A la suite de notre précédent post, nous revenons sur la refonte de la Directive « vie privée et communications électroniques » (ou e-privacy) alors que, depuis le 10 janvier 2017, le projet de texte par lequel la Commission européenne a précisé ses intentions est désormais disponible.
Dans la lignée du Règlement Général sur la Protection des Données (RGPD), ce projet vise à compléter la modernisation du cadre juridique applicable en matière de protection des données personnelles. Dans un objectif d’harmonisation complète et rapide, la Commission a opté pour un règlement, qui, une fois adopté par les institutions de l’UE, sera d’applicabilité directe dans l’ensemble des Etats membres. La Commission souhaite, par ailleurs, que son entrée en vigueur soit fixée à la même date que celle du RGPD, soit le 25 mai 2018.
Un champ d’application étendu.
Comme annoncé précédemment, la Commission souhaite une réglementation technologiquement neutre, s’appliquant à toute fourniture ou utilisation de services de communication électroniques et à la protection des informations liées aux équipements terminaux des usagers (art. 3 § 1). En vertu de cette nouvelle définition, les services OTT (WhatsApp, Facebook Messenger, Viber…) seraient donc désormais couverts. En outre, ces règles ont vocation à s’appliquer peu importe le lieu d’établissement du fournisseur, dès lors que les utilisateurs finaux sont situés dans l’Union.
Modification des règles en matière de cookies.
La Commission européenne souhaite étendre le contrôle de l’internaute en soumettant à son consentement préalable et exprès le dépôt de cookies, à l’exception de ceux nécessaires à la transmission de communications électroniques, à la fourniture d’un service auquel l’utilisateur a souscrit, ou encore si ceux-ci sont destinés à effectuer des mesures d’audience (art. 8§1). Quant aux cookies tiers (publicitaires), les logiciels de communications électroniques (ex. Internet Explorer ou Chrome) doivent offrir la possibilité de bloquer tout accès terminaux des utilisateurs. S’il l’accepte, il n’aura plus à cliquer à chaque fois comme dans le système actuel, mais son droit de retrait doit lui être rappelé tous les six mois (art. 9). Si contrairement à la version du projet de texte fuitée en décembre, cet article ne prévoit plus le blocage par défaut de ces accès, les acteurs de la publicité en ligne s’inquiètent néanmoins. En matière de prospection commerciale, la règle de l’opt-in reste inchangée, mais s’applique plus largement à « tout service de communication électronique ayant pour but de transmettre des communications de marketing direct. »
Renforcement de la confidentialité des données.
Le règlement distingue contenus des communications et métadonnées (relatives à la circulation des données). Ces dernières peuvent être traitées sans le consentement de l’utilisateur si ce traitement est nécessaire pour respecter des exigences de qualité légales, calculer le montant des éventuels frais de service ou détecter et mettre fin aux fraudes et usages abusifs des services de communication. A noter néanmoins, jusqu’à présent, les opérateurs télécoms n’étaient pas en mesure d’utiliser les métadonnées pour développer des services, ils pourront si le projet est adopté le faire en obtenant l’accord de l’utilisateur. Les contenus des communications ne peuvent être traités que si cela est nécessaire pour la fourniture d’un service auquel l’utilisateur a donné son consentement spécifique, ou si la fourniture d’un tel service est impossible à partir de données anonymes et ce après accord d’une autorité de contrôle (art. 6). Enfin, les contenus devront être supprimés ou anonymisés après réception par leurs destinataires, et les métadonnées dès qu’elles ne sont plus nécessaires pour la transmission de la communication. Seules les données nécessaires au calcul des frais de services peuvent être conservées jusqu’à l’expiration du délai de contestation de ceux-ci (art. 7).
De nouvelles règles dont la violation n’ira pas sans conséquence, puisque les sanctions prévues par le règlement sont alignées sur celles du RGPD (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires pour les infractions les plus graves). En revanche, la possibilité d’une action de groupe par les consommateurs a, pour sa part, disparu de la version finale du projet de texte.
Si elle propose un renforcement des règles existantes, la Commission estime qu’elle offre de nouvelles perspectives d’exploitation des données aux entreprises, qui évolueront par ailleurs au sein d’un marché aux règles uniformisées. La Commission a d’ailleurs publié, le même jour, une communication sur les transferts de données personnelles, et annoncé de nouvelles étapes pour « la création d’une économie européenne fondée sur les données ».
Au vu des nombreuses réactions négatives tant des industries concernées que de la société civile, les débats s’annoncent encore longs sur la version finale du texte, avec un calendrier difficile à tenir (il avait fallu quatre ans pour aboutir à l’adoption du RGPD).
Georgie Courtois, avocat Associé
Jean-Sébastien Mariez, avocat Senior Counsel
