Par Gérard Haas, Jean Philippe Souyris et Théo Renaudie
L’attente fut longue avant que le Conseil européen n’adopte une position commune, ce 10 février 2021 quant au Règlement e-privacy. Alors que la Commission avait publié son premier projet en janvier 2017 et que le Parlement avait fait une proposition en octobre 2017, le Conseil européen s’est fait attendre plus de 3 ans.[1]
Le règlement e-privacy et les cookies
Le Règlement a pour objet d’harmoniser et moderniser la directive de 2002 révisée en 2009 qui n’était plus adéquate au monde numérique actuel.
Alors que les opérateurs de télécommunications disposent d’un régime strict en termes de respect de la vie privée et de secret des correspondances, les WhatsApp, Facebook et Google qui sont désormais les premiers moyens de communications électroniques louvoient dans un statut mal-défini et peu protecteur du citoyen et des institutions en prétendant être de simples hébergeurs.
Le Règlement vient combler ces lacunes en garantissant la confidentialité de toutes les communications électroniques quel que soit leur support et remédier à certains effets pervers de la règlementation des cookies[2].
Ainsi pour éviter la lassitude des utilisateurs qui doivent paramétrer leurs cookies site par site, le Règlement prévoit l’obligation pour les éditeurs de navigateur de proposer un paramétrage des cookies centralisé qui pourrait ensuite être communiqué aux sites webs visités[3]. Les cookies de mesure d’audience de l’éditeur du site web visité pourront être exemptés de consentement[4].
Comme pour les opérateurs de télécommunications, la confidentialité des communications électroniques s’étendra très largement aux métadonnées de communication pourtant très utilisées par les éditeurs pour améliorer leur service. Le Règlement a pris la mesure de l’enjeu en autorisant leur traitement à cette fin ainsi qu’aux fins de facturation ou de détection des cybermenaces.
Tout autre traitement, notamment aux fins de fourniture d’un service de publicité ciblée, sera soumis au consentement de l’utilisateur.
Le règlement e-privacy et la surveillance de masse en France
Si le Conseil a tardé à adopter une position commune sur ces points, c’est notamment autour de la question de l’appréhension des métadonnées par les pouvoirs publics.[5]
Alors que certains Etats prônaient une protection maximale, plusieurs pays dont la France ont souhaité inclure à ce règlement la possibilité d’un traitement aux fins de lutte contre le terrorisme et de prévention des infractions au grand dam des ONG qui critiquent le détournement d’un outil juridique de protection des citoyens pour la surveillance de masse. [6]
Moins clivant mais tout aussi actuel, la position commune adoptée envisage également un traitement des métadonnées lorsque l’intérêt vital de l’utilisateur est en jeu afin de permettre l’utilisation des données de trafic pour la prévention et la lutte contre les épidémies.
***
En attendant l’entrée en vigueur du Règlement e-privacy, les entreprises doivent se conformer au cadre juridique encadrant les cookies, récemment revisité par la CNIL.
Spécialisé en droit des nouvelles technologies, le cabinet HAAS avocats accompagne les acteurs du numérique depuis plus de 20 ans dans leur conformité au droit des données personnelles.
N’hésitez pas à nous contacter pour auditer votre activité et anticiper sa conformité.
***
[1] Conseil de l’UE, Communiqué de presse, Confidentialité des communications électroniques, le Conseil arrête sa position sur des règles en matière de vie privée et de communications électroniques, 10 février 2021.
[2] Proposition de Règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques, COM/2017/010.
[3] Article 9, 2. De la Proposition de Règlement
[4] Article 8, 1. (bb) de la Proposition de Règlement, cet article ne concerne pas les mesures d’audience réalisées par les tiers.
[5] S. Stolton, Euractiv.fr, « Les plans du Portugal pour conclure la sage sur le règlement ePrivacy », 8 février 2021 ; M. Forestier, CosmoSonic.com, « La France s’en est tirée et le Portugal a mis fin à l’impasse de la vie privée électronique », 12 février 2021.
[6] D. Perrotte, Les Echos.fr, « L’Europe veut protéger la confidentialité des communications en ligne », 11 février 2021 ; P. Grüll et S. Stolton, Euractiv.fr, « Sentiments mitigés alors que le Conseil adopte sa position sur le règlement ePrivacy », 11 février 2021.