Le 26 octobre 2017, le Parlement européen a présenté ses amendements au projet de règlement européen « vie privée et communications électroniques », dit « ePrivacy ». Le rapport, d’abord adopté en commission des libertés civiles, de la justice et des affaires intérieures (« commission LIBE ») le 19 octobre 2017, a ensuite été validé par le Parlement européen en session plénière.
Comparé à la proposition initiale de règlement ePrivacy, présentée par la Commission européenne le 10 janvier 2017, les amendements adoptés par le Parlement européen sont plus protecteurs de la vie privée des utilisateurs. Le Parlement insiste en effet sur la protection du droit au respect de la vie privée, incluant le respect de la confidentialité des communications, au sein de la Charte des droits fondamentaux de l’Union européenne.
Par ailleurs, le règlement ePrivacy a pour but d’aligner les règles existant en matière de communications électroniques avec celles prévues par le Règlement n° 2016/679 sur la protection des données, dit « RGPD », qui entrera en vigueur le 25 mai 2018. À ce titre, le règlement ePrivacy doit donc assurer un niveau élevé de protection des données issues des communications électroniques, afin de ne pas réduire la protection garantie par le RGPD.
Bien que les modifications apportées par le Parlement touchent le texte dans son intégralité, les principaux apports concernent la collecte de toute information en provenance des terminaux des utilisateurs par les fournisseurs de services et de logiciels permettant des communications électroniques.
Précision sur les modalités du consentement de l’utilisateur sur les cookies et autres traceurs
La définition et les conditions du consentement prévues par le RGPD s’appliquent identiquement au consentement de l’utilisateur dans le cadre des service ou logiciels permettant les communications électroniques (art. 9(1)). Au regard des données comportementales pouvant émaner des communications électroniques, la nécessité d’un consentement exprimé librement et de manière éclairée par l’utilisateur semble d’autant plus justifiée.
Cependant, le Règlement ePrivacy prévoit également que lorsque cela est techniquement possible et faisable, le consentement de l’utilisateur pourra être exprimé par une action positive de sa part (art. 9(2)). Le consentement pourra alors être obtenu grâce à un « moyen technique » (comme par exemple le paramétrage du navigateur Web) qui devra être aussi « convivial » ou facile à utiliser que possible (cons. 22).
En outre, le consentement via des moyens techniques devra contribuer à réduire l’effet de « débordement » des demandes de consentement adressées aux utilisateurs qu’implique actuellement l’usage généralisé des cookies traceurs et autres techniques de suivi.
Le consentement exprimé par des moyens techniques était déjà prévu par la proposition de la Commission européenne, mais le Parlement européen amende ces dispositions de manière importante.
Généralisation du paramétrage par défaut
Ainsi, le rapport prévoit que les logiciels permettant les communications électroniques (comme par exemple les navigateurs Web ou les applications de communication) devront être paramétrés de telle sorte que, par défaut et dès leur installation, le traçage de l’utilisateur et le stockage d’informations sur son terminal soient interdits (article 10(1)). Les amendements introduits par le Parlement prévoient désormais le système suivant :
- Au moment de l’installation ou de la première utilisation du logiciel, l’utilisateur devra :
- Etre informé des paramètres de confidentialité qui sont prévus par défaut, et de la possibilité qu’il a de les modifier (10(1), sous-paragraphe 1) ;
- Par conséquent, se voir offrir la possibilité de changer ou de confirmer les paramètres de confidentialité prévus par défaut en confirmant ou non tel ou tel paramètre (10(1)(a)) ;
- Durant l’utilisation du navigateur/logiciel, les paramètres qui s’offrent à l’utilisateur devront :
- Etre facilement accessibles afin que l’utilisateur puisse les modifier à tout moment (10(1), sous-paragraphe 1) et ainsi exprimer un consentement spécifique, même après l’installation (art.10(1)(c)) ;
- Etre présentés de telle sorte à permettre à l’utilisateur de prendre une décision informée (10(1), sous-paragraphe 1). Les informations fournies ne devront pas avoir pour effet de dissuader l’utilisateur de sélectionner des paramètres de confidentialité plus élevés que ceux prévus par défaut par le navigateur ou le logiciel. L’utilisateur devra notamment être informé des risques que renferme le traçage des informations issues de ses terminaux (cons. 23).
En plus de prévoir un paramétrage par défaut, les fournisseurs de logiciels permettant les communications électroniques seront donc tenus d’offrir à l’utilisateur des options suffisamment détaillées en fonction des différentes catégories de finalités des cookies traqueurs susceptibles d’être déposés sur un terminal. Les différentes catégories offertes au choix de l’utilisateur devront comprendre au minimum les finalités suivantes :
- Le traçage à des fins commerciales ou à des fins de marketing direct non-commercial (publicité comportementale);
- Le traçage à des fins de personnalisation du contenu proposé ;
- Le traçage à des fins d’analyse ;
- Le traçage des données de localisation ;
- Le transfert de données personnelles à des tiers (23).
Interdiction des « murs de cookies »
Par ailleurs, le rapport du Parlement européen explique que l’implémentation de tels moyens techniques – autorisant l’utilisateur à donner son consentement à l’aide de paramètres « transparents et conviviaux » (cons. 22) – doit permettre de bannir les « cookies walls » ou « murs de cookies » sur les services de communications électroniques.
La version amendée du texte ePrivacy interdit donc désormais que l’utilisateur soit obligé d’accepter le dépôt de cookies sur son terminal pour pouvoir poursuivre son utilisation d’un service de communications en ligne, qu’il ait payé ou non pour accéder à ce service (art. 8(1a)). Le Parlement juge en effet qu’une telle pratique ne permet pas à l’utilisateur de contrôler ses informations personnelles et sa vie privée, ni d’être informé convenablement quant à ses droits, puisqu’il n’a pas réellement le choix s’il veut poursuivre sa consultation.
Critique des éditeurs de presse
L’obligation de paramétrage par défaut – qui, comme l’indique le Règlement ePrivacy (cons. 23), découle du principe de « Privacy by design » prévu par le RGPD – ne faisait pas partie de la proposition initiale de la Commission européenne. Cette dernière ne prévoyait en effet qu’une option « Ne pas pister » ou « Do Not Track », en vertu de laquelle l’utilisateur pouvait, dès l’installation du navigateur, du logiciel ou de l’application sur son terminal, sélectionner, pour toutes ses futures navigations, les types de cookies qu’il autorisait ou non en fonction de la provenance du cookie.
Alors que la Commission européenne proposait une option de paramétrage, le Parlement crée donc une obligation de réglage par défaut. Et là où la Commission distinguait en fonction de la provenance du cookie, le Parlement différencie selon la finalité du cookie.
Cependant, alors que la disposition prévue par la Commission européenne avait déjà provoqué le mécontentement des éditeurs de presse et des entreprises spécialisées dans la publicité digitale, l’amendement qui en est proposé par le Parlement les inquiète tout autant. En effet, selon ces acteurs, un tel système ne permet pas d’obtenir un consentement informé de la part de l’utilisateur mais seulement un consentement global, empêchant la connaissance de leurs lecteurs et favorisant in fine les leaders technologiques mondiaux.
Cette critique semble toutefois erronée à 2 titres :
- Les champions américains du numérique, et notamment les leaders de la publicité digitale que sont entre autres Google et Facebook, sont soumis exactement aux même règles d’interdiction de pistage par défaut et de recueil de consentements spécifiques ;
- Le principe « Do Not Track » ne contredit pas réellement le principe « Privacy By Design », qui n’a jamais consisté à faire de l’utilisateur le décisionnaire du sort de ses données, mais seulement à faire en sorte que les outils numériques respectent structurellement ses choix. De plus, le principe « Do Not Track » nous semble conforme au principe « Privacy By Default » qui répond à l’exigence de minimisation et de stricte nécessité de la collecte de données identifiantes.
L’alignement des sanctions avec le RGPD
Enfin, le rapport du Parlement européen étend la portée de ses sanctions pécuniaires (article 23). Ainsi, la sanction maximale, de 4% du chiffre global annuel de l’entreprise ou de 20 millions d’euros, s’applique désormais à toutes les dispositions phares du projet de règlement, telles que les violations des dispositions relatives au consentement (article 9), de celles relatives aux traceurs (article 8) et aux réglages des paramètres par défaut (article 10). Selon la proposition initiale de la Commission européenne, la violation de ces dispositions ne pouvait donner lieu « qu’à » des amendes s’élevant à 10 millions d’euros ou à 2% du chiffre d’affaires global annuel d’une entreprise.
Le futur du texte
C’est maintenant le Conseil de l’UE qui doit se positionner sur le texte du projet de règlement ePrivacy. Le 5 décembre, le Conseil a publié une version consolidée du texte intégrant les amendements qu’il souhaite y apporter.
Les versions proposées respectivement par le Parlement et le Conseil restent pour l’instant très éloignés dans de nombreux domaines. Alors que le Parlement veut limiter autant que possible le traitement des données de communication et des métadonnées, le Conseil cherche quant à lui à légitimer certains traitements de ces données – sans recueil du consentement – en reprenant quelques-unes des bases légales prévues par le RGPD (comme l’intérêt légitime du responsable de traitement). Le Conseil prévoit ainsi la possibilité de traiter des métadonnées rendues anonymes, ou le traitement de données à des fins de « recherche statistique », deux hypothèses non prévues par le Parlement.
Si le Conseil n’approuve pas les amendements proposés par le Parlement, le texte fera l’objet de discussions entre la Commission, le Parlement et le Conseil (art. 294 du TFUE). Concilier les positions du Parlement et du Conseil pourrait s’avérer difficile étant donné l’état actuel de leurs propositions respectives et les fortes pressions exercées par les lobbys.
Alors que la Commission européenne espérait une entrée en vigueur du règlement ePrivacy simultanée à la mise en application du RGPD, une telle issue parait de moins en moins réaliste, comme l’a notamment souligné le gouvernement allemand lors des débats devant le Conseil. Et même si le texte est finalisé d’ici mai 2018, il est peu probable qu’il soit applicable sans période de transition. Dans sa version amendée du texte, le Parlement européen a d’ailleurs effacé toute référence à une entrée en application du règlement le 25 mai 2018, proposant simplement une applicabilité « un an après son entrée en vigueur » (amdmt. 128, art. 29).