Le règlement ePrivacy : à quoi devez-vous vous attendre ?

L’Union eu­ro­péenne s’efforce depuis des années de créer des règles uniformes au sein du marché unique numérique afin de mieux protéger les con­som­ma­teurs, les in­ter­nautes et les ti­tu­laires de droits. C’est dans ce contexte que l’ePrivacy est encore et toujours en dis­cus­sion. En effet, l’UE souhaite formuler des règles plus con­traig­nantes en matière de pro­tec­tion des données pour l’ensemble des états membres de l’Union eu­ro­péenne. Outre ce règlement, il existe déjà le règlement général sur la pro­tec­tion des données (RGPD) qui s’applique depuis 2018, ainsi que la loi pour une Ré­pu­blique numérique de 2016 et la loi In­for­ma­tique et Libertés, toutes les deux toujours en vigueur en France. En réalité, on ne sait pas encore quand la loi sur l’ePrivacy de l’UE entrera en vigueur et quelles seront les di­rec­tives concrètes qui en dé­cou­le­ront pour le secteur numérique.

L’Union eu­ro­péenne souhaite. avec le règlement ePrivacy (nom officiel : règlement du Parlement européen et du Conseil con­cer­nant le respect de la vie privée et la pro­tec­tion des données à caractère personnel dans les com­mu­ni­ca­tions élec­tro­niques et abrogeant la directive 2002/58/CE), renforcer la pro­tec­tion de la vie privée des citoyens lorsqu’ils com­mu­ni­quent en ligne et in­ten­si­fier la ré­gle­men­ta­tion de la pro­tec­tion des données au sein de l’UE. Il s’agit aussi de restaurer la confiance des personnes envers les canaux de com­mu­ni­ca­tion numérique. Après la première directive sur la pro­tec­tion des données (directive 95/46/CE) et la directive ePrivacy (2002/58/CE), le règlement ePrivacy, qui n’est pas encore entré en vigueur, est la troisième et pro­ba­ble­ment dernière mesure d’une ini­tia­tive visant à établir des règles et des di­rec­tives obli­ga­toires pour la pro­tec­tion des données en Europe. En résumé : grâce au projet ePrivacy de l’UE, la pro­tec­tion de la vie privée et des données ne devrait plus se heurter à l’avenir aux fron­tières na­tio­nales (du moins au sein de l’UE).

Avec cette ini­tia­tive, l’UE prend un cap bien né­ces­saire, puisque Internet comme nous le savons ne connaît pas de fron­tières. Mais qu’en­vi­sa­gent de faire exac­te­ment les autorités eu­ro­péennes avec le règlement ePrivacy ? Il faut tout d’abord noter que le règlement va toucher davantage les en­tre­prises que toute loi an­té­rieure sur la pro­tec­tion des données. Les pro­po­si­tions qui doivent entrer en vigueur s’adressent spé­ci­fi­que­ment aux ges­tion­naires de sites Web et aux éditeurs de logiciels, dont par exemple Meta (an­cien­ne­ment Facebook), Google et Zoom, et, plus largement, à l’ensemble de l’industrie numérique.

Le texte actuel comporte en tout cas un chan­ge­ment important au niveau de l’uti­li­sa­tion des cookies. Le rejet des cookies non né­ces­saires devrait ainsi être plus facile pour les in­ter­nautes et visiteurs du site et peut être maîtrisé via les pa­ra­mètres du na­vi­ga­teur, par exemple. Les opé­ra­teurs de sites Web ne devraient être autorisés à placer des cookies que si les uti­li­sa­teurs les acceptent ex­pres­sé­ment ou s’il s’agit de « cookies né­ces­saires » qui per­met­tent le bon fonc­tion­ne­ment d’un site (par exemple, les cookies de connexion). Si l’uti­li­sa­teur refuse, le contenu du site Internet devrait tout de même s’afficher. Ainsi, au lieu d’opter pour l’opt-out qui est aujourd’hui toléré, un opt-in serait donc né­ces­saire et obli­ga­toire.

À cette pro­po­si­tion est aussi associée une nouveauté qui im­po­se­rait aux éditeurs d’offrir aux in­ter­nautes et uti­li­sa­teurs la pos­si­bi­lité de ré­gle­men­ter le tracking. Ainsi, sera-t-il possible de poser et de stocker des cookies ? Et si oui, est-ce que cela peut être réalisé par un four­nis­seur initial ou bien par un tiers ? L’un des problèmes est donc de savoir quelle forme exacte devra prendre la con­fi­gu­ra­tion par défaut, c’est-à-dire si l’uti­li­sa­teur doit devenir actif afin de protéger sa vie privée. Le RGPD part du principe de « Privacy by Default » : les pa­ra­mètres de con­fi­den­tia­lité et de pro­tec­tion des données doivent être aussi stricts que possible après l’ins­tal­la­tion et ne peuvent être assouplis qu'en­suite par les uti­li­sa­teurs. En règle générale, les services de tracking ne doivent être autorisés sans le con­sen­te­ment des uti­li­sa­teurs que s’ils servent à des éva­lua­tions purement sta­tis­tiques.

Par con­sé­quent, la com­mu­ni­ca­tion machine à machine est un service de com­mu­ni­ca­tion élec­tro­nique, elle est donc incluse dans le projet du règlement ePrivacy. Telle est la réponse de l’UE face aux défis posés par l’Internet des objets. Il en va de même pour ce type de transfert de données que pour ceux dans lesquels les uti­li­sa­teurs sont di­rec­te­ment impliqués. Il est prévu que les appareils ne trans­met­tent des données à caractère personnel que si les uti­li­sa­teurs y con­sen­tent. Ainsi, cela pourrait affecter, par exemple, les données GPS des smart­phones.

D’une manière générale, les uti­li­sa­teurs doivent être informés de toute collecte de données et de la finalité de l’uti­li­sa­tion de celle-ci. Par con­sé­quent, le con­sen­te­ment ne doit pas être caché dans les con­di­tions générales ou lié à d’autres services. Par exemple, si un achat en ligne nécessite le transfert de données uti­li­sa­teur, ce qui est le cas en général, ceci reste autorisé. En revanche, il n’est pas permis d’utiliser ces données à des fins pu­bli­ci­taires. Cela né­ces­si­te­rait en effet un nouvel accord spé­ci­fique ou con­sen­te­ment clair du client.

Le règlement ePrivacy ne vise pas seulement à limiter l’uti­li­sa­tion des données à caractère personnel par les en­tre­prises. L’in­ter­ven­tion de l’État devrait aussi être plus fortement ré­gle­men­tée par l’ePrivacy. Le chif­fre­ment de bout en bout pourrait devenir obli­ga­toire : toute trans­mis­sion de données devra être to­ta­le­ment cryptée et ne pourra pas être consultée par les gou­ver­ne­ments. L’éta­blis­se­ment de « porte dérobée » (backdoor) doit également être interdit : des portes dérobées ins­tal­lées par les fa­bri­cants pour permettre aux gou­ver­ne­ments d’y accéder seront à l’avenir con­si­dé­rées comme illégales.

À noter que l’ePrivacy ne touche pas qu’Internet en matière de marketing direct. Si rien de change en principe pour l’email marketing, le règlement devrait réguler plus fortement le té­lé­mar­ke­ting : la pro­po­si­tion est que les appels té­lé­pho­niques à des fins pu­bli­ci­taires ne soient autorisés que si l’appelant divulgue son numéro de téléphone ou utilise un code obli­ga­toire pour indiquer qu’il s’agit bien d’un appel pu­bli­ci­taire.

Le règlement ePrivacy vise à remplacer la directive « ePrivacy » de 2002 (2002/58/CE), ac­tua­li­sée en 2009 avec la directive 2009/136/CE, également appelée « Directive Cookie ». Son objectif est d’har­mo­ni­ser les dif­fé­rentes lé­gis­la­tions et d’ac­com­pag­ner la réforme du RGPD (Règlement général sur la pro­tec­tion des données). Une directive eu­ro­péenne n’est pas une loi di­rec­te­ment ap­pli­cable et con­traig­nante, les di­rec­tives doivent en effet être trans­po­sées au niveau du droit national. Pour cela, les états se voient alors accorder une période d’adap­ta­tion plus ou moins longue. Cependant, un règlement est différent à ce niveau : en effet comme le RGPD, le futur règlement ePrivacy entrera en vigueur im­mé­dia­te­ment et sera con­traig­nant pour tous les États membres. La loi peut certes accorder une période tran­si­toire, mais par exemple, le RGPD s’applique à tous les citoyens de l’Union eu­ro­péenne depuis le 25 mai 2018.

L’in­tro­duc­tion du RGPD risque d’ajouter encore plus de confusion : quel règlement devra-t-on alors prendre en compte ? Dès la mise en ap­pli­ca­tion du règlement ePrivacy, la réponse est simple : il faudra tenir compte des deux rè­gle­ments. L’ePrivacy va en effet con­cré­ti­ser et détailler le RGPD. L’ePrivacy est une lex specialis. Cela signifie qu’il a priorité et précisera le règlement général sur la pro­tec­tion des données (RGPD) qui est une lex generalis. Le RGPD va ainsi être précisé et clarifié par l’ePrivacy sur des points spé­ci­fiques avec des règles claires. En effet, le RGPD n’a pas été créé ex­clu­si­ve­ment pour Internet.

Ainsi, l’ePrivacy con­tien­dra des clauses d’ouverture. Cela signifie que les états vont pouvoir influer sur certains pa­ra­graphes et dans les détails de la mise en œuvre. Cependant, chaque lé­gis­la­teur national doit encore modifier ou adapter des points de la lé­gis­la­tion nationale pour se conformer et respecter le droit européen. En France, la justice souhaite dans ce but mo­der­ni­ser et renforcer la pro­tec­tion de la vie privée.

Le règlement ePrivacy est en dis­cus­sion depuis avril 2016 mais aucune con­clu­sion dé­fi­ni­tive n’a encore été apportée. En janvier 2017, la Com­mis­sion eu­ro­péenne a publié son premier projet. Par la suite, plusieurs com­mis­sions ont donné des avis abou­tis­sant à un projet de pro­po­si­tion du Parlement européen en octobre 2017 (le RGPD était lui déjà adopté). Un mois plus tard, la pré­si­dence du Conseil de l’UE a publié un rapport sur l’état d’avan­ce­ment des travaux. L’étape suivante consiste à ce que le Conseil de l’UE décide et finalise le projet.

Le plan initial prévoyait l’entrée en vigueur de l’ePrivacy en même temps que le RGPD. Ce plan fut abandonné. Les États membres de l’UE n’ont pas été en mesure de se mettre d’accord sur une ligne commune. Mais il y a une lueur d’espoir : en février 2021, le Conseil de l’Union eu­ro­péenne a tout de même pu choisir une version commune, ce qui marque le coup d’envoi du trilogue. Cela signifie que les re­pré­sen­tants actuels des trois ins­ti­tu­tions im­pli­quées dans le processus lé­gis­la­tif de l’UE, à savoir la Com­mis­sion eu­ro­péenne, le Parlement et le Conseil des ministres, négocient entre eux.

Comme le règlement ePrivacy prévoit une période tran­si­toire de deux ans, il n’y aura dans tous les cas pas de mise en œuvre soudaine de la pro­po­si­tion. Pour 2022, la France prendra la pré­si­dence du Conseil, succédant au Portugal et à l’Allemagne, qui ont échoué avec leurs pro­po­si­tions.

Le règlement ePrivacy, dans son état actuel risque d’affecter (en plus des citoyens) prin­ci­pa­le­ment les opé­ra­teurs de services Internet et l’industrie du marketing en ligne. Il n’est donc guère sur­pre­nant que les plus grandes critiques pro­vien­nent de ces deux domaines. L’industrie de la publicité, en par­ti­cu­lier, critique le projet de l’UE :

• Plus d’efforts pour les in­ter­nautes : l’industrie pense que les uti­li­sa­teurs seront dépassés à l’avenir par le nombre d’ap­pro­ba­tions qui peuvent être exigées par l’ePrivacy. On suppose qu’un con­sen­te­ment spé­ci­fique devra être donné pour chaque transfert in­di­vi­duel.
• Le fi­nan­ce­ment des médias en ligne en péril : la prin­ci­pale critique est que les médias en ligne, aujourd’hui financés par la publicité, sont en danger. En effet, certains blogs, sites Web de journaux et autres médias sont bien souvent tri­bu­taires de la publicité Web pour se financer. Les uti­li­sa­teurs ne paient pas mais « con­som­ment » plutôt de la publicité. La sélection des pu­bli­ci­tés est gé­né­ra­le­ment basée sur les données col­lec­tées par les an­non­ceurs grâce au tracking. Si l’ePrivacy devrait sous sa forme actuelle entrer en vigueur, une telle publicité ne serait possible qu’avec un con­sen­te­ment explicite ; il est alors fort à parier que la plupart des uti­li­sa­teurs dé­cli­ne­raient ce con­sen­te­ment. Ainsi, une partie de l’industrie du marketing Web craint que cela empêche à l’avenir la libre dis­po­ni­bi­lité de l’in­for­ma­tion sur Internet.
• Manque de cohérence avec le RGPD : on voit des con­tra­dic­tions avec le RGPD. Pour cette raison, les as­so­cia­tions res­pon­sables supposent que ce nouveau règlement risque de ne pas apporter de clarté, mais plutôt une in­sé­cu­rité juridique. Il est à craindre que des chan­ge­ments dans les modèles d’affaires qui ont été réalisés pour se conformer avec le RGPD devront être bientôt modifiés à nouveau.

Veuillez prendre con­nais­sance des mentions légales en vigueur sur cet article.