Confidentialité des communications électroniques : la proposition de règlement ePrivacy, complétant le RGPD, est expliquée par Laurent Badiane, avocat associé, et Laëtitia Basset, avocate du département IP/IT, du cabinet KGA AVOCATS.
Le 10 janvier 2017, la Commission européenne a publié sa proposition de règlement ePrivacy, dont l’objectif est d’abroger la directive 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) et d’harmoniser la législation des Etats membres en matière de confidentialité des communications électroniques (1). Ce texte s’inscrit dans le prolongement de l’adoption du RGPD.
Qui est concerné ?
Il devrait s’appliquer de manière large aux fournisseurs de services de communications électroniques (y compris les services over-the-top “OTT” : WhatsApp, Facebook Messenger, Skype, Gmail, iMessage ou Viber), aux fournisseurs d’annuaires accessibles au public et aux fournisseurs de logiciels permettant des communications électroniques, y compris la récupération et la présentation d’informations sur Internet (2).
Sont concernées aussi les personnes physiques et morales utilisant des services de communications électroniques pour envoyer des communications commerciales de prospection directe ou recueillir des informations qui concernent l’équipement terminal de l’utilisateur final ou qui y sont stockées.
Le Règlement devrait s’appliquer aux données de communications électroniques traitées en relation avec la fourniture et l’utilisation de services de communications électroniques dans l’UE, que le traitement ait lieu ou non dans l’UE. De plus, afin que les utilisateurs finaux dans l’UE ne soient pas privés d’une protection efficace, il devrait aussi s’appliquer aux données de communications électroniques traitées en relation avec la fourniture de services de communications électroniques de l’extérieur de l’UE à des utilisateurs finaux à l’intérieur de l’UE (3)
Les métadonnées
Le Règlement pose le principe de la confidentialité des données de communications électroniques4. Cependant, il autorise, à certaines conditions, la collecte et le traitement des métadonnées dans le cadre d’une communication électronique. Le traitement est autorisé sans autorisation préalable, notamment pour maintenir ou rétablir la sécurité des réseaux et services de communications électroniques ou détecter des défaillances techniques et/ou des erreurs dans la transmission des communications électroniques, pendant la durée nécessaire à cette fin (5).
Les cookies
Les règles changent peu sur les principes. La règle concernant l’obtention du consentement préalable de l’utilisateur est maintenue pour la lecture et l’installation de cookies, à l’exception des cookies techniques. En outre, si les cookies sont nécessaires pour réaliser des mesures d’audience, le fournisseur de service (et uniquement lui) pourra utiliser des cookies à cette fin sans l’autorisation de l’utilisateur (6).
Pour tous les autres cookies ou traceurs (notamment publicitaires), la règle demeure le consentement préalable de l’internaute qui doit répondre aux exigences prévues par le RGPD (7) (consentement libre, spécifique et éclairé, possibilité de retrait du consentement à tout moment etc.).
En pratique, il est conseillé de continuer de recourir aux « bandeaux cookies » pour les sites Web qui utilisent des cookies et désirent obtenir le consentement de leurs visiteurs.
Le consentement peut être exprimé au moyen du paramétrage du navigateur de l’utilisateur. Les logiciels de communications électroniques (notamment Internet Explorer ou Chrome) doivent offrir la possibilité de bloquer tout accès aux terminaux des utilisateurs (8).
Prospection commerciale
La règle de l’opt-in demeure. Le Règlement prévoit largement que « Les personnes physiques ou morales peuvent utiliser les services de communications électroniques pour l’envoi de communications de prospection directe aux utilisateurs finaux qui sont des personnes physiques ayant donné leur consentement.»9. Une telle rédaction laisse entendre que la règle de l’opt-in pourrait également avoir à s’appliquer dans les relations BtoB.
- Communiqué de presse de la Commission européenne en date du 10 janvier 2017
- Avis du G29 adopté le 4 avril 2017
- Communiqué de presse de la Commission européenne en date du 10 janvier 2017
- Considérant 8 et article 2.1 du Règlement ePrivacy
- Considérant 9 et article 3 du Règlement ePrivacy
- Article 5 du Règlement ePrivacy
- Article 6 du Règlement ePrivacy
- Article 8 du Règlement ePrivacy
- Article 9 du Règlement ePrivacy
