dire si l’utilisateur doit devenir actif afin de protéger sa vie privée. Le RGPD est au moins basé sur « Privacy by Default » : les paramètres de confidentialité et de protection des données doivent être aussi stricts que possible après l’installation et seulement après, l’utilisateur pourra alors les changer, les modifier. Cela affecte principalement les navigateurs qui devront donc soumettre aux utilisateurs un choix sur la politique de tracking (les traceurs) et ces services ne devraient être autorisés qu’avec le consentement clair de l’utilisateur.

Le World Wide Web Consortium (W3C) s’est aussi penché sur la protection de la vie privée. Le résultat est l’en-tête do not track (DNT)HTTP, que de nombreux navigateurs populaires prennent déjà en charge. Grace à cela, les utilisateurs peuvent définir si besoin sur le navigateur qu’ils ne souhaitent pas avoir de tracking. L’en-tête HTTP transmet ensuite cette information aux sites Web. Pour l’instant, les opérateurs de sites Web ne sont toutefois pas obligés de se conformer à ce souhait. Ce n’est qu’un signalement délivré. Cela pourrait changer avec le règlement e-Privacy de l’UE. Mais cela risque d’aller plus loin, car selon ce règlement, non seulement le navigateur, mais toutes les technologies de transmission de données sont supposées être impliquées et concernées dans la protection des données.

Par conséquent, la communication machine à machine est un service de communication électronique, elle est donc incluse dans le projet du règlement ePrivacy. Telle est la réponse de l’UE face aux défis posés par l’Internet des objets. Il en va de même pour ce type de transfert de données que pour ceux dans lesquels les utilisateurs sont directement impliqués. Il est prévu que les appareils ne transmettent des données à caractère personnel que si les utilisateurs y consentent. Ainsi, cela pourrait affecter, par exemple, les données GPS des smartphones.

D’une manière générale, les utilisateurs doivent être informés de toute collecte de données et de la finalité de l’utilisation de celle-ci. Par conséquent, le consentement ne doit pas être caché dans les conditions générales ou lié àd’autres services. Par exemple, si un achat en ligne nécessite le transfert de données utilisateur, ce qui est le cas en général, ceci reste autorisé. Par contre, il n’est pas permis d’utiliser ces données à des fins publicitaires. Cela nécessiterait en effet un nouvel accord spécifique ou consentement clair du client.

Le règlement ePrivacy ne vise pas seulement à limiter l’utilisation des données à caractère personnel par les entreprises. L’intervention de l’État devrait aussi être plus fortement réglementée par l’ePrivacy. Le chiffrement de bout en bout pourrait devenir obligatoire : toute transmission de données devra être totalement cryptée et ne pourra pas être consultée par les gouvernements. L’établissement de « porte dérobée » (backdoor) doit également être interdit : des portes dérobées installées par les fabricants pour permettre aux gouvernements d’y accéder seront à l’avenir considérées comme illégales.

À noter que l’ePrivacy ne touche pas qu’Internet en matière de marketing direct : si rien de change en principe pour l’email marketing, le règlement par contre devrait réguler plus fortement le télémarketing : la proposition est que les appels téléphoniques à des fins publicitaires ne soient autorisés que si l’appelant divulgue son numéro de téléphone ou utilise un code obligatoire pour indiquer qu’il s’agit bien d’un appel publicitaire.

Règlement ePrivacy vs. Directive Cookie vs. RGPD

Le règlement ePrivacy vise à remplacer la directive « ePrivacy » de 2002 (2002/58/CE), actualisée en 2009 avec la directive 2009/136/CE, également appelée « Directive Cookie ». Son objectif est d’harmoniser les différentes législations et d’accompagner la réforme du RGPD (Règlement général sur la protection des données). Une directive européenne n’est pas une loi directement applicable et contraignante, les directives doivent en effet être transposées au niveau du droit national. Pour cela, les états se voient alors accorder une période d’adaptation plus ou moins longue. Par contre, un règlement est différent à ce niveau : en effet comme le RGPD, le futur règlement ePrivacy entrera en vigueur immédiatement et sera contraignant pour tous les États membres. La loi peut certes accorder une période transitoire, mais par exemple, le RGPD s’applique à tous les citoyens de l’Union européenne depuis le 25 mai 2018.

L’introduction du RGPD risque d’ajouter encore plus de confusion : quel règlement devra-t-on alors prendre en compte ? Dès la mise en application du règlement ePrivacy, la réponse est simple : il faudra tenir compte des deux règlements. L’ePrivacy va en effet concrétiser et détailler le RGPD. L’ePrivacy est une lex specialis. Cela signifie qu’il a priorité et précisera le règlement général sur la protection des données (RGPD) qui est une lex generalis. Le RGPD va ainsi être précisé et clarifié par l’ePrivacy sur des points spécifiques avec des règles claires. En effet, le RGPD n’a pas été créé exclusivement pour Internet.

À noter que ni le RGPD, ni le règlement ePrivacy ne rendent obsolètes la loi française Informatique et Libertés ou la loi sur le Numérique. En effet l’ePrivacy, comme le RGPD vont posséder des clauses d’ouverture. Cela signifie que les états vont pouvoir influer sur certains paragraphes et dans les détails de la mise en œuvre. Cependant chaque législateur national doit encore modifier ou adapter des points de la législation nationale pour se conformer et respecter le droit européen. En France, la justice souhaite dans ce but moderniser et renforcer la protection de la vie privée.

Le règlement ePrivacy : pour quand ?

Le règlement ePrivacy est en discussion depuis avril 2016 mais aucune conclusion définitive n’a encore été apportée. En janvier 2017, la Commission européenne a publié son premier projet. Par la suite, plusieurs commissions ont donné des avis aboutissant à un projet de proposition du Parlement européen en octobre 2017 (le RGPD était lui déjà adopté). Un mois plus tard, la présidence du Conseil de l’UE a publié un rapport sur l’état d’avancement des travaux. L’étape suivante consiste à ce que le Conseil de l’UE décide et finalise le projet.

Le plan initial prévoyait l’entrée en vigueur de l’ePrivacy en même temps que le RGPD, soit en mai 2018. Ce plan fut abandonné. Les États membres de l'UE n’ont pas été en mesure de se mettre d’accord sur une ligne commune pendant des années et ont récemment rejeté une proposition de compromis en novembre 2019. Certains membres du Conseil souhaitent même une refonte complète du règlement. Comme le règlement ePrivacy prévoit une période transitoire d’un an, il n’y aura dans tous les cas pas de mise en œuvre soudaine de la proposition. On ne peut malheureusement pas prédire dans quelle mesure le projet va entre-temps encore changer. La disposition sur les cookies a notamment entrainé une levée de boucliers du côté de nombreux acteurs du Web. C’est maintenant aux gouvernements européens au sein du Conseil de trancher.

Réactions et critiques

Le règlement ePrivacy, dans son état actuel risque d’affecter (en plus des citoyens) principalement les opérateurs de services Internet et l’industrie du marketing en ligne. Il n’est donc guère surprenant que les plus grandes critiques proviennent de ces deux domaines. L’industrie de la publicité, en particulier, critique le projet de l’UE :

  • Plus d’efforts pour les internautes : l’industrie pense que les utilisateurs seront dépassés à l’avenir par le nombre d’approbations qui peuvent être exigées par l’ePrivacy. Si un consentement spécifique doit être donné pour chaque transfert individuel.

  • Le financement des médias en ligne en péril : la principale critique est que les médias en ligne qui sont aujourd’hui financés par la publicité sont en danger. En effet, certains blogs, sites Web de journaux et autres médias sont bien souvent tributaires de la publicité Web pour se financer. Les utilisateurs ne paient pas mais « consomment » plutôt de la publicité. La sélection des publicités est généralement basée sur les données collectées par les annonceurs grâce au tracking. Si l’ePrivacy devrait sous sa forme actuelle entrer en vigueur, une telle publicité ne serait possible qu’avec un consentement explicite ; il est alors fort à parier que la plupart des utilisateurs déclineraient ce consentement. Ainsi, une partie de l’industrie du marketing Web craint que cela empêche à l’avenir la libre disponibilité de l’information sur Internet.

  • Manque de cohérence avec le RGPD : on voit des contradictions avec le RGPD. Pour cette raison, les associations responsables supposent que ce nouveau règlement risque de ne pas apporter de clarté mais plutôt une insécurité juridique. Il est à craindre que des changements dans les modèles d’affaires qui ont été réalisés pour se conformer avec le RGPD devront être bientôt modifiés à nouveau.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.


Attendez ! Nous avons quelque chose pour vous !
Votre messagerie professionnelle

Créez une adresse personnalisée
Affichez votre sérieux sur Internet
Nom de domaine inclus
À partir d' 1 € TTC/mois
Conseiller personnel inclus !