swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Le Conseil de l’Union européenne arrête sa position concernant le règlement ePrivacy

Livio di Tria, le 3 mars 2021
Le 10 février 2021, les États membres du Conseil de l’Union euro­péenne ont approuvé le mandat de négo­cia­tion en vue de la révi­sion des règles en matière de protec­tion de la vie privée et de la confi­den­tia­lité dans l’utilisation des services de commu­ni­ca­tions électroniques.

Situation juri­dique actuelle

Entrée en vigueur le 31 juillet 2002, la Directive vie privée et commu­ni­ca­tions élec­tro­niques (Directive ePrivacy, version conso­li­dée) assure la protec­tion des liber­tés et droits fonda­men­taux, en parti­cu­lier le respect de la vie privée, la confi­den­tia­lité des commu­ni­ca­tions et la protec­tion des données à carac­tère person­nel dans le secteur des commu­ni­ca­tions élec­tro­niques. Celle-ci fait actuel­le­ment l’objet d’une profonde révi­sion, sur laquelle nous revien­drons au chapitre suivant, une mise en contexte étant d’abord nécessaire.

Adoptée posté­rieu­re­ment à la Directive 95/​46/​CE (l’ancêtre du RGPD), la Directive ePrivacy prévoit des exigences spéci­fiques à certains trai­te­ments de données person­nelles, notam­ment en ce qui concerne le recours aux cookies. La Directive ePrivacy a par ailleurs été modi­fiée en 2009 par la Directive 2009/​136/​CE. L’une des grandes modi­fi­ca­tions concerne l’art. 5 par. 3 (Confidentialité des commu­ni­ca­tions), qui prévoyait initia­le­ment, pour la récolte du consen­te­ment en lien avec l’installation de certains cookies, un méca­nisme d’opt-out (système de retrait), ce dernier ayant été remplacé par un méca­nisme d’opt-in (système d’adhésion).

Depuis l’adoption de la Directive ePrivacy, le cadre juri­dique rela­tif à la protec­tion des données a évolué. L’Union euro­péenne a adopté en 2016 son nouveau règle­ment sur la protec­tion des données, celui-ci s’inscrivant dans une certaine mesure au sein de la stra­té­gie de l’Union euro­péenne pour un marché unique numé­rique.  Depuis, des problèmes d’articulation entre les deux légis­la­tions sont régu­liè­re­ment abor­dés par la Cour de justice de l’Union euro­péenne (p. ex. dans l’arrêt CJUE Planet 49, par. 38 ss) ou par les auto­ri­tés natio­nales de protec­tion des données (p. ex. Google condam­née à une amende de 100 millions d’euros par la CNIL).

Principales étapes de la révision

La révi­sion de la Directive ePrivacy a prin­ci­pa­le­ment été déci­dée par suite de son évalua­tion par la Commission euro­péenne. Il est ressorti de cette évalua­tion que d’importantes évolu­tions tech­no­lo­giques et écono­miques se sont produites sur le marché, en parti­cu­lier le déve­lop­pe­ment de nouveaux services sur Internet à l’instar de la voix sur IP, la messa­ge­rie instan­ta­née ou encore le cour­rier élec­tro­nique Web. Ces services, qui sont des services par contour­ne­ment n’incluant par la parti­ci­pa­tion d’un four­nis­seur d’accès Internet, ne tombent pas dans le champ d’application.

Fort de ce constat, la Commission euro­péenne a déposé, en janvier 2017, une propo­si­tion de Règlement concer­nant le respect de la vie privée et la protec­tion des données à carac­tère person­nel dans les commu­ni­ca­tions élec­tro­niques (Règlement ePrivacy) à ses organes légis­la­tifs (soit le Conseil de l’Union euro­péenne et le Parlement euro­péen confor­mé­ment à la procé­dure légis­la­tive ordi­naire). L’idée du Règlement ePrivacy, outre un objec­tif d’uniformité au sein des États-membres, est égale­ment d’assurer une cohé­rence avec le RGPD. Ainsi, il est clai­re­ment mentionné que le Règlement ePrivacy consti­tue une lex specia­lis par rapport au RGPD, qu’il préci­sera et complé­tera en ce qui concerne les données de commu­ni­ca­tions électroniques.

Depuis son dépôt en janvier 2017, la propo­si­tion de règle­ment a fait l’objet de nombreuses discus­sions au sein du Conseil de l’Union euro­péenne, les Ministres s’étant rencon­tré 51 fois. Entre-temps, le Contrôleur euro­péen de la protec­tion des données, ainsi que le Comité écono­mique et social euro­péen, ont pu chacun rendre un avis. Ce n’est que le 10 février 2021 que le Conseil de l’Union euro­péenne a arrêté ses discus­sions et approuvé un mandat de négo­cia­tion, permet­tant d’entamer les négo­cia­tions avec le Parlement euro­péen en première lecture. La propo­si­tion de règle­ment telle qu’arrêtée par le Conseil de l’Union euro­péenne est acces­sible ici.

Que prévoit la propo­si­tion de Règlement ePrivacy ?

Telle qu’arrêtée, la propo­si­tion de Règlement ePrivacy prévoit notam­ment ce qui suit :

  • Le Règlement ePrivacy devrait s’appliquer au contenu de commu­ni­ca­tions élec­tro­niques trans­mis au moyen de services et de réseaux acces­sibles au public, ainsi qu’aux méta­don­nées liées à la commu­ni­ca­tion (loca­li­sa­tion, heure, desti­na­taire de la commu­ni­ca­tion, …). Il s’appliquera égale­ment aux données de machine à machine trans­mises par l’intermédiaire d’un réseau public.
  • Au même titre que le RGPD, le Règlement ePrivacy devrait s’appliquer quand les utili­sa­teurs finaux se trouvent dans l’UE, indé­pen­dam­ment du fait que le trai­te­ment ait lieu en dehors de l’UE ou que le four­nis­seur de services soit établi en dehors de l’UE.
  • Le trai­te­ment de données de commu­ni­ca­tions élec­tro­niques sans le consen­te­ment de l’utilisateur devrait être auto­risé dans certains cas (p. ex. des cookies stric­te­ment néces­saires permet­tant à un site web de fonc­tion­ner correctement).
  • Les méta­don­nées pour­raient être trai­tées sans le consen­te­ment de l’utilisateur dans certains cas (p. ex. si elles sont néces­saires aux fins de la gestion du réseau ou à la factu­ra­tion). Les méta­don­nées pour­raient servir d’autres fina­li­tés, sous réserve du consen­te­ment de l’utilisateur.
  • L’utilisation des capa­ci­tés de trai­te­ment et de stockage et la collecte d’in­for­ma­tions à partir de l’équipement termi­nal d’un utili­sa­teur devraient être unique­ment auto­ri­sées avec son consen­te­ment ou à d’autres fins précises et trans­pa­rentes prévues par le règlement.
  • L’utilisateur final devrait avoir une véri­table liberté de choi­sir s’il accepte ou non les cookies (ou autres iden­ti­fiants simi­laires). L’utilisation de cookie wall (dispo­si­tif par lequel l’éditeur d’un site web condi­tionne l’accès au contenu de ses pages au fait que l’internaute exprime son consen­te­ment au dépôt d’un cookie sur son ordi­na­teur) demeure possible, pour autant qu’une offre équi­va­lente qui n’impliquerait pas le consen­te­ment aux cookies soit prévue.
  • Pour éviter la lassi­tude du consen­te­ment aux cookies, un utili­sa­teur final pour­rait donner son consen­te­ment à l’uti­li­sa­tion de certains types de cookies en inscri­vant sur une liste blanche un ou plusieurs four­nis­seurs dans ses para­mètres de navigation.

Et la suite ?

Conformément à la procé­dure légis­la­tive ordi­naire, il appar­tient au Parlement euro­péen de se pronon­cer, en première lecture, sur la propo­si­tion révi­sée du Conseil de l’Union euro­péen. Si les deux insti­tu­tions ne parviennent pas à un accord après la deuxième lecture, un comité de conci­lia­tion devra être convo­qué. Ce dernier aura la tâche d’adopter un texte, qui pourra être accepté, ou non, par les deux insti­tu­tions, abro­geant ainsi l’actuel Directive ePrivacy.



Proposition de citation : Livio di Tria, Le Conseil de l’Union européenne arrête sa position concernant le règlement ePrivacy, 3 mars 2021 in www.swissprivacy.law/60


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Cookies Walls – La nouvelle arnaque aux données
  • Google condamnée à une amende de 100 millions d’euros par la CNIL
  • Le CEPD clarifie ses lignes directrices en matière de consentement
  • Google : sanction et compétence de la CNIL confirmées par le Conseil d’État
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law