Le respect de la vie privée reste un sujet épineux avec le RGPD qui entrera en vigueur le 18 mai 2017. En outre, une autre loi européenne est à venir, à savoir le « Règlement vie privée et communications électroniques », qui n'est encore pour le moment qu'une proposition. Cette réglementation vise à renforcer la confiance des citoyens dans les services numériques offerts en simplifiant les règles relatives aux cookies et en rendant le marketing en ligne des entreprises plus transparent.

1. Introduction

La tempête du RGPD (Règlement général sur la protection des données) est à peine passée que l’on est déjà confronté à une nouvelle loi européenne,  le « Règlement concernant le respect de  la vie privée et la protection des données à caractère personnel dans les communications électroniques », également appelé le « Règlement vie privée et communications électroniques » ou « Règlement ePrivacy », qui est pour l'instant encore seulement au stade de la proposition (COM (2017) 10 final, 2017/003 (COD)).

L'objectif de la proposition de « Règlement ePrivacy » est de renforcer la confiance des consommateurs dans l'offre de services numériques (en ligne), de simplifier les règles relatives aux cookies et de rendre le marketing des entreprises plus transparent.

Par "données de communications électroniques" on entend le contenu échangé au moyen de services de communications électroniques, notamment sous forme de texte, de voix, de documents vidéo, d'images et de son

Le présent règlement proposé remplacera la Directive ePrivacy 2002/58/CE (également appelée « Directive Cookie ») et son objectif est d'harmoniser les différentes législations nationales et de les rendre conformes au RGPD.

Il a été opté pour un règlement plutôt qu’une directive.

L'avantage d'un règlement est qu'il s’agit d’une loi européenne qui est d’application dans tous les pays en même temps et sans modifications. Une directive doit par contre être transposée par les législateurs nationaux dans leur droit national, ce qui entraine souvent de grandes variations dans l'interprétation du texte de la directive entre les 28 États membres et donc des difficultés pour les entreprises opérant dans différents États membres.

Ce projet de règlement vise à garantir la confidentialité de toutes les communications électroniques. Toutes les communications sont ciblées, tant les communications traditionnelles (déjà réglementées par l'ancienne Directive ePrivacy) que les nouvelles communications électroniques (comme Skype, WhatsApp, Facebook Messenger, Gmail, iMessage, des messages groupés sur une même plate-forme, par exemple Facebook et Twitter), quelle que soit la technologie utilisée.

Ce règlement vise également à simplifier les dispositions sur les cookies en donnant plus de choix aux utilisateurs.

La confidentialité des métadonnées est également garantie par le nouveau règlement. Les métadonnées sont, par exemple, des données qui peuvent révéler votre lieu, la date et l'heure de vos appels et le type de téléphone (Android ou Apple) que vous avez utilisé. Le règlement s'appliquera également aux communications de machine à machine lorsque les informations ou les métadonnées échangées sont liées à des données personnelles. Ces métadonnées sont considérées comme des données à caractère personnel sensibles qui doivent toujours être soit retirées en vertu du « Règlement ePrivacy », soit anonymisées si les utilisateurs n'ont pas donné leur consentement pour leur utilisation, à moins que ces données ne soient requises pour la facturation, et par conséquent, elles ne peuvent servir qu’à la facturation.

2. Champ d’application

Le projet de « Règlement ePrivacy » s'applique au traitement des données de communications électroniques en relation avec la fourniture et l'utilisation de services de communications électroniques et aux informations concernant l’équipement terminal des utilisateurs finaux.

Par « Données de communications électroniques », on entend le contenu échangé au moyen de services de communications électroniques, notamment sous forme de texte, de voix, de documents vidéo, d'images et de son. Les métadonnées sont des données qui sont traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l'échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d’en déterminer l’origine et la destination ainsi que les données relatives à la localisation de l’appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l'heure, la durée et le type de communication.

Les données de communications électroniques peuvent également révéler des informations relatives à des personnes morales, telles que des secrets commerciaux ou d'autres données sensibles ayant une valeur économique.

Les dispositions du « Règlement ePrivacy » s'appliquent donc aux personnes physiques ainsi qu’aux personnes morales.

Les « Services de communications électroniques » englobent non seulement les services d'accès à Internet et les services consistant entièrement et partiellement en la transmission de signaux, mais également les services de communications interpersonnelles, fondés ou non sur la numérotation, tels que la voix sur IP, des services de messagerie en ligne et des services de courrier électronique sur le web.

Les appareils communiquent de plus en plus entre eux à l’aide de réseaux de communications électroniques (l’internet des objets). L'établissement de communications de machine à machine constitue aussi un service de communications électroniques et tombe également sous l’application du « Règlement  ePrivacy ».

Les bornes Wifi (accès internet par l’intermédiaire d’un réseau sans fil) entrent également dans le champ d'application du règlement dans la mesure où ces services sont fournis à un groupe indéfini d'utilisateurs finaux. En revanche, s'il s'agit d'un groupe fermé d’utilisateurs finaux, comme les réseaux d’entreprise, le règlement n’est pas d'application.

3. Changements importants attendus

La proposition de « Règlement ePrivacy » est conforme au RGPD avec pour résultat que nombre de ses définitions et concepts doivent être interprétés conformément au RGPD, comme notamment le concept du consentement qui recevra en principe le même contenu strict que sous le RGPD.

Comme le RGPD, cette proposition a un champ d’application territorial large et sera appliquée à toutes les données de communications qui sont traitées en relation avec des services de l'extérieur de l'UE vers les utilisateurs dans l'UE. Les sanctions, comme celles prévues par le RGPD, pourront consister en des amendes d’un montant de 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. Cette responsabilité s'applique à la fois aux fabricants de matériaux et/ou de logiciels ainsi qu'aux fournisseurs de services.

Cette nouvelle proposition de règlement propose que quand les cookies ne sont utilisés que pour la « configuration », donc seulement pour des raisons techniques (comme par exemple le fait de retenir votre panier d’achats), le consentement de l'utilisateur avec l’utilisation des cookies ne soit pas requis. En revanche, si l'intention est de tracer moyennant les cookies, cela n’est plus possible sans le consentement. Cela implique que le consentement doit être donné au préalable en utilisant des paramètres techniques appropriés d'une application logicielle qui permet d'accéder à Internet (par exemple, un paramètre par défaut dans votre navigateur permettant d’accepter les cookies de façon explicite). Les cookies sont utilisés pour tracer les utilisateurs lors de leur utilisation d'Internet et à travers les sites Web. Les entreprises qui ont accès à cette information l'utilisent ensuite pour le profilage, la publicité et d'autres fins commerciales. Ce tracement constant représente une menace sérieuse pour la vie privée de l’utilisateur qui perd de cette façon le contrôle de ses données personnelles.

Le législateur veut également se débarrasser des « tracking-walls ». Moyennement des « tracking-walls », l’accès à des sites Web est refusé aux utilisateurs qui ne consentent pas à être tracés via des cookies sur d'autres sites Web. C'est ce que font les « tracking-walls », ils vous obligent à donner votre consentement pour être tracé par des cookies tiers, alors que ces cookies ne sont en général pas nécessaires pour le service. Le législateur a jugé qu’il était crucial que les utilisateurs puissent utiliser les services sans être tracés, et certainement pas par des tiers et dans des situations où l'utilisateur est dépendant du service, à défaut d'alternative par exemple.

Par conséquent, un fournisseur de services ne pourra plus refuser le service à cause du fait qu’un utilisateur n'a pas donné son consentement (paragraphe 18 de la proposition de « Règlement ePrivacy »). « Le consentement relatif au traitement de données résultant de l’utilisation d’Internet ou des communications vocales ne sera pas valable si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. » Le «consentement» en vertu du RGPD n'est valable que s’il est donné librement. Cela signifie que le consentement ne sera pas donné librement si la prestation d’un service est subordonnée au consentement de l’individu.

Quid si les utilisateurs n'autorisent pas le suivi par le biais des cookies ? Le Parlement européen a déjà indiqué ne pas accepter qu’il faille faire le choix entre le contenu donné gratuitement aujourd'hui en échange des renseignements personnels et le même contenu accessible moyennant un paiement et offert sans suivi. Si le consentement n'est pas nécessaire pour l'exécution du service, le service doit toujours être offert même si le consommateur refuse de donner son consentement.

Les données personnelles ne sont pas des marchandises.

La proposition actuelle de « Règlement ePrivacy » laisse de nombreuses questions et incertitudes pour les entreprises, surtout celle de savoir comment celles-ci seront en mesure de se conformer à cette nouvelle législation de manière rentable et attrayante pour les consommateurs. Ce sera un défi pour de nombreuses entreprises, en particulier pour les entreprises dont le modèle d’entreprise est basé sur la publicité comportementale, c’est-à-dire les modèles d’entreprise par lesquels le comportement en ligne des visiteurs d'un site Web est surveillé et collecté afin de mieux adapter les publicités et le contenu du site.

Le marketing direct est soumis à un opt-in préalable et ensuite à un système facile d'opt-out. Les personnes concernées doivent avoir donné leur consentement. Cela nécessite le développement d’un système qui, espérons-le, ne conduira plus à des fenêtres pop-up gênantes demandant le consentement. La règle de « vie privée par défaut » suppose que les paramètres par défaut de tous les systèmes (par exemple, les navigateurs) activent l’option « ne pas me pister ». Les utilisateurs ne sont dès lors par tracés ou ne reçoivent pas de marketing direct, sauf consentement. Et le consentement doit être celui tel que prévu dans le cadre du RGPD.

Notez bien que l'exigence de consentement du RGPD du 26 mai 2018 s'appliquera en principe également à la législation existante sur la vie privée.

Griet Verfaillie