Le règlement ePrivacy est en chemin, qu’en attendre ?

L’ensemble des directives et des règlementations sur le numérique devient de plus en plus complexe et opaque. L’Allemagne discute encore de la loi sur la modération des réseaux sociaux (le NetzDG), Strasbourg (le Parlement européen) et Bruxelles (Conseil de l’Union européenne) discutent eux déjà d’un autre sujet : le règlement ePrivacy. En effet, l’UE souhaite formuler des règles plus contraignantes en matière de protection des données pour l’ensemble des états membres de l’Union européenne. Outre ce règlement, il existe déjà le règlement général sur la protection des données (RGPD) qui va s’appliquer cette année, ainsi que la loi pour une République numérique de 2016 et enfin la loi Informatique et Libertés qui sont toutes les deux toujours en vigueur en France. De plus, la confusion est accrue par le fait qu’il n y a pas encore de date précise sur l’entrée en vigueur du texte de l’UE « ePrivacy » et surtout qu’il n’existe pas encore de texte définitif comportant les exigences associées pour l’industrie du numérique.

Il reste donc encore beaucoup de zones d’ombres. Cependant afin d’avoir une idée approximative de ce qui risque d’advenir, nous vous informons dans cet article des points généraux et lignes directrices.

Remarque

le règlement ePrivacy n’est pas identique au règlement général sur la protection des données (RGPD). Vous trouverez plus d’informations sur ce règlement européen, qui sera lui obligatoire à partir de mai 2018 dans notre article détaillé consacré à ce sujet.

En quoi consiste l’ePrivacy ?

L’Union européenne souhaite avec le règlement ePrivacy (nom officiel : règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques) renforcer la protection de la vie privée en ligne des citoyens et réglementer en profondeur la protection des données. Il s’agit aussi de restaurer la confiance des personnes envers les canaux de communication numérique. Officiellement du moins, l’ePrivacy est censé renforcer le marché unique numérique (MUN). C’est la troisième et probablement dernière mesure de la stratégie MUN dédiée à l’économie numérique européenne. Le but est d’introduire une réglementation paneuropéenne pour que les entreprises sur Internet (du moins au sein de l’UE) n’échouent pas à cause des frontières nationales. 

Avec cette initiative, l’UE prend un cap bien nécessaire, puisque Internet comme nous le savons ne connaît pas de frontières. Mais qu’envisagent de faire exactement les autorités européennes avec le règlement ePrivacy ? Il faut tout d’abord noter que le règlement ePrivacy qui a été présenté en janvier 2017 par la Commission européenne va toucher davantage les entreprises que toute loi antérieure sur la protection des données. Les propositions qui sont actuellement faites s’adressent aussi spécifiquement aux éditeurs de logiciels, dont par exemple les éditeurs d’applications comme WhatsApp ou Skype, et en principe plus largement à l’ensemble de l’industrie numérique.

Le texte présenté comporte en tout cas un changement important au niveau de l’utilisation des cookies. Actuellement, un avis qui informe les internautes lorsqu’ils visitent un site Web de l’utilisation de cookies est légalement suffisant. Si les utilisateurs ne sont pas d’accord avec cela, ils peuvent choisir de quitter le site Internet. Ce point précis doit être modifié par le nouveau règlement : la question du consentement des internautes avant le dépôt de cookies sur leurs appareils est au cœur du nouveau texte. De plus, si l’utilisateur refuse, le contenu du site Internet devra tout de même s’afficher. Ainsi, au lieu d’opter pour l’opt-out qui est aujourd’hui toléré, un opt-in.

A cette proposition est aussi associée une nouveauté qui imposerait aux éditeurs d’offrir aux internautes et utilisateurs la possibilité de réglementer le tracking. Ainsi, sera-t-il possible de poser et de stocker des cookies ? Et si oui, est-ce que cela peut être réalisé par un fournisseur initial ou bien par un tiers ? L’un des problèmes est donc de savoir quelle forme exacte devra prendre la configuration par défaut, c’est-à-dire si l’utilisateur doit devenir actif afin de protéger sa vie privée. Le RGPD est au moins basé sur « Privacy by Default » : les paramètres de confidentialité et de protection des données doivent être aussi stricts que possible après l’installation et seulement après, l’utilisateur pourra alors les changer, les modifier. Cela affecte principalement les navigateurs qui devront donc soumettre aux utilisateurs un choix sur la politique de tracking (les traceurs) et ces services ne devraient être autorisés qu’avec le consentement clair de l’utilisateur.

Le World Wide Web Consortium (W3C) s’est aussi penché sur la protection de la vie privée. Le résultat est l’en-tête do not track (DNT) HTTP, que de nombreux navigateurs populaires prennent déjà en charge. Grace à cela, les utilisateurs peuvent définir si besoin sur le navigateur qu’ils ne souhaitent pas avoir de tracking. L'en-tête HTTP transmet ensuite cette information aux sites Web. Pour l’instant, les opérateurs de sites Web ne sont toutefois pas obligés de se conformer à ce souhait. Ce n’est qu’un signalement délivré. Cela pourrait changer avec le règlement e-Privacy de l’UE. Mais cela risque d’aller plus loin, car selon ce règlement, non seulement le navigateur, mais toutes les technologies de transmission de données sont supposées être impliquées et concernées dans la protection des données.

Par conséquent, la communication machine à machine est un service de communication électronique, elle est donc incluse dans le projet du règlement ePrivacy. Telle est la réponse de l’UE face aux défis posés par l’Internet des objets. Il en va de même pour ce type de transfert de données que pour ceux dans lesquels les utilisateurs sont directement impliqués. Il est prévu que les appareils ne transmettent des données à caractère personnel que si les utilisateurs y consentent. Ainsi, cela pourrait affecter, par exemple, les données GPS des smartphones.

D’une manière générale, les utilisateurs doivent être informés de toute collecte de données et de la finalité de l’utilisation de celle-ci. Par conséquent, le consentement ne doit pas être caché dans les conditions générales ou lié à d’autres services. Par exemple, si un achat en ligne nécessite le transfert de données utilisateur, ce qui est le cas en général, ceci reste autorisé. Par contre, il n’est pas permis d’utiliser ces données à des fins publicitaires. Cela nécessiterait en effet un nouvel accord spécifique ou consentement clair du client.

Le règlement ePrivacy ne vise pas seulement à limiter l’utilisation des données à caractère personnel par les entreprises. L’intervention de l’Etat devrait aussi être plus fortement réglementée par l’ePrivacy. Le chiffrement de bout en bout devrait devenir obligatoire : toute transmission de données devra être totalement cryptée et ne pourra pas être consultée par les gouvernements. L’établissement de « porte dérobée » (backdoor) doit également être interdit : des portes dérobées installées par les fabricants pour permettre aux gouvernements d’y accéder seront à l’avenir considérées comme illégales.

A noter que l’ePrivacy ne touche pas qu’Internet en matière de marketing direct : si rien de change en principe pour l’email marketing, le règlement par contre devrait réguler plus fortement le télémarketing : la proposition est que les appels téléphoniques à des fins publicitaires ne soient autorisés que si l’appelant divulgue son numéro de téléphone ou utilise un code obligatoire pour indiquer qu’il s’agit bien d’un appel publicitaire.

Règlement ePrivacy vs. Directive ePrivacy vs. RGPD

Le règlement ePrivacy vise à remplacer la directive ePrivacy de 2002 (2002/58/CE), également appelée « Directive Cookie », et son objectif est d’harmoniser les différentes législations et d’accompagner la réforme du RGPD (Règlement général sur la protection des données). Une directive européenne n’est pas une loi directement applicable et contraignante, les directives doivent en effet être transposées au niveau du droit national. Pour cela, les états se voient alors accorder une période d’adaptation plus ou moins longue. Par contre, un règlement est différent à ce niveau : en effet comme le RGPD, le futur règlement ePrivacy entrera en vigueur immédiatement et sera contraignant pour tous les Etats membres. La loi peut certes accorder une période transitoire, par exemple, le RGPD s’applique à tous les citoyens de l’Union européenne à partir du 25 mai 2018.

L’introduction du RGPD cette année risque d’ajouter encore plus de confusion : quel règlement devra-t-on prendre en compte ? Dès la mise en application du règlement ePrivacy, la réponse est simple : il faudra tenir compte des deux règlements. L’ePrivacy va en effet concrétiser et détailler le RGPD. L’ePrivacy est une lex specialis. Cela signifie qu’il a priorité et précisera le règlement général sur la protection des données (RGPD) qui est une lex generalis. Le RGPD va ainsi être précisé et clarifié par l’ePrivacy sur des points spécifiques avec des règles claires. En effet, le RGPD n’a pas été créé exclusivement pour Internet.

A noter que ni le RGPD, ni le règlement ePrivacy ne rendent obsolètes la loi française Informatique et Libertés ou la loi sur le Numérique. En effet l’ePrivacy, comme le RGPD vont posséder des clauses d’ouverture. Cela signifie que les états vont pouvoir influer sur certains paragraphes et dans les détails de la mise en œuvre. Cependant chaque législateur national doit encore modifier ou adapter des points de la législation nationale pour se conformer et respecter le droit européen. En France, la justice souhaite dans ce but moderniser et renforcer la protection de la vie privée.

Le règlement ePrivacy : pour quand ?

Le règlement ePrivacy est en discussion depuis avril 2016 mais aucune conclusion définitive n’a encore été apportée. En janvier 2017, la Commission européenne a publié son premier projet. Par la suite, plusieurs commissions ont données des avis aboutissant à un projet de proposition du Parlement européen en octobre 2017 (le RGPD était lui déjà adopté). Un mois plus tard, la présidence du Conseil de l’UE a publié un rapport sur l’état d’avancement des travaux. L’étape suivante consiste à ce que le Conseil de l’UE décide et finalise le projet.

Le plan initial prévoyait l’entrée en vigueur de l’ePrivacy en même temps que le RGPD, soit en mai 2018. Ce plan semble abandonné. On s’attend plutôt à ce qu’un accord soit conclu au plus tôt début 2019. Comme le règlement ePrivacy prévoit une période transitoire d’un an, il n’y aura dans tous les cas pas de mise en œuvre soudaine de la proposition. On ne peut malheureusement pas prédire dans quelle mesure le projet va entre-temps encore changer. La disposition sur les cookies a notamment entrainé une levée de boucliers du côté de nombreux acteurs du Web. C’est maintenant aux gouvernements européens au sein du Conseil de trancher.

Réactions et critiques

Le règlement ePrivacy, dans son état actuel risque d’affecter (en plus des citoyens) principalement les opérateurs de services Internet et l’industrie du marketing en ligne. Il n’est donc guère surprenant que les plus grandes critiques proviennent de ces deux domaines. L’industrie de la publicité, en particulier, critique le projet de l’UE :

  • Plus d’efforts pour les internautes : l’industrie pense que les utilisateurs seront dépassés à l’avenir par le nombre d’approbations qui peuvent être exigées par l’ePrivacy. Si un consentement spécifique doit être donné pour chaque transfert individuel.

  • Le financement des médias en ligne en péril : la principale critique est que les médias en ligne qui sont aujourd’hui financés par la publicité sont en danger. En effet, certains blogs, sites Web de journaux et autres médias sont bien souvent tributaires de la publicité Web pour se financer. Les utilisateurs ne paient pas mais « consomment » plutôt de la publicité. La sélection des publicités est généralement basée sur les données collectées par les annonceurs grâce au tracking. Si l’ePrivacy devrait sous sa forme actuelle entrer en vigueur, une telle publicité ne serait possible qu’avec un consentement explicite ; il est alors fort à parier que la plupart des utilisateurs déclineraient ce consentement. Ainsi, une partie de l’industrie du marketing Web craint que cela empêche à l’avenir la libre disponibilité de l’information sur Internet.

  • Manque de cohérence avec le RGPD : on voit des contradictions avec le RGPD. Pour cette raison, les associations responsables supposent que ce nouveau règlement risque de ne pas apporter de clarté mais plutôt une insécurité juridique. Il est à craindre que des changements dans les modèles d’affaires qui ont été réalisés pour se conformer avec le RGPD devront être bientôt modifiés à nouveau.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.