La Commission européenne a présenté des mesures qui visent à actualiser les règles en vigueur (Directive 2002/58/EC), et souhaite étendre leur champ d’application à l’ensemble des fournisseurs de services de communications électroniques.

La proposition vise également à harmoniser les règles applicables aux communications électroniques avec les nouvelles normes d’envergure mondiale fixées par l’Union dans le règlement général sur la protection des données (GPDR, Regulation EU 2016/679) adopté le 27 avril 2016, en remplacement de la Directive 95/46/EC.

La Commission propose également de nouvelles règles afin de garantir, lorsque des données à caractère personnel sont traitées par les institutions et organes de l’UE, que le respect de la vie privée est assuré de la même manière que dans les États membres en vertu du règlement général sur la protection des données.

Renforcement de la protection en ligne et nouvelles perspectives d’activité

Nouveaux acteurs

L’actuelle directive sur la vie privée et communications électroniques ne s’applique qu’aux opérateurs de télécommunications traditionnels. Dorénavant, les règles en matière de respect de la vie privée s’appliqueront également aux nouveaux acteurs dans le secteur des services de communications électroniques, tels que WhatsApp, Facebook Messenger, Skype, Gmail, iMessage ou Viber.

Renforcement des règles

En remplaçant l’actuelle directive par un règlement directement applicable, il s’agit d’assurer aux particuliers comme aux entreprises de l’Union un niveau de protection uniforme de leurs communications électroniques. Un ensemble de règles unique pour l’ensemble de l’Union profitera également aux entreprises.

Contenu des communications et métadonnées

Le respect de la vie privée sera garanti en ce qui concerne non seulement le contenu des communications électroniques mais aussi les métadonnées (par exemple, la date et l’heure d’un appel ou sa localisation). Ces deux éléments ont un caractère éminemment privé et devront, en vertu des règles proposées, être anonymisés ou effacés en l’absence d’autorisation expresse de l’utilisateur, sauf dans le cas de données nécessaires par exemple à la facturation.

Nouvelles perspectives d’activité

Dès qu’ils auront obtenu l’autorisation d’exploiter les données de communication (tant le contenu que les métadonnées), les opérateurs de télécommunications traditionnels auront davantage de possibilités de les utiliser et de fournir des services supplémentaires. Ils pourraient, par exemple, produire des cartes thermiques («heat maps ») indiquant la présence de personnes et utiles aux pouvoirs publics et aux entreprises de transport pour l’élaboration de nouveaux projets d’infrastructures.

Simplification des règles en matière de cookies

La règle dite « des cookies », qui contraint l’internaute à répondre sans cesse à des demandes d’autorisation, sera simplifiée. Les nouvelles règles offriront aux utilisateurs une meilleure maîtrise de leurs paramètres, en leur permettant d’accepter ou de refuser aisément les cookies et autres identifiants de suivi de leurs activités en cas de risque pour le respect de la vie privée. La proposition précise que le consentement n’est pas nécessaire pour les cookies non intrusifs utilisés pour améliorer les recherches de l’internaute (par exemple, la mémorisation de l’historique des achats). Les cookies créés par un site comptant le nombre de visiteurs de ce site internet ne nécessiteront plus de consentement.

Ces nouvelles mesures visent à faire oublier l’échec total de la régulation actuelle, qui indispose l’internaute plus qu’elle ne le protège. Elles ne paraissent toutefois pas à la hauteur de l’enjeu, avec le contournement systématique des règles, et des solutions techniques d’espionnage bien plus sophistiquées que les cookies: super-cookies, fingerprinting, etc.

Protection contre le spam

Les communications électroniques non sollicitées, quel que soit le moyen utilisé (messages électroniques, SMS, etc., ainsi que, en principe, les appels téléphoniques), seraient interdites si l’utilisateur n’a pas donné son accord. Les États membres peuvent opter pour une solution qui donne au consommateur le droit de s’opposer à la réception d’appels de télémarketing, par exemple en inscrivant son numéro sur une liste rouge. Les démarcheurs devront afficher leur numéro de téléphone ou utiliser un indicatif spécial indiquant qu’il s’agit d’un appel commercial.

Contrôle plus efficace

Le contrôle du respect des règles de confidentialité prévu par le règlement incombera aux autorités nationales responsables de la protection des données.

Protection des données à l’échelle internationale

La proposition de communication définit une approche stratégique en ce qui concerne la question des transferts internationaux de données à caractère personnel, qui facilitera les échanges commerciaux et favorisera une meilleure coopération en matière coercitive, tout en assurant une stricte protection des données. La Commission participera activement aux travaux relatifs aux décisions constatant le caractère adéquat de la protection (permettant la libre circulation de données à caractère personnel vers des pays appliquant des règles de protection des données d’un niveau « substantiellement équivalent » à celles de l’UE) avec ses principaux partenaires commerciaux en Asie de l’Est et du Sud-Est, commençant par le Japon et la Corée en 2017, mais aussi avec les pays intéressés d’Amérique latine et du voisinage européen.

De plus, la Commission utilisera pleinement aussi les autres mécanismes alternatifs prévus par les nouvelles règles de l’Union sur la protection des données (règlement général sur la protection des données et directive « police ») pour faciliter l’échange de données à caractère personnel avec d’autres pays tiers pour lesquels il n’a pas été possible de dégager de décisions sur l’adéquation du niveau de protection.

Réception

La Commission souhaite que le Parlement européen et le Conseil ‘déploient la diligence requise pour que leur adoption puisse intervenir au plus tard le 25 mai 2018, date d’entrée en vigueur du règlement général sur la protection des données.’

Durant le processus de révision, les organisations de protection de la vie privée n’ont pas obtenu tout ce qu’elles souhaitaient. Notamment la possibilité pour une organisation à but non lucratif d’organiser un recours collectif contre les mineurs de données d’après l’article 80 de la GPDR.

Internationalement, il semble que la priorité numéro un de la Commission soit l’économie et la libre circulation des données, au détriment de garanties fortes sur la protection de la vie privée.

Ce qui n’empêche pas les acteurs de la publicité numérique de s’inquiéter de la proposition de régulation, et d’affirmer qu’il faut mettre en balance la vie privée et les milliards de chiffre d’affaires générés par la publicité numérique (Internet Advertising Bureau, UK).

L’IAB Europe n’hésite pas à affirmer que la régulation porterait atteinte au modèle d’affaire de la publicité numérique.

Google, Facebook, et les autres grands acteurs internationaux s’inquiéteront de la possibilité de fortes amendes, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires, le plus grand montant étant choisi, en cas d’infraction.

Les opérateurs télécoms, qui se sont longtemps plaints de l’asymétrie entre les exigences en matière de protection de la vie privée entre eux et les autres acteurs de la vie numérique, se plaignent eux aussi toutefois de la proposition.

L’ETNO et GSMA Europe invitent les législateurs à corriger la proposition afin qu’elle permette une approche favorable à l’innovation et aux consommateurs. En simplifiant, ils souhaitent que la législation s’arrête à la GPDR.

Inversement, la BEUC, organisation qui fédère les organisations de consommateurs au niveau européen, aurait souhaité que la Commission tienne plus compte de l’avis des citoyens européens, en interdisant le suivi par défaut du comportement du consommateur dans les appareils intelligents et les applications.