Qui sommes-nous ?

Métiers & Expertises

Enjeux & Solutions

Blog & Actualités

Contactez-nous

Nous recrutons

Point d’étape sur le projet de règlement ePrivacy

Point d’étape sur le projet de règlement ePrivacy

Le futur règlement ePrivacy viendrai remplacer la directive « Vie privée et communications électroniques » du 12 juillet 2002 afin d’harmoniser la législation des Etats membres en matière de protection de la vie privée et des données personnelles dans les communications électroniques. Le point sur la situation.

ePrivacy : un contexte complexe

Il y a quelques mois, nous évoquions le projet de règlement ePrivacy qui a pour objectif de renforcer la protection des utilisateurs de systèmes terminaux. Depuis la directive ePrivacy 2002/58/CE du 12 juillet 2002, la technologie et les communications commerciales ont considérablement évolué.

Le projet de règlement ePrivacy, en cours d’élaboration au Conseil de l’Union européenne, comprend des dispositions générales sur les communications électroniques ainsi que le suivi sur Internet, notamment le marketing numérique direct et les cookies.

Concrètement, quand le règlement général sur la protection des données 2016/679 (RGPD) encadre le traitement des données à caractère personnel, le règlement ePrivacy concerne quant à lui les échanges d’information opérés au sein des fournisseurs de services électroniques (navigateurs, SMS, e-mailing, Skype, WhatsApp, Facebook Messenger, etc.).

Les dispositions du règlement s’appliqueront aux personnes physiques, mais également aux personnes morales.

 

Des négociations qui s’éternisent

Le texte, rendu public par la Commission le 10 janvier 2017, et qui aurait dû être adopté concomitamment au RGPD, fait encore actuellement l’objet de nombreux débats au sein du Conseil, sous présidence finlandaise, depuis le 1er juillet 2019. Notons qu’à ce stade, cette présidence n’envisage qu’un rapport d’étape en décembre et non un vote.

Source : https://eur-lex.europa.eu/

 

Après des mois de négociations, sans réelles avancée au sein du Conseil, la présidence finlandaise a publié le 4 octobre dernier, une proposition révisée du règlement ePrivacy. Certaines avancées sont intéressantes et laissent présumer du retour (potentiellement temporaire) à un pragmatisme très certainement guidé par des considérations économiques.

 

Les principales dispositions de la version du Conseil du 4 octobre 2019

Marketing direct

Concernant le marketing direct, le dernier projet de texte laisse présager d’une distinction entre B2C et B2B (article 16), ce qui est nouveau par rapport aux versions précédentes du texte, mais dans la continuité de la directive de 2002 dont la transposition est en vigueur aujourd’hui. Actuellement, les règles relatives à la nécessité d’un consentement pour les e-mails en B2B permettent de se passer du consentement de la personne concernée (opt-out), tout en lui octroyant un droit d’information et d’opposition. Reste à savoir si le champ d’application de la disposition du projet actuel se limite aux e-mails génériques tels que contact@nomdelasociete.fr ou si elle permet de communiquer avec une personne agissant à titre professionnel.

 

Utilisation des cookies

Concernant l’utilisation de cookies et autres traceurs, la nouvelle version du texte élargit la portée des règles en vigueur aujourd’hui. Le consentement est par principe requis, et il doit résulter d’un acte positif clair, selon les exigences du RGPD.

Cependant, le dernier projet de règlement comporte quelques exceptions, telles que les cookies de mesures d’audience et de mises à jour logicielles, sous certaines conditions.

Le considérant 21 semble valider le recours à un « cookies wall », c’est-à-dire à la possibilité de conditionner l’accès à un service à l’autorisation de cookies utilisés à des fins publicitaires, lorsque (conditions cumulatives) :

  • le traitement publicitaire est nécessaire à la prestation du service
  • ce service est entièrement ou principalement financé par publicité
  • l’utilisateur final a reçu des informations claires, précises et conviviales sur les objectifs de cookies ou techniques similaires et a accepté une telle utilisation (il est à noter que le texte utilise pour ce point le terme « accepte » et non « consent »).

 

L’apport de la Cour de justice de l’Union européenne

La position du Conseil a été étayée en octobre par la CJUE dans l’affaire Planet 49 (C 673/17). La Cour a posé le principe que les cases à cocher ne suffisent pas pour démontrer le consentement « actif » d’un utilisateur au sens de l’article 7 du RGPD.

La décision précise que le consentement pour des finalités différentes doit être recueilli pour chacune, et donc qu’un consentement général à toutes fins ne suffit pas. Les fournisseurs de services doivent donc s’assurer que des consentements séparés sont obtenus à des fins de traitement distinctes.

Ensuite, l’arrêt indique clairement que l’obligation de fournir des « informations claires et complètes » doit s’étendre à la durée pendant laquelle les cookies sont en activité, si des tiers pourront y accéder, et ce avant que le consentement ne soit obtenu.

D’autres changements significatifs interviendront avant que le Conseil n’adopte une position commune, à définir devant le Parlement européen.

Pour ce faire, il devra traiter certaines des questions en suspens. Notamment sur le consentement obtenu via réglage du navigateur, ainsi que sur la disposition relative à la confidentialité par défaut de l’article 10, qui avait été supprimé lors d’une précédente révision, et qui est « encore ouvert à la discussion ».

 

Une gestation difficile pour un accouchement incertain

Envisager une position définitive du Conseil avant la fin de cette année serait optimiste. Si celle-ci intervient dans ce délai, l’adoption formelle du règlement restera encore une étape ultérieure à atteindre. D’autant plus que des opérateurs économiques continuent leur fronde contre ce projet de règlement.

Dernièrement, l’organisation Ecommerce Europe a appelé la Commission européenne en date du 8 octobre 2019 à modifier en profondeur la proposition de règlement ePrivacy, lui reprochant d’être « incohérente ». En mai 2017, c’était 33 éditeurs de presse qui adressaient une lettre ouverte au Parlement européen et au Conseil de l’Union.

Ce parcours chaotique est expliqué par la difficile imbrication du projet ePrivacy avec le RGPD, pilier de référence en matière de données personnelles. Le caractère intrusif et potentiellement massif de la communication électronique nécessite effectivement de mettre en place des réglementations spécifiques.

Cependant, le risque encouru de créer des règles difficilement conciliables se pose. Si l’utilisation de données personnelles sans prospection électronique peut de manière raisonnable et pragmatique, avoir pour base juridique l’intérêt légitime du responsable de traitement, la mise en œuvre d’emailing ou de traçage par IP et autres identifiants machine justifie un consentement express et positif clair de la part de la personne concernée.

Sur la question centrale de l’utilisation commerciale des données personnelles, les intérêts des opérateurs économiques et des personnes physiques non-entités juridiques sont par nature antagonistes. La recherche du gain financier sur des données dont la nature n’est pas patrimoniale nécessite la mise en place de garde-fous légaux solides. L’objectif ? Protéger les droits et libertés des personnes concernées.

Le lobbying dont on connaît le caractère très actif au sein des organes européens joue à plein actuellement concernant ePrivacy. Le scénario vécu par le RGPD, avec la victoire in fine d’un certain pragmatisme économique (inclusion de l’intérêt légitime comme base juridique du traitement), pourrait être rejoué concernant ePrivacy, et ce principalement sur la question de la nature du consentement (actif ou tacite).

En attendant ce dénouement, les opérateurs économiques et les personnes physiques resteront les témoins forcés de cette valse-hésitation que l’on eut préférée minute.

Vous souhaitez nous contacter ?

Besoin d'une information sur nos solutions ? Envie de nous rejoindre ?
L'équipe Ellisphere est là pour répondre à vos questions.

Nous contacter

Entrez en contact avec l'équipe Ellisphere

Écrivez-nous

Charte transparence

Vous souhaitez connaître le score de votre entreprise ?

Votre score

Newsletter

Découvrez les derniers articles de notre blog

Abonnez-vous