6 novembre 2017

Le projet de règlement relatif à la vie privée et aux communications électroniques (« ePrivacy« ), actuellement en cours d’examen, fait d’ores et déjà couler beaucoup d’encre. Pour autant il n’est pas simple, à l’heure actuelle, de connaître avec précision l’état d’avancement de sa procédure d’adoption, ni de comprendre ses tenants et aboutissants. Voici donc quelques éléments clés pour tenter d’y voir clair.

Le calendrier de la proposition

Le 27 avril 2016, au terme d’une procédure de plus de quatre années, était adopté le « règlement général sur la protection des données » (RGPD) applicable à compter du 25 mai 2018, lequel abroge la directive 95/46 du 24 octobre 1995 et harmonise les législations des Etats membres en matière de protection des données personnelles.

Le 11 janvier 2017, la Commission européenne déclenchait une nouvelle procédure en publiant sa proposition de règlement ePrivacy, dont l’objectif est d’abroger la directive 2002/58 du 12 juillet 2002 et d’harmoniser la législation des Etats membres en matière de confidentialité des communications électroniques.

L’objectif de Bruxelles est que les règlements GDPR et ePrivacy soient applicables simultanément au 25 mai 2018.

Pourtant la route est encore longue pour ce dernier.

EPrivacy est soumis à la procédure législative ordinaire de l’Union européenne dite aussi de codécision : la proposition de la Commission doit être adoptée par le Parlement européen et par le Conseil de l’Union européenne et peut compter jusqu’à quatre étapes.

Au jour où ces lignes sont écrites, la proposition est en cours d’examen simultanément au Parlement et au Conseil en première lecture. Le Conseil a dernièrement rendu publiques -les 8 septembre et 6 octobre 2017- des versions amendées de la proposition. Au Parlement, les commissions consultées ont rendu leurs avis les 4 et 5 octobre 2017 tandis que la commission LIBE a publié le 9 juin 2017 un projet de rapport dont la version finale a été rendue publique en octobre.

A la suite du vote du Parlement européen pris sur la base de ce rapport et des amendements additionnels, le Conseil de l’Union européenne pourra approuver les amendements du Parlement, auquel cas le texte sera réputé adopté. A défaut, il adressera une position commune au Parlement lequel pourra en deuxième lecture en accepter ou en amender le contenu. En l’absence d’accord à ce stade de la procédure, il est peu probable que la date du 25 mai 2018 demeure un objectif crédible. En effet, pour l’atteindre, il faudrait engager une procédure de conciliation, durant laquelle les institutions européennes se réunissent pour négocier un texte de compromis, qui devra ensuite être voté en troisième lecture par les deux institutions.

Le contenu de la proposition

Comme la directive 2002/58, la proposition ePrivacy se concentre sur quatre thématiques principales:

• la protection des communications électroniques et des données afférentes (articles 5, 6 et 9 de la directive actuelle / articles 5 à 11 de la proposition) ;
• l’identification et le blocage des appels (articles 8, 10 et 11 de la directive / 12 à 14 de la proposition) ;
• les annuaires d’abonnés (article 12 de la directive / 15 de la proposition);
• l’encadrement des communications non sollicitées (article 13 de la directive / 16 de la proposition).

La Commission a choisi l’option d’un renforcement modéré du respect de la vie privée et d’une simplification des règles existantes.

De manière non exhaustive, il est intéressant de présenter deux apports envisageables du futur règlement.

Tout d’abord, son champ d’application se verrait considérablement étendu.

Matériellement, seraient ainsi concernés les services dits OTT (over the top) permettant la communication via Internet sans la participation d’un opérateur de réseau traditionnel (Messenger, WhatsApp, etc.). Sur ce point, là où la directive visait « le traitement des données à caractère personnel dans le cadre de la fourniture des services de communications électroniques accessibles au public sur les réseaux publics de communications« , la proposition mentionne le « traitement des données de communications électroniques effectué en relation avec la fourniture et l’utilisation de services de communications électroniques dans l’Union et aux informations liées aux équipements terminaux des utilisateurs finaux ». Cette formulation (explicitée au §8 du préambule) ne donne cependant pas parfaite satisfaction et a fait l’objet de modifications par le Conseil de l’Union européenne.

Territorialement, seraient concernés tous les services adressés à des utilisateurs finaux situés dans l’Union européenne, cette approche étant similaire à celle adoptée par le RGPD.

Ensuite, en matière de traceurs sur Internet, la technique de l’opt-out tolérée par l’article 5-3 de la directive et matérialisée par les « bandeaux cookies » serait remplacée par la nécessité d’obtenir un consentement de l’utilisateur (sauf nécessité aux fins de la communication, de la fourniture d’un service ou de mesure d’audience) étant précisé que ce consentement devrait s’entendre- par référence au GDPR -d’une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » autrement dit un opt-in spécifique.

A cette mesure s’associe une nouveauté prévue à l’article 10 de la proposition, qui impose aux éditeurs de « logiciels mis sur le marché qui permettent d’effectuer des communications électroniques, y compris la récupération et la présentation d’informations sur Internet » d’offrir aux utilisateurs la possibilité d’empêcher les tiers de stocker des informations sur leur équipement terminal ou de traiter des informations déjà stockées sur ledit terminal. Sont visés en premier lieu les navigateurs tenus de soumettre à l’utilisateur un choix au moment de l’installation du logiciel, aux fins par exemple de « bloquer tous les traceurs », « accepter tous les traceurs » ou « choisir au cas par cas ».

Cette disposition a été fortement critiquée par les acteurs de la publicité en ligne et les éditeurs de presse : elle renforcerait l’asymétrie des rapports avec les géants américains que sont en particulier Google, Apple et Microsoft. La Commission considère quant à elle que le choix de bloquer au niveau du navigateur tous les traceurs « ne prive pas les exploitants de sites Web de la possibilité d’obtenir un consentement par l’envoi de demandes individuelles aux utilisateurs finaux et donc de conserver leur modèle économique actuel ».

Eu égard aux enjeux attachés à ces nouvelles règles, il y a fort à parier que leur rédaction variera significativement au fil des discussions entre les institutions européennes. A suivre !

 

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.