Proposition de règlement E-Privacy : Fabrice Naftalski, avocat associé d’EY Société d’Avocats

Règlement e-Privacy : une évolution de la protection des données des communications électroniques dans l’Union Européenne.


Fabrice Naftalski
Le calendrier prévisionnel du règlement e-Privacy vient d’être rendu public par la rapporteure du projet, Marju Lauristin (S&D). Après une première audition le 11 avril 2017, la présentation du projet de rapport aura lieu le 22 juin, avant un vote en plénière courant octobre.

La Commission européenne a proposé le 10 janvier 2017 un projet de règlement «vie privée et communications électroniques» qui remplace la directive 2002/58/CE et va compléter le règlement général sur les données personnelles (GDPR) en ce qui concerne les communications électroniques. L’objectif sera d'assurer aux particuliers comme aux entreprises de l'Union un niveau de protection uniforme de leurs communications, tout en s’adaptant aux nouveaux services et évolutions technologiques. Ainsi, en plus des entreprises de télécommunications, vont être pris en compte les « OTT » (fournisseurs de « Over-The-Top content”) dont par exemple WhatsApp, Skype et Facebook Messenger. En outre, le règlement renforce le contrôle exercé par l’utilisateur final relativement aux communications commerciales, les cookies et les données contenues dans ses appareils de stockage. Le règlement e-Privacy se pose un objectif de clarification et simplification de la législation existante tout en maintenant un niveau de protection élevé.

Fabrice Naftalski, avocat associé d’EY Société d’Avocats, expert en protection des données personnelles nous apporte un éclairage.

Maitre Fabrice Naftalski bonjour, est-ce que les mesures mises en place par le règlement e-Privacy vont répondre de manière suffisante à l’objectif d’efficacité de la protection des données ?

La proposition du règlement e-Privacy a pour objectif d’assurer aux utilisateurs, personnes physiques et morales, une protection renforcée des données de leurs communications électroniques.
La nouvelle réglementation vise à actualiser le cadre juridique préexistant, constitué par la directive « vie privée et communications électroniques » - 2002/58/CE, modifiée en 2009, dite directive e-Privacy, en l’adaptant aux évolutions technologiques et aux nouveaux moyens de communication. Le but est d’aligner le niveau d’exigence de sécurité applicable aux données des communications électroniques sur celui imposé par le règlement général de la protection des données personnelles (GDPR).

Le renforcement de l’efficacité de la protection des données va en particulier s’appuyer par l’extension de son champ d’application pour appréhender plus d’utilisateurs, de territoires, de contenus et de modes de communication et par le renforcement du contrôle de l’utilisateur sur ses données.

L’apport le plus significatif de la proposition est l’extension de son champ d’application à l’ensemble des fournisseurs de services de communications électroniques. Sont notamment visés les services par contournement (« OTT » - Over The Top technologies) tels que Skype, WhatsApp, Facebook Messenger, Gmail, iMessage, Viber et d’autres. Par ailleurs, la proposition privilégie les définitions larges et neutres de point de vue technologique pour pouvoir englober toute information concernant le contenu transmis ou échangé.

Le respect de la confidentialité des communications électroniques sera assuré aussi bien en ce qui concerne leur contenu, que les métadonnées (informations relatives notamment à la localisation de l’appareil, la date, l’heure et la durée de la communication).

Comme le GDPR, le futur règlement e-Privacy sera applicable dès que les utilisateurs finaux se trouvent dans l’Union Européenne, peu importe si le fournisseur du service se situe dans ou en dehors de l’Union et peu importe le lieu du traitement.

Le futur règlement e-Privacy permet également un renforcement du contrôle exercé par l’utilisateur final sur ses communications électroniques à travers l’alignement des critères liés au consentement avec ceux posés par le GDPR. L’utilisateur doit être informé de manière claire et accessible concernant la collecte et le traitement de ses données. Il doit pouvoir exercer son consentement via le réglage de ses paramètres de confidentialité et doit disposer d’une possibilité de retrait de l’autorisation à tout moment.

En ce qui concerne les communications commerciales non sollicitées, la protection a été renforcée et étendue aux nouveaux moyens de communication électronique qui font partie du champ d’application du futur règlement. Il existe désormais également une exigence explicite d’informer les utilisateurs finaux de la nature commerciale de la communication.

Pour assurer l’efficacité des mesures déployées, la proposition de règlement a dans sa globalité pour objectif de simplifier la réglementation préexistante issue de la directive e-Privacy avec un effort général de clarification des ambiguïtés et des imprécisions qui étaient reprochées à cette dernière. Le recours à l’outil réglementaire poursuit justement cette volonté d’assurer une unité dans l’interprétation dans l’ensemble des États membres.
Les nouveautés en ce qui concerne les cookies sont également emblématiques de cette volonté de simplification de la réglementation, tout en préservant un niveau de protection élevé. Les multiples demandes d’autorisation qui submergent actuellement l’utilisateur à chaque connexion seront remplacées par un consentement centralisé et réfléchi. Il s’agit d’une volonté de réelle maîtrise des paramètres de confidentialité par l’utilisateur à travers une panoplie de fonctions de réglage allant du plus restrictif au plus permissif.

Plus généralement, la proposition de règlement insiste sur l’usage de « méthodes conviviales » pour fournir de l’information et obtenir le consentement de l’utilisateur. L’objectif est une clarification et donc une meilleure efficacité des mesures de protection adoptées.

Pour autant, il faut rester prudent et garder à l’esprit que la proposition de règlement est susceptible d’évoluer au cours du processus législatif.

Comment s’articule la proposition de règlement e-Privacy avec le règlement général sur la protection des données personnelles (GDPR) qui sera applicable en Mai 2018 ?

La proposition du règlement e-Privacy a pour objectif conjointement avec le GDPR d’offrir aux entreprises et aux utilisateurs un cadre complet en matière de protection des données personnelles relativement aux communications électroniques.

Le règlement e-Privacy constituera une lex specialis par rapport au GDPR, qu’il précisera et complètera en établissant des règles spécifiques relativement à la question des données de communications électroniques. Ainsi, dès que les données personnelles seront qualifiées de données de communication électronique, cela entraînera l’application du règlement. Pour toutes les autres matières, non spécifiquement traitées par celui-ci, le GDPR qui sera applicable.

Cependant, dans le domaine des communications électroniques, aussi bien la directive e-Privacy que la proposition de règlement, ont une portée plus générale que le GDPR. Ils ont notamment pour objectif de préserver la confidentialité des communications électroniques, lesquelles peuvent aussi contenir des données à caractère non personnel et des données relatives à une personne morale.

C’est justement le souci de cohérence avec la politique de l’Union qui a motivé le recours à l’outil réglementaire. Ainsi, celui-ci va être directement applicable dans la législation nationale sans besoin de transposition.
La concordance avec le règlement général sur les données personnelles se concrétise par les multiples références qu’y fait la proposition de règlement e-Privacy. Ainsi, par exemple, un renvoi exprès à ce dernier est fait relativement à la consultation des autorités de contrôle (article 6), les modalités d’enregistrement et stockage des données (article 7) les modalités d’information de l’utilisateur (article 8), ou bien en ce qui concerne la définition et les conditions du consentement (article 9). Par ailleurs, il convient de noter que le contrôle de l’application des dispositions du règlement e-Privacy sera assuré par les mêmes autorités que celles prévues dans le GDPR. Cela a pour objectif de favoriser la cohérence relativement à l’interprétation et l’application des deux dociuments.

L’entrée en vigueur du nouveau règlement est prévue le 25 mai 2018 pour s’aligner ainsi sur la date d’entrée en vigueur du GDPR.

Quel sera l’impact sur les modèles économiques en place ?

La proposition de règlement e-Privacy prévoit des sanctions très importantes qui s’alignent à celles du GDPR et peuvent aller dans certains cas jusqu’à 20 000 000 euros ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

Cette somme étant très dissuasive, les fournisseurs de services de communications électroniques devront adapter leurs pratiques aux nouvelles exigences de protection renforcée. Ainsi par exemple, ils doivent se conformer aux obligations d’information des utilisateurs quant aux modalités de la collecte et du traitement, mais aussi respecter les exigences relatives au stockage et l’anonymisation des données.

La conception de certains produits, tels que les logiciels permettant des communications électroniques, peut tout de même être impactée puisqu’ils doivent permettre à l’utilisateur de configurer ses paramètres de confidentialité dès l’installation ou bien la mise à jour.

La modification de certaines pratiques ne devrait tout de même pas remettre en cause les modèles économiques en place dans le domaine des communications électroniques.

Malgré les modifications abordées ci-dessus, la proposition de règlement reprend en les renforçant et en les élargissant, une grande partie des dispositifs préexistants dans la directive e-Privacy. Par exemple, en ce qui concerne la sollicitation commerciale non désirée, le principe est toujours celui de l’interdiction sauf consentement de la part de l’utilisateur final. L’exception de l’autorisation de l’utilisation des coordonnées électroniques dans le cadre de la relation client-fournisseur pour la proposition de produits et services similaires a également été préservée.

En pratique, s’agissant des entreprises qui doivent se conformer au futur règlement e-Privacy, les nouvelles mesures peuvent être incluses dans le cadre du plan de mise en conformité avec le GDPR qui est déjà entamé par une grande partie d’entre elles.

Quelles sont les nouvelles opportunités pour les entreprises en termes d’innovation et de développement ?

En unifiant la réglementation relative aux données de communication électronique, la proposition de règlement va permettre d’assurer une meilleure sécurité juridique aux entreprises travaillant dans le secteur de l’industrie numérique. Ces derniers ne vont plus être confrontés aux aléas de la transposition d’une directive et aux divergences de l’interprétation par les différents États membres. Cela est d’autant plus important en raison du type service qu’ils procurent qui est par définition de nature transfrontalière. De cette manière, le nouveau règlement se pose comme objectif de contribuer à la libre circulation des données de communications électroniques au sein de l’Union.

L’adaptation de la législation aux nouveaux modes de communication électronique a l’avantage de tracer un cadre de fonctionnement pour les fournisseurs de services qui ne devrait pas être vu comme une entrave. Il s’agit en effet d’une opportunité leur permettant de déployer leur activité en toute sécurité et en conformité avec la législation. Ils pourront ainsi mettre en place leurs projets en évaluant par avance leur champ d’action et les restrictions auxquelles ils sont soumis.

Un autre avantage de la mise en place de la nouvelle réglementation est le renforcement de la confiance des utilisateurs dans l’économie numérique. La consultation publique organisée par la Commission entre le 12 avril et le 5 juillet 2016, ainsi que le sondage Eurobaromètre de 2016 ont confirmé que ces derniers sont de plus en plus soucieux de la protection de la confidentialité de leurs communications électroniques.

Ainsi, la proposition de règlement pourrait favoriser l’instauration de relations de confiance entre les différents acteurs. Le choix donné aux utilisateurs quant à la configuration de leurs paramètres de confidentialité, ainsi que la confirmation de la possibilité de retirer leur accord à tout moment, pourrait les inciter à souscrire de nouveaux services sans crainte d’un usage abusif de leurs données.

Par ailleurs, une fois le consentement des utilisateurs obtenu, les fournisseurs de services de communications électroniques ont davantage de possibilités d’exploiter les données par rapport à la directive 2002/58/CE. Les considérants de la proposition du règlement donnent l’exemple de la réalisation de cartes thermiques grâce à l’usage de métadonnées.

La proposition de règlement permet également d’accorder une dérogation à la nécessité d’un opt-in relativement à l’usage de cookies considérées comme non intrusives, comme les cookies dits « d’analyse » qui permettent de mesurer les niveaux d’audience sur un site web. La condition est que la mesure d’audience soit effectuée par le fournisseur de service lui-même et non pas par un tiers.

Quels sont les points susceptibles de susciter des débats en cours du processus de négociations du règlement ?

L’objectif que se pose la proposition de règlement est que son adoption puisse intervenir le 25 mai 2018 pour s’aligner ainsi sur la date d’entrée en vigueur du GDPR. Cependant, la proposition de la Commission européenne datant du 10 janvier 2017 le règlement n’est toujours qu’au début du processus législatif. Une première consultation des principaux acteurs concernés (fournisseurs de services de télécommunications, OTT, utilisateurs, autorités de protection etc.) devait intervenir le 11 avril 2017.

La question qui est susceptible de faire objet de débat est sans doute celle de savoir où doit être placé le curseur de l’intensité de la protection des données. La consultation publique de la Commission réalisée en 2016 et les critiques relatives à la première version du règlement datant du mois de décembre 2016 ont montré que les utilisateurs et les organisations de consommateurs sont favorables à une réglementation stricte de la collecte et l’utilisation des données des communications électroniques. Inversement, les entreprises de l’industrie du numérique sont favorables à une réglementation plus souple et préconisent sur certains points de s’appuyer sur l’autorégulation.

L’enjeu est de trouver le meilleur équilibre entre un niveau de protection adéquat des données des communications électroniques et le développement du marché numérique.

Maitre Fabrice Naftalski, merci d'avoir répondu à nos questions et rendez-vous très prochainement dans un nouveau numéro de Finyear.


© Copyright Finyear. Propos recueillis par la rédaction de Finyear.

Lisez gratuitement :

FINYEAR

Le quotidien Finyear :
- Finyear Quotidien

Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.

Ses 4 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief Digital Officer

Finyear magazine trimestriel digital :
- Finyear Magazine

Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear

BLOCKCHAIN DAILY NEWS

Le quotidien Blockchain Daily News :
- Blockchain Daily News

Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.

Sa lettre mensuelle digitale :
- The Chief Blockchain Officer

Vendredi 2 Juin 2017


Articles similaires