Comité euro­péen de la protec­tion des données (CEPD), Lignes direc­trices 4/​2023 sur le champ d’application tech­nique de l’art. 5 par. 3 de la Directive ePrivacy du 14 novembre 2023

Le 14 novembre 2023, le CEPD a publié son projet de lignes direc­trices sur le champ d’application tech­nique de l’art. 5 par. 3 de la direc­tive vie privée et commu­ni­ca­tions élec­tro­niques 2002/​58/​CE (ou « Directive ePrivacy ») sur le « traçage » (ci-après : Lignes Directrices).

Le CEPD, s’inscrivant dans la lignée du Groupe de travail « article 29 », publie régu­liè­re­ment des lignes direc­trices (art. 15 par. 3 Directive ePrivacy). Ces textes visent à inter­pré­ter les diffé­rentes normes appli­cables en matière de protec­tion des données. Depuis quelques années, la Directive ePrivacy fait toujours l’objet d’une profonde révi­sion et d’un travail visant à en faire un règle­ment (sur ce sujet : https://​swiss​pri​vacy​.law/​60/).

Pour rappel, l’art. 5 par. 3 Directive ePrivacy prévoit que « (…) le stockage d’informations, ou l’obtention de l’accès à des infor­ma­tions déjà stockées, dans l’équipement termi­nal d’un abonné ou d’un utili­sa­teur » n’est permis qu’à condi­tion que la personne ait consenti ou que l’on se trouve dans des cas d’usage bien précis. Le consi­dé­rant 24 rappelle la ratio legis de cette norme en expli­quant que l’équipement termi­nal de l’utilisateur relève de sa sphère privée.

Ces Lignes direc­trices ont pour but d’établir une analyse tech­nique du champ d’application de l’art. 5 par. 3 Directive ePrivacy et d’en clari­fier les diffé­rents critères. Elles ne visent cepen­dant pas à déter­mi­ner les circons­tances dans lesquelles les opéra­tions de trai­te­ment sont exemp­tées de la néces­sité du consentement.

Critères pour l’application de l’art. 5 par. 3 Directive ePrivacy

Cet article s’applique lorsque les opéra­tions en ques­tion sont en lien des « infor­ma­tions » (1^er critère). Elles visent, ensuite, « l’équipement termi­nal » d’un abonné ou d’un utili­sa­teur (2^e critère). Ces opéra­tions sont réali­sées dans le cadre de la « four­ni­ture de services de commu­ni­ca­tions élec­tro­niques acces­sibles au public sur les réseaux publics de commu­ni­ca­tions » (3^e critère). Finalement, elles visent un accès ou un stockage (4^e critère).

Critère 1 : Notion d’information

Cette notion est bien plus large que celle de donnée person­nelle. Cela s’explique par le champ d’application égale­ment plus large de la Directive ePrivacy. Le but défini à son art. 5 par. 3 est de proté­ger la sphère privée des utili­sa­teurs. Cette approche a égale­ment été confir­mée par la Cour de justice de l’Union euro­péenne (CJUE) (arrêt C‑673/​17 « Planet 49 », par. 70). Cette sphère est, en outre, couverte par l’art. 7 de la Charte des droits fonda­men­taux de l’Union euro­péenne.

La notion d’information comprend à la fois les données non person­nelles et les données person­nelles, indé­pen­dam­ment de la manière dont celles-ci ont été stockées et par qui elles l’ont été, que ce soit par une entité tierce, par l’utilisateur, par un fabri­cant ou autre.

Par exemple, l’installation de virus sur l’équipement termi­nal d’un utili­sa­teur tombe dans le champ d’application de l’art. 5 par. 3 Directive ePrivacy, même si aucune donnée person­nelle n’est concernée.

Critère 2 : Équipement termi­nal d’un abonné ou d’un utilisateur

Les Lignes direc­trices se basent sur la défi­ni­tion se trou­vant à l’art. 1 par. 1 de la Directive 2008/​63/​CE rela­tive à la concur­rence dans les marchés des équi­pe­ments termi­naux de télécommunications.

Cette direc­tive défi­nit un équi­pe­ment termi­nal comme suit :

« tout équi­pe­ment qui est connecté direc­te­ment ou indi­rec­te­ment à l’interface d’un réseau public de télé­com­mu­ni­ca­tions pour trans­mettre, trai­ter ou rece­voir des infor­ma­tions ; dans les deux cas, direct ou indi­rect, la connexion peut être établie par fil, fibre optique ou voie élec­tro­ma­gné­tique ; une connexion est indi­recte si un appa­reil est inter­posé entre l’équipement termi­nal et l’interface du réseau public ».

La Directive ePrivacy protège la sphère privée de l’utilisateur non seule­ment par rapport à la confi­den­tia­lité de ses infor­ma­tions, mais égale­ment en sauve­gar­dant l’intégrité de son équi­pe­ment terminal.

Cependant, les Lignes direc­trices donnent aussi une inter­pré­ta­tion sur ce qu’un équi­pe­ment termi­nal n’est pas. Lorsqu’un dispo­si­tif n’est pas le point final d’une commu­ni­ca­tion et qu’il ne fait que trans­mettre des infor­ma­tions sans les modi­fier, il n’est pas consi­déré comme un équi­pe­ment termi­nal. Par consé­quent, si un dispo­si­tif sert unique­ment de relais pour une commu­ni­ca­tion, il n’entre pas dans le champ d’application de l’art. 5 par. 3 Directive ePrivacy.

L’équipement termi­nal peut prendre diverses formes et être composé de plusieurs pièces infor­ma­tiques (hard­ware). Les Lignes direc­trices donnent l’exemple de smart­phones, d’ordinateurs portables, de voitures connec­tées, de télé­vi­sions connec­tées ou encore de smart glasses.

Pour les Lignes direc­trices, la protec­tion de la confi­den­tia­lité des infor­ma­tions stockées sur l’équipement termi­nal et l’intégrité de ce dernier englobe égale­ment le droit au respect de la corres­pon­dance ainsi que des inté­rêts légi­times de la personne concernée.

Critère 3 : Réseau élec­tro­nique de communication

Le CEPD adopte une vision tech­no­lo­gi­que­ment neutre quant aux types de commu­ni­ca­tion. Il s’agit de tout système de réseau permet­tant la trans­mis­sion de signaux élec­tro­niques entre ses nœuds, quels que soient l’équipement et les proto­coles utili­sés. Le fait que ce réseau dépende d’une infra­struc­ture privée ou publique est sans impor­tance pour remplir ce critère.

Critère 4 : Notion d’accès ou de stockage

Les Lignes direc­trices rappellent que l’exigence du consen­te­ment s’applique lorsqu’une entre­prise stocke ou accède à des infor­ma­tions. Ces deux actions ne sont pas cumu­la­tives. Le stockage d’informations et leur accès ne doivent pas non plus être faits par la même entité.

Un accès peut surve­nir lorsqu’une entité souhaite obte­nir des infor­ma­tions stockées sur un équi­pe­ment termi­nal et le fait de manière active. En géné­ral, cela implique que l’entité « accé­dante » envoie de manière proac­tive des instruc­tions spéci­fiques à l’équipement termi­nal afin de rece­voir en retour les infor­ma­tions ciblées. C’est le cas notam­ment avec l’utilisation de cookies mais égale­ment en cas de distri­bu­tion de logi­ciel sur le termi­nal de l’utilisateur qui deman­dera de manière proac­tive un point de contact API (inter­face de program­ma­tion appli­ca­tive) sur le réseau (rela­ti­ve­ment aux API, cf. swiss​pri​vacy​.law/​279). Un autre exemple est celui du code JavaScript où l’entité « accé­dante » ordonne au navi­ga­teur de l’utilisateur d’envoyer des requêtes asyn­chrones avec le contenu ciblé.

Le stockage, au sens de l’art. 5 par. 3 Directive ePrivacy, désigne le fait de placer des infor­ma­tions sur un support de stockage élec­tro­nique physique qui fait partie de l’équipement termi­nal d’un utili­sa­teur ou d’un abonné. De manière géné­rale, les infor­ma­tions ne sont pas stockées dans l’équipement termi­nal par l’intermédiaire d’un accès direct par une autre partie, mais plutôt en deman­dant au logi­ciel de l’équipement termi­nal de géné­rer des infor­ma­tions spécifiques.

En outre, les Lignes direc­trices soulignent que l’art. 5 par. 3 Directive ePrivacy ne fixe aucune limite supé­rieure ou infé­rieure à la durée pendant laquelle les infor­ma­tions doivent rester sur un support de stockage pour être consi­dé­rées comme « stockées », ni à la quan­tité d’informations stockées. Cela signi­fie que même le stockage à très court terme (p. ex. la mise en cache) pour­rait être pris en compte.

Exigence du consentement

Par consé­quent, lorsque les 4 critères sont remplis, le cas d’espèce tombe dans le champ d’application tech­nique de l’art. 5 par. 3 Directive ePrivacy et néces­si­tera un consen­te­ment de l’utilisateur ou de l’abonné pour utili­ser ses informations.

Les Lignes direc­trices rappellent cepen­dant que certaines tech­no­lo­gies n’entrent pas dans le champ d’application de cet article. C’est le cas notam­ment si des appli­ca­tions sur l’équipement termi­nal traitent des infor­ma­tions entiè­re­ment sur l’appareil et qu’aucune infor­ma­tion ne quitte l’appareil. Il s’agit, par exemple, de l’accès sur un smart­phone à un appa­reil photo, à un micro­phone, à un capteur GPS ou encore à une liste de contacts.

Cas d’application

Les Lignes direc­trices donnent égale­ment quelques exemples de cas dans lesquels l’art. 5 par. 3 Directive ePrivacy est appli­cable et qui requièrent par consé­quent un consen­te­ment. Il y a par exemple le suivi des pixels (ou « pixel tracking »), la collecte d’informations géné­rées loca­le­ment par le biais d’une API ou la collecte d’identifiants qui ont été hachés sur l’appareil.

Il est clair qu’avec cette nouvelle inter­pré­ta­tion large de l’art. 5 par. 3 Directive ePrivacy de nombreuses situa­tions risquent de tomber dans son champ d’application. Presque tout peut être consi­déré comme une « infor­ma­tion » stockée sur un équi­pe­ment termi­nal, tels un navi­ga­teur ou une application.

En Irlande, un expert en protec­tion des données a soulevé la ques­tion auprès de l’Autorité natio­nale de protec­tion des données. Il l’interroge au sujet des restric­tions des bloqueurs de publi­cité (Adblockers) sur le site de YouTube. Pour lui, les systèmes de détec­tion d’Adblockers tombent dans le champ d’application de l’art. 5 par. 3 Directive ePrivacy et exige­raient le consen­te­ment de l’utilisateur.

Cette inter­pré­ta­tion semble corres­pondre à celle des Lignes direc­trices du CEPD. Reste main­te­nant à voir comment l’Autorité irlan­daise inter­pré­tera le cas. Pour ce qui est des Lignes direc­trices, la période de consul­ta­tion publique est désor­mais termi­née. Le Comité euro­péen va main­te­nant consul­ter les diffé­rentes posi­tions qui lui ont été soumises et confir­mer ou modi­fier sa posi­tion. Quoi qu’il en soit, ces lignes direc­trices sont les bien­ve­nues en ce sens qu’elles rappellent que la Directive ePrivacy, malgré son surnom de « cookies Directive », s’applique égale­ment dans une grande variété de situa­tions non chocolatées.