Parallèlement à l’entrée en application le 25 mai 2018 du règlement général sur la protection des données ou RGPD, la Commission européenne souhaite adopter un règlement adaptant la directive ePrivacy « vie privée et communication électronique » (2002/58/CE). Depuis 2002, la technologie et les communications commerciales ont considérablement évolué et le projet de règlement comprend des dispositions plus générales sur les communications électroniques ainsi que le suivi sur Internet, notamment le marketing numérique direct et les cookies. Le règlement ePrivacy a pour objectif de renforcer la protection des utilisateurs de systèmes terminaux, notamment les utilisateurs d’ordinateurs, de téléphones, de smartphones ou de tablettes. En outre, cette nouvelle réglementation doit non seulement protéger la vie privée des personnes physiques, comme dans le cas du RGPD, mais ses dispositions doivent également s’appliquer aux personnes morales.
Ce texte a été rendu public par la Commission le 10 janvier 2017 et fait actuellement l’objet de nombreux débats au sein du Conseil, sous présidence Autrichienne jusqu’en décembre 2018. Il est à noter qu’à ce stade, cette présidence n’envisage qu’un rapport d’étape en décembre et non un vote.
Champ d’application
Ce projet de règlement ePrivacy s’appliquera aux données de communications électroniques (voix, textes, vidéos, images et audio) en lien avec la fourniture ou l’utilisation de services associés (messagerie online, courrier électronique, voix sur IP, machine to machine, Wifi, etc.) et aux informations contenues dans les équipements terminaux des utilisateurs finaux. Les métadonnées sont également concernées ; il s’agit des données permettant de dater, de qualifier la durée d’une communication, son type, ou d’en établir son origine ou sa destination.
Les dispositions du règlement s’appliqueront aux personnes physiques, mais également aux personnes morales.
Apports du règlement
Il s’agit tout d’abord de simplifier, pour chaque internaute, la procédure permettant de décider des paramètres de confidentialité. Ainsi, les choix devraient se faire à la première connexion, via le navigateur, et non plus comme actuellement, site par site. La conséquence pratique sera la disparition de fenêtres pop-up répétitives à chaque changement de site.
Concernant les cookies, le consentement ne sera pas nécessaire pour ceux liés à des impératifs de configurations, donc strictement techniques (par exemple pour mémoriser un achat en cours sur le site). En revanche, pour les cookies servant à pister une personne lorsqu’elle navigue sur le site concerné, le consentement sera obligatoire, et devra être donné préalablement. Ce traçage ayant pour but le profilage des personnes, avec des finalités publicitaires ou commerciales, représente, pour le législateur européen des risques particuliers en termes de données personnelles et de vie privée des personnes concernées.
Le projet de règlement prévoit également la suppression des « murs de cookies », c’est-à-dire la pratique actuelle des sites refusant l’accès aux utilisateurs qui ne souhaitent pas être pistés via des cookies. Cette disposition est en lien avec le principe général du consentement libre, que le législateur européen présume forcé lorsqu’il est lié à l’accès ou non à un site. Ainsi, ne serait pas acceptée une situation où l’internaute se verrait refuser un accès gratuit sans consentement, mais accepter un accès payant, toujours sans consentement. Le service devra toujours être proposé même si la personne concernée ne donne pas son consentement. Ce règlement représente donc un défi majeur pour les entreprises dont le modèle économique est fondé sur de la publicité comportementale.
Les amendes prévues sont du même montant que celles prévues pour le RGPD : maximum de 20 millions d’euros ou de 4% du chiffre d’affaires (monde).
Les pressions exercées par les spécialistes du marketing et les défenseurs de la protection de la vie privée sur l’industrie entraînent des retards considérables. Trois organes doivent s’accorder : le Parlement européen, la Commission européenne et le Conseil européen.
Le texte est depuis le 4 décembre 2017 en débat au sein du Conseil de l’UE. Les débats se prolongent, avec de multiples nouvelles versions du règlement issues des discussions au sein du Conseil. La dernière d’entre elle, du 19 octobre 2018, peut être consultée ici.
« Festina lente »
Dans sa version actuelle, le texte prévoit une entrée en application de ses dispositions dans les 24 mois suivant son entrée en vigueur (qui aura lieu dans les 20 jours suivant sa promulgation au Journal Officiel de l’UE). Au vu de la lenteur du processus législatif, l’entrée en application du texte final interviendra, au mieux, au cours du premier trimestre 2021.