Données personnelles et
communications électroniques :
un nouveau projet de règlement
européen (ePrivacy)
La Commission européenne (la « Commission ») s’est lancée récemment dans un vaste projet de réformes dans le cadre de sa stratégie de marché unique digital. Cette initiative a pour objectif de favoriser la libre circulation des biens et services numériques tout en assurant un haut niveau de protection des utilisateurs.
Cette protection recouvre essentiellement la protection des données personnelles, devenue un enjeu économique et sociétal considérable dans l’Union européenne. Dans cette optique, la Commission s’est préoccupée de la modernisation du cadre juridique européen en la matière, dans la mesure où les instruments juridiques en vigueur jusqu’à présent n’étaient plus vraiment adaptés à la rapidité et à la multiplication des échanges de données actuels.
En conséquence, le Règlement Général sur la protection des Données Personnelles (RGDP), qui a vocation à remplacer la directive 95/46/CE(1) et à servir de cadre juridique commun général en matière de données personnelles, est entré en vigueur le 24 mai 2016 et est applicable dans tous les Etats membres au 25 mai 2018. Ce règlement a déjà pu faire l’objet de nombreux commentaires.
Cependant, le RGDP ne constitue pas la seule source de droit en matière de données personnelles. Il existe tout un corpus de règles juridiques s’appliquant à des domaines spécifiques. Le plus important d’entre eux est celui réglant le secteur des communications électroniques, jusqu’alors régi par la directive 2002/58/CE(2). Afin d’assurer un système de protection des données personnelles cohérent, la Commission a adopté le 10 janvier 2017 un projet de règlement concernant le respect de la vie privée et la protection des données personnelles dans les communications électroniques (parfois appelé ePrivacy)(3).
Le RGDP et le projet de règlement ePrivacy (le « projet ») sont donc complémentaires, le projet étant censé être applicable en même temps que le RGDP.
L’application du projet doit retenir tout particulièrement l’attention non seulement des entreprises du secteur des communications électroniques, même si leurs services sont gratuits (on pense à des acteurs tels que Skype, Facebook Messenger, Whatsapp…), mais également de toutes celles amenées à collecter des données personnelles par le biais d’un réseau de communication électronique (tel qu’Internet).
Les principales mesures du projet sont les suivantes :
1. Les communications électroniques sont confidentielles
Le projet pose le principe de la confidentialité de toutes les données de communications électroniques au sens large, donc non seulement leurs contenus mais également leurs métadonnées, c’est-à-dire les données attachées à une communication électronique permettant le traçage et l’identification de la source et de la destination de la communication.
Ces données de communication ne peuvent donc pas en principe faire l’objet d’un traitement, sauf à entrer dans le champ des exceptions définies par le projet (telles que la fourniture d’un service spécifique, électrodans la mesure où ce traitement est nécessaire à ce service et a été consenti par l’utilisateur ou, pour les métadonnées, afin de procéder à la facturation et prévenir les fraudes).
A cet effet, les données de communication doivent être supprimées ou rendues anonymes par le fournisseur de services de communications électroniques dès leur réception par le destinataire. Les utilisateurs finaux ou les tiers habilités par les premiers dans les conditions du RGDP sont les seuls pouvant enregistrer et conserver ces données.
Lorsqu’un consentement est requis de l’utilisateur final pour le traitement des données, le consentement doit remplir les conditions posées par le RGDP et en particulier le fait de devoir être explicite et révocable à tout moment. A ce titre, le fournisseur de service de communications électroniques doit informer l’utilisateur tous les 6 mois de la possibilité pour lui de révoquer son consentement.
2. Le terminal de l’utilisateur doit être préservé des intrusions non désirées
La directive 2009/136/CE(4) avait introduit dans la directive 2002/58/CE l’obligation pour les acteurs de l’Internet de recueillir le consentement préalable des utilisateurs avant de pouvoir déposer des cookies sur le terminal de l’utilisateur.
La Commission a estimé que ces formalités étaient contre-productives dans le sens où l’utilisateur était submergé par les sollicitations qu’il ne prenait plus vraiment la peine de prendre en considération. En conséquence, si le dépôt de cookies ou tout autre traceur sur le terminal de l’utilisateur reste prohibé en principe, sauf consentement de l’utilisateur, le projet ajoute d’autres exceptions qui ne nécessitent pas de consentement préalable, notamment pour les cookies peu intrusifs, tels que ceux mesurant l’audience d’une page Web.
A ce titre, les navigateurs Internet devront dorénavant prévoir obligatoirement une option permettant de s’opposer au dépôt de cookies ou tout autre traceur sur le terminal. L’utilisateur doit être informé de tels paramètres de confidentialité dès l’installation ou dès la mise à jour du navigateur.
3. L’encadrement des communications de prospection commerciale
Les communications de prospection commerciale ne peuvent être réalisées qu’avec le consentement explicite de la personne concernée, ceci correspondant à l’opt-in.
Par exception, le projet reconnaît la possibilité de collecter des données de contact électronique dans le cadre de la fourniture d’un bien ou d’un service à la personne concernée à des fins de prospection commerciale pour des produits et des services similaires, dans la mesure où la personne concernée a la possibilité de s’opposer à l’utilisation des données sans frais. Ce droit d’opposition doit être donné dès la collecte des données et à chaque message envoyé. Ce système correspond à celui de l’opt-out.
Enfin, le démarchage par téléphone est aussi encadré. Il doit être indiqué expressément le caractère commercial de la communication, l’identité de la personne pour le compte de qui cette communication est faite et les informations permettant à l’utilisateur de révoquer facilement son consentement à recevoir d’autres communications.
Les démarcheurs par téléphone devront également soit présenter un numéro de contact, soit présenter un préfixe ou un code spécial identifiant le caractère commercial de l’appel.
Conclusion
Le projet de règlement ePrivacy donne ainsi un grand nombre d’éléments sur ce qui est possible et ce qui n’est pas possible en matière de collecte des données personnelles sur les réseaux de communications électroniques. Il constitue ainsi un complément indispensable à la compréhension du droit des données personnelles. Etant encore un projet récent, il peut encore faire l’objet de modifications avant son adoption, mais mérite d’être suivi avec attention.
Wildgen, Partners in Law
(1) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(2) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).
(3) Proposal for a Regulation of The European Parliament and of The Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications) COM/2017/010 final - 2017/03 (COD) (traduction française non encore disponible).
(4) Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n° 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs.