Le Conseil de l’Union européenne arrête sa position concernant le règlement ePrivacy
Situation juridique actuelle
Entrée en vigueur le 31 juillet 2002, la Directive vie privée et communications électroniques (Directive ePrivacy, version consolidée) assure la protection des libertés et droits fondamentaux, en particulier le respect de la vie privée, la confidentialité des communications et la protection des données à caractère personnel dans le secteur des communications électroniques. Celle-ci fait actuellement l’objet d’une profonde révision, sur laquelle nous reviendrons au chapitre suivant, une mise en contexte étant d’abord nécessaire.
Adoptée postérieurement à la Directive 95/46/CE (l’ancêtre du RGPD), la Directive ePrivacy prévoit des exigences spécifiques à certains traitements de données personnelles, notamment en ce qui concerne le recours aux cookies. La Directive ePrivacy a par ailleurs été modifiée en 2009 par la Directive 2009/136/CE. L’une des grandes modifications concerne l’art. 5 par. 3 (Confidentialité des communications), qui prévoyait initialement, pour la récolte du consentement en lien avec l’installation de certains cookies, un mécanisme d’opt-out (système de retrait), ce dernier ayant été remplacé par un mécanisme d’opt-in (système d’adhésion).
Depuis l’adoption de la Directive ePrivacy, le cadre juridique relatif à la protection des données a évolué. L’Union européenne a adopté en 2016 son nouveau règlement sur la protection des données, celui-ci s’inscrivant dans une certaine mesure au sein de la stratégie de l’Union européenne pour un marché unique numérique. Depuis, des problèmes d’articulation entre les deux législations sont régulièrement abordés par la Cour de justice de l’Union européenne (p. ex. dans l’arrêt CJUE Planet 49, par. 38 ss) ou par les autorités nationales de protection des données (p. ex. Google condamnée à une amende de 100 millions d’euros par la CNIL).
Principales étapes de la révision
La révision de la Directive ePrivacy a principalement été décidée par suite de son évaluation par la Commission européenne. Il est ressorti de cette évaluation que d’importantes évolutions technologiques et économiques se sont produites sur le marché, en particulier le développement de nouveaux services sur Internet à l’instar de la voix sur IP, la messagerie instantanée ou encore le courrier électronique Web. Ces services, qui sont des services par contournement n’incluant par la participation d’un fournisseur d’accès Internet, ne tombent pas dans le champ d’application.
Fort de ce constat, la Commission européenne a déposé, en janvier 2017, une proposition de Règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques (Règlement ePrivacy) à ses organes législatifs (soit le Conseil de l’Union européenne et le Parlement européen conformément à la procédure législative ordinaire). L’idée du Règlement ePrivacy, outre un objectif d’uniformité au sein des États-membres, est également d’assurer une cohérence avec le RGPD. Ainsi, il est clairement mentionné que le Règlement ePrivacy constitue une lex specialis par rapport au RGPD, qu’il précisera et complétera en ce qui concerne les données de communications électroniques.
Depuis son dépôt en janvier 2017, la proposition de règlement a fait l’objet de nombreuses discussions au sein du Conseil de l’Union européenne, les Ministres s’étant rencontré 51 fois. Entre-temps, le Contrôleur européen de la protection des données, ainsi que le Comité économique et social européen, ont pu chacun rendre un avis. Ce n’est que le 10 février 2021 que le Conseil de l’Union européenne a arrêté ses discussions et approuvé un mandat de négociation, permettant d’entamer les négociations avec le Parlement européen en première lecture. La proposition de règlement telle qu’arrêtée par le Conseil de l’Union européenne est accessible ici.
Que prévoit la proposition de Règlement ePrivacy ?
Telle qu’arrêtée, la proposition de Règlement ePrivacy prévoit notamment ce qui suit :
- Le Règlement ePrivacy devrait s’appliquer au contenu de communications électroniques transmis au moyen de services et de réseaux accessibles au public, ainsi qu’aux métadonnées liées à la communication (localisation, heure, destinataire de la communication, …). Il s’appliquera également aux données de machine à machine transmises par l’intermédiaire d’un réseau public.
- Au même titre que le RGPD, le Règlement ePrivacy devrait s’appliquer quand les utilisateurs finaux se trouvent dans l’UE, indépendamment du fait que le traitement ait lieu en dehors de l’UE ou que le fournisseur de services soit établi en dehors de l’UE.
- Le traitement de données de communications électroniques sans le consentement de l’utilisateur devrait être autorisé dans certains cas (p. ex. des cookies strictement nécessaires permettant à un site web de fonctionner correctement).
- Les métadonnées pourraient être traitées sans le consentement de l’utilisateur dans certains cas (p. ex. si elles sont nécessaires aux fins de la gestion du réseau ou à la facturation). Les métadonnées pourraient servir d’autres finalités, sous réserve du consentement de l’utilisateur.
- L’utilisation des capacités de traitement et de stockage et la collecte d’informations à partir de l’équipement terminal d’un utilisateur devraient être uniquement autorisées avec son consentement ou à d’autres fins précises et transparentes prévues par le règlement.
- L’utilisateur final devrait avoir une véritable liberté de choisir s’il accepte ou non les cookies (ou autres identifiants similaires). L’utilisation de cookie wall (dispositif par lequel l’éditeur d’un site web conditionne l’accès au contenu de ses pages au fait que l’internaute exprime son consentement au dépôt d’un cookie sur son ordinateur) demeure possible, pour autant qu’une offre équivalente qui n’impliquerait pas le consentement aux cookies soit prévue.
- Pour éviter la lassitude du consentement aux cookies, un utilisateur final pourrait donner son consentement à l’utilisation de certains types de cookies en inscrivant sur une liste blanche un ou plusieurs fournisseurs dans ses paramètres de navigation.
Et la suite ?
Conformément à la procédure législative ordinaire, il appartient au Parlement européen de se prononcer, en première lecture, sur la proposition révisée du Conseil de l’Union européen. Si les deux institutions ne parviennent pas à un accord après la deuxième lecture, un comité de conciliation devra être convoqué. Ce dernier aura la tâche d’adopter un texte, qui pourra être accepté, ou non, par les deux institutions, abrogeant ainsi l’actuel Directive ePrivacy.
Proposition de citation : Livio di Tria, Le Conseil de l’Union européenne arrête sa position concernant le règlement ePrivacy, 3 mars 2021 in www.swissprivacy.law/60
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.