Situation juri­dique actuelle

Entrée en vigueur le 31 juillet 2002, la Directive vie privée et commu­ni­ca­tions élec­tro­niques (Directive ePrivacy, version conso­li­dée) assure la protec­tion des liber­tés et droits fonda­men­taux, en parti­cu­lier le respect de la vie privée, la confi­den­tia­lité des commu­ni­ca­tions et la protec­tion des données à carac­tère person­nel dans le secteur des commu­ni­ca­tions élec­tro­niques. Celle-ci fait actuel­le­ment l’objet d’une profonde révi­sion, sur laquelle nous revien­drons au chapitre suivant, une mise en contexte étant d’abord nécessaire.

Adoptée posté­rieu­re­ment à la Directive 95/​46/​CE (l’ancêtre du RGPD), la Directive ePrivacy prévoit des exigences spéci­fiques à certains trai­te­ments de données person­nelles, notam­ment en ce qui concerne le recours aux cookies. La Directive ePrivacy a par ailleurs été modi­fiée en 2009 par la Directive 2009/​136/​CE. L’une des grandes modi­fi­ca­tions concerne l’art. 5 par. 3 (Confidentialité des commu­ni­ca­tions), qui prévoyait initia­le­ment, pour la récolte du consen­te­ment en lien avec l’installation de certains cookies, un méca­nisme d’opt-out (système de retrait), ce dernier ayant été remplacé par un méca­nisme d’opt-in (système d’adhésion).

Depuis l’adoption de la Directive ePrivacy, le cadre juri­dique rela­tif à la protec­tion des données a évolué. L’Union euro­péenne a adopté en 2016 son nouveau règle­ment sur la protec­tion des données, celui-ci s’inscrivant dans une certaine mesure au sein de la stra­té­gie de l’Union euro­péenne pour un marché unique numé­rique.  Depuis, des problèmes d’articulation entre les deux légis­la­tions sont régu­liè­re­ment abor­dés par la Cour de justice de l’Union euro­péenne (p. ex. dans l’arrêt CJUE Planet 49, par. 38 ss) ou par les auto­ri­tés natio­nales de protec­tion des données (p. ex. Google condam­née à une amende de 100 millions d’euros par la CNIL).

Principales étapes de la révision

La révi­sion de la Directive ePrivacy a prin­ci­pa­le­ment été déci­dée par suite de son évalua­tion par la Commission euro­péenne. Il est ressorti de cette évalua­tion que d’importantes évolu­tions tech­no­lo­giques et écono­miques se sont produites sur le marché, en parti­cu­lier le déve­lop­pe­ment de nouveaux services sur Internet à l’instar de la voix sur IP, la messa­ge­rie instan­ta­née ou encore le cour­rier élec­tro­nique Web. Ces services, qui sont des services par contour­ne­ment n’incluant par la parti­ci­pa­tion d’un four­nis­seur d’accès Internet, ne tombent pas dans le champ d’application.

Fort de ce constat, la Commission euro­péenne a déposé, en janvier 2017, une propo­si­tion de Règlement concer­nant le respect de la vie privée et la protec­tion des données à carac­tère person­nel dans les commu­ni­ca­tions élec­tro­niques (Règlement ePrivacy) à ses organes légis­la­tifs (soit le Conseil de l’Union euro­péenne et le Parlement euro­péen confor­mé­ment à la procé­dure légis­la­tive ordi­naire). L’idée du Règlement ePrivacy, outre un objec­tif d’uniformité au sein des États-membres, est égale­ment d’assurer une cohé­rence avec le RGPD. Ainsi, il est clai­re­ment mentionné que le Règlement ePrivacy consti­tue une lex specia­lis par rapport au RGPD, qu’il préci­sera et complé­tera en ce qui concerne les données de commu­ni­ca­tions électroniques.

Depuis son dépôt en janvier 2017, la propo­si­tion de règle­ment a fait l’objet de nombreuses discus­sions au sein du Conseil de l’Union euro­péenne, les Ministres s’étant rencon­tré 51 fois. Entre-temps, le Contrôleur euro­péen de la protec­tion des données, ainsi que le Comité écono­mique et social euro­péen, ont pu chacun rendre un avis. Ce n’est que le 10 février 2021 que le Conseil de l’Union euro­péenne a arrêté ses discus­sions et approuvé un mandat de négo­cia­tion, permet­tant d’entamer les négo­cia­tions avec le Parlement euro­péen en première lecture. La propo­si­tion de règle­ment telle qu’arrêtée par le Conseil de l’Union euro­péenne est acces­sible ici.

Que prévoit la propo­si­tion de Règlement ePrivacy ?

Telle qu’arrêtée, la propo­si­tion de Règlement ePrivacy prévoit notam­ment ce qui suit :

• Le Règlement ePrivacy devrait s’appliquer au contenu de commu­ni­ca­tions élec­tro­niques trans­mis au moyen de services et de réseaux acces­sibles au public, ainsi qu’aux méta­don­nées liées à la commu­ni­ca­tion (loca­li­sa­tion, heure, desti­na­taire de la commu­ni­ca­tion, …). Il s’appliquera égale­ment aux données de machine à machine trans­mises par l’intermédiaire d’un réseau public.
• Au même titre que le RGPD, le Règlement ePrivacy devrait s’appliquer quand les utili­sa­teurs finaux se trouvent dans l’UE, indé­pen­dam­ment du fait que le trai­te­ment ait lieu en dehors de l’UE ou que le four­nis­seur de services soit établi en dehors de l’UE.
• Le trai­te­ment de données de commu­ni­ca­tions élec­tro­niques sans le consen­te­ment de l’utilisateur devrait être auto­risé dans certains cas (p. ex. des cookies stric­te­ment néces­saires permet­tant à un site web de fonc­tion­ner correctement).
• Les méta­don­nées pour­raient être trai­tées sans le consen­te­ment de l’utilisateur dans certains cas (p. ex. si elles sont néces­saires aux fins de la gestion du réseau ou à la factu­ra­tion). Les méta­don­nées pour­raient servir d’autres fina­li­tés, sous réserve du consen­te­ment de l’utilisateur.
• L’utilisation des capa­ci­tés de trai­te­ment et de stockage et la collecte d’in­for­ma­tions à partir de l’équipement termi­nal d’un utili­sa­teur devraient être unique­ment auto­ri­sées avec son consen­te­ment ou à d’autres fins précises et trans­pa­rentes prévues par le règlement.
• L’utilisateur final devrait avoir une véri­table liberté de choi­sir s’il accepte ou non les cookies (ou autres iden­ti­fiants simi­laires). L’utilisation de cookie wall (dispo­si­tif par lequel l’éditeur d’un site web condi­tionne l’accès au contenu de ses pages au fait que l’internaute exprime son consen­te­ment au dépôt d’un cookie sur son ordi­na­teur) demeure possible, pour autant qu’une offre équi­va­lente qui n’impliquerait pas le consen­te­ment aux cookies soit prévue.
• Pour éviter la lassi­tude du consen­te­ment aux cookies, un utili­sa­teur final pour­rait donner son consen­te­ment à l’uti­li­sa­tion de certains types de cookies en inscri­vant sur une liste blanche un ou plusieurs four­nis­seurs dans ses para­mètres de navigation.

Et la suite ?

Conformément à la procé­dure légis­la­tive ordi­naire, il appar­tient au Parlement euro­péen de se pronon­cer, en première lecture, sur la propo­si­tion révi­sée du Conseil de l’Union euro­péen. Si les deux insti­tu­tions ne parviennent pas à un accord après la deuxième lecture, un comité de conci­lia­tion devra être convo­qué. Ce dernier aura la tâche d’adopter un texte, qui pourra être accepté, ou non, par les deux insti­tu­tions, abro­geant ainsi l’actuel Directive ePrivacy.