La vie privée à l’épreuve des nouveaux usages des services de communication électronique:

la proposition de Règlement e-privacy

 

Introduction

Le Règlement Général sur la Protection des Données personnelles (RGPD) réglemente, de façon transversale, la protection des données à caractère personnel. Il remplace, à partir du 25 mai 2018, la directive vie privée de 1995. De nombreux séminaires CREOBIS ont déjà abordé le RGPD. La directive vie privée et communications électroniques de 2002 complète la matière en précisant les règles de protection de la vie privée dans le secteur des communications électroniques.

Après avoir mis à jour les obligations issues de la Directive vie privée de 1995, il était dès lors logique que la Commission européenne fasse de même pour celles contenues dans la Directive vie privée et communications électroniques de 2002. C’est le but de la proposition de Règlement « concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques » (ci-après « le règlement e-privacy »), publié par Commission européenne le 10 janvier 2017.

A ce jour, il existe 2 versions du projet de règlement : la version initiale proposée par la Commission européenne le 10 janvier 2017 et la version issue du Parlement européen le 20 octobre 2017 suite au vote du rapport Lauristin.

 

Un champ d’application pas très clair dès le début

Même si les communications électroniques font intervenir des personnes physiques et sont donc à considérer comme comportant des données à caractère personnel, la question de la protection de la confidentialité des communications électroniques et des équipements terminaux n’est pas abordée, en tant que tel, par le RGPD.

C’est pourquoi, un des objets de la proposition de règlement e-privacy est d’étendre les règles de protection de la vie privée à des nouveaux services de communications interpersonnelles sur Internet (voix sur IP, messagerie instantanée, mails, les communications machine à machine, les appareils connectés (« IoT devices ») …) qui ne sont pas soumis au cadre réglementaire actuel de l’Union européenne en matière de communications électroniques. Les WhatsApp et Facebook Messenger tomberont dès lors dans le champ d’application des règles de ce nouveau texte très technique.

Cette proposition de règlement est présentée comme une lex specialis du RGPD. Autrement dit, le RGPD s’appliquerait dans tous les cas de figure sauf pour les points où la proposition de Règlement aurait priorité. Toutefois, il serait bon d’avoir des clarifications dans le texte final du Règlement e-privacy (dans ses considérants par exemple) afin de bien savoir dès le début quand le RGPD s’applique et quand il ne s’applique pas.

La proposition de la Commission adapte (e.a.):

  1. les règles relatives aux cookies (qui visent, e.a. à cibler les internautes), aux coups de téléphone commerciaux et aux emails de marketing direct. Nous ne verrions plus les habituelles bannières nous informant du téléchargement sur notre ordinateur des cookies. A la place, les internautes devront gérer leur décision par rapport aux cookies au niveau de leur navigateur internet. Nous passerions donc d’un choix au cas par cas à une décision qui vaudrait pour tous les sites que l’internaute s’apprête à visiter. Autant vous dire que les publicitaires n’en sont pas très heureux ;
  2. les restrictions qui s’appliquent aux fournisseurs de communications électroniques.

Où en est-on ?

Le Parlement européen a finalisé son travail le 20 octobre 2017 en adoptant le rapport Lauristin. Le Conseil de l’Union européenne (représentant les chefs d’Etat européens) doit lui aussi adopter sa propre version du Règlement e-privacy. Le rapport Lauristin critique vivement la position de la Commission européenne qu’elle estime trop proche des industriels. Le Conseil parmi d’autres critiques conteste l’application du RGPD pour certaines parties de la proposition de Règlement et les nouvelles règles en matière de cookies.

Une fois que le Parlement européen et le Conseil de l’UE auront défini leur position, ils vont devoir négocier le texte final du Règlement ensemble avec la Commission européenne dans le cadre du fameux « trilogue européen » opaque et totalement non transparent (procédure hautement critiquée mais qui devient la procédure normale d’adoption des textes européens).

Néanmoins, les pays européens n’arrivent pas à s’entendre et de présidence européenne en présidence européenne, les discussions ne semblent pas avancer.

La Commission européenne voulait que le Règlement e-privacy soit finalisé pour mai 2018 (au moment de l’entrée en vigueur du RGPD). Toutefois, il semble qu’aujourd’hui, ce délai soit totalement irréaliste. Le processus législatif européen risque en effet de se terminer bien après ! Nous vous tiendrons informés de l’évolution de ce dossier aux conséquences financières très importantes (c’est pourquoi, il prend énormément de retard).

Axel Beelen, le 25 février 2018

 

 

 

 

Legal GDPR Expert
Share This