Révision de la Directive e-privacy : neutralité technologique, élargissement aux OTT, cookies et nouveaux procédés de profilage à l’ordre du jour de la Commission

22/11/16

10508326 - europe map - circuit board background

Une nouvelle étape a été franchie dans le cadre de la révision de la directive 2002/58/CE concernant la vie privée et les communications électroniques amendée par la directive 2009/136/CE (Directive vie privée ou Directive e-privacy) avec la publication, par la Commission Européenne, de l’étude d’impact sur l’évaluation et la révision de cette directive, le 3 octobre 2016. La Directive e-privacy fait partie du cadre réglementaire sur les communications électroniques, qui comprend une directive-cadre 2002/21/CE et quatre directives spécifiques. La Directive e-privacy est celle qui traite de nombreuses problématiques comme la confidentialité des informations, le traitement des données relatives au trafic, les spams et les cookies.

 

Selon la communication sur la stratégie pour un marché unique numérique en Europe, la révision attendue est présentée comme une des actions clés du pilier visant à créer les conditions propices à l’épanouissement des réseaux et services numériques. Maintenant que le règlement général sur la protection des données personnelles (RGDP) a été adopté, l’objectif annoncé de la Commission Européenne concernant la révision de la Directive e-privacy est d’assurer un haut niveau de protection pour les personnes dont les données sont traitées et des conditions de concurrence équitables pour tous les acteurs du marché, en mettant particulièrement l’accent sur le secteur des communications électroniques.

 

La prise en compte des nouvelles évolutions technologiques est présentée par la Commission Européenne comme étant l’un des principaux objectifs de la révision. Elle souligne également à cet égard que la révision vise à être technologiquement neutre, ce qui signifie qu’elle n’aura pas pour objet d’imposer ou de discriminer en fonction de l’utilisation d’une technologie en particulier. Selon la Commission, la révision doit, de préférence, veiller à ce que le mème service soit réglementé d’une manière équivalente, quels que soient les moyens techniques par lesquels il est distribué.

 

Au moins deux illustrations de cet objectif peuvent ètre identifiées parmi les questions qui devraient ètre abordées par la Commission Européenne dans le cadre de cette révision :

  • Une possible extension du champ d’application de la Directive e-privacy aux plateformes en ligne fournissant des services de communications électroniques OTT. Aujourd’hui, la Directive e-privacy s’applique principalement aux fournisseurs de services de télécommunication traditionnels, c’est-à-dire aux fournisseurs chargés de transmettre des signaux sur un réseau de communications électroniques. Au contraire, elle ne s’applique pas aux services dits over-the-top (OTT) qui fournissent des services de communication tels que la voix sur IP ou la messagerie web. À titre d’illustration, la Commission fait référence à des services tels que Facebook, LinkedIn, Skype ou Twitter. Pour pointer les incohérences résultant du champ d’application actuel de la Directive e-privacy, la Commission souligne que, bien que la directive sur la protection des données et le RGDP, récemment adopté, s’appliquent au traitement des données à caractère personnel effectué par les opérateurs OTT, la Directive e-privacy ne s’applique pas à ces derniers. Pour corriger cela, elle envisage d’étendre la portée de cette directive à des services qui sont très semblables d’un point de vue fonctionnel et considérés par les consommateurs comme substituables. Les OTT sont visés au premier plan.
  • La révision du paragraphe 3 de l’article 5 – cookies et techniques similaires – en vue de le rendre compatible avec les technologies modernes de profilage. Conformément au paragraphe 3 de l’article 5 de la Directive e-privacy, le stockage des informations ou l’accès à des informations déjà stockées sur le terminal d’un utilisateur sont soumis à l’obligation de recueillir préalablement le consentement de ce dernier. Selon la Commission Européenne, ces dispositions devront probablement ètre mises à jour afin de prendre en compte les nouvelles techniques de profilage reposant sur l’analyse des activités de navigation des utilisateurs sur internet. À titre d’exemple, elle se réfère à technique de l’empreinte digitale d’appareil qui, sur la base des informations recueillies à partir d’un terminal informatique distant, permet d’identifier totalement ou partiellement les utilisateurs ou les terminaux individuels mème lorsque les cookies sont désactivés[1]. Il est également important de noter que la Commission semble disposée à réfléchir, à la lumière du RGDP, si d’autres changements sont nécessaires ou non pour assurer une protection effective et efficace de la confidentialité des communications. Par exemple, d’autres questions pourraient ètre abordées au cours de la révision concernant (i) la clarification de la possibilité d’utiliser la configuration des paramètres du navigateur Internet pour recueillir le consentement préalable, valide et efficace des utilisateurs[2] ou (ii) l’extension des exceptions aux règles de consentement préalable, afin d’inclure les techniques de stockage et d’accès aux informations dans les terminaux des utilisateurs qui ne sont pas envahissantes pour la vie privée, tels que les techniques d’analyse d’audience centrée sur les sites Internet.

 

La liste des problématiques qui seront traitées par la révision de la directive sera confirmée une fois l’évaluation de la REFIT[3]terminée. Selon le programme de travail de la Commission, la restitution de cette évaluation est attendue pour le début de l’année 2017. Elle permettra aux acteurs concernés de cerner davantage l’impact opérationnel de la réforme ainsi que la nécessité d’initier ou de poursuite le dialogue avec la Commission.
Georgie Courtois, avocat Associé
Jean-Sébastien Mariez, avocat Senior Counsel

[3] Le considérant (66) de la Directive e-privacy dispose que « lorsque cela est techniquement possible et effectif (…) l’accord de l’utilisateur en ce qui concerne le traitement peut ètre exprimé par l’utilisation des paramètres appropriés d’un navigateur ou d’une autre application ». La possibilité d’utiliser la configuration des paramètres du navigateur Internet a été intégrée dans les législations nationales de transposition par plusieurs États membres. En France, cette possibilité est prévue par l’article 32-II de la loi Informatique et Libertés du 6 janvier 1978. Une telle option a donné lieu à des incertitudes quant aux conditions à remplir par un navigateur Internet pour pouvoir délivrer des informations valables et efficaces sur le consentement. Dans une première tentative de clarification du sens du considérant (66), le groupe de travail de l’Article 29 a élaboré une lecture très restrictive de celui-ci, affirmant, en substance, qu’il ne constitue pas une exception au paragraphe 3 de à l’article 5 et qu’il correspond à des circonstances très limitées en pratique (voir l’avis 2/2010 sur la publicité comportementale en ligne ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_fr.pdf)

 

 

#DSM #UE #Numerique #donnéespersonnelles #eprivacy

Pour aller plus loin