• Données personnelles, E-commerce

    par , Avocat

    Un projet de modification de la directive ePrivacy concernant l’opt-in et les cookies

    Deux directives communautaires de 2002 et 2009 « Directives ePrivacy » ont instauré un cadre commun à l’ensemble des Etats de l’UE concernant les règles relatives à la prospection commerciale par voie électronique et celles relatives au recueil des données via le dépôt de cookie sur ordinateur ou smartphone.

    Cette année, la Commission européenne a lancé une consultation publique relative à la modification de la directive « ePrivacy » afin d’en adapter les règles pour améliorer le marché unique digital au sein de l’Union.

    Retour sur le cadre juridique applicable et ses possibles évolutions.

    Les règles actuelles concernant la prospection commerciale (opt-in/opt-out).

    Le cadre juridique actuel prévoit que l’envoi de sollicitations commerciales par e-mail, SMS, MMS ou automate d’appel nécessite :

    • une identification claire de l’expéditeur avec la possibilité de se désabonner
    • un consentement préalable de la personne physique à recevoir la prospection[1]
    • une exception au consentement préalable est possible lorsque la société adresse une sollicitation pour des produits et services analogues à ceux déjà achetés par la personne physique. Dans cette hypothèse, le consommateur doit être informé et doit avoir la faculté de s’opposer aux sollicitations.

    Ces règles sont différentes de celles applicables au courrier postal dont le régime de l’opt-out est toujours en vigueur et de celles concernant les opérations de prospection par téléphone pour lesquelles une liste d’opposition au démarchage téléphonique vient d’être constituée en France[2].

    Les règles actuelles concernant le dépôt des cookies.

    La directive de 2009, transposée à l’article 32II de la loi informatique et libertés, a fait l’objet d’un avis du G29[3] d’une recommandation de la CNIL[4] afin d’accompagner les professionnels à se mettre en conformité.

    Le cadre actuel vise les cookies et autres traceurs au sens large ayant pour finalité :

    • d’effectuer un ciblage publicitaire
    • de mesurer l’audience
    • de permettre le partage d’information sur les réseaux sociaux

    Pour ces trois catégories de cookie :

    • une information préalable doit apparaitre au moyen d’un bandeau sur le site web
    • l’internaute doit donner son consentement préalable au dépôt des cookies susvisés
    • l’internaute doit avoir la possibilité de s’opposer au dépôt des cookies via une page web ad-hoc.

    De nombreuses mises en demeures ont été prononcées par la CNIL à ce sujet en 2015[5].

    Les évolutions possibles de la directive ePrivacy

    Une consultation publique concernant la modification du cadre juridique applicable a été lancée par la Commission européenne entre le 12 avril 2016 et le 5 juillet 2016.

    La Commission a obtenue 421 réponses de divers acteurs de la société civile et en a dressé un récapitulatif[6].

    Il est intéressant de noter que la majorité des personnes considèrent que des règles spécifiques concernant confidentialité des communications électroniques sont nécessaires mais qu’une même majorité estime que la directive actuelle n’a pas atteint ses objectifs pour plusieurs raisons :

    • la directive devrait s’intéresser aux applications de messagerie instantanée, de voix sur IP, et d’emails
    • les règles actuelles sont trop vagues et les divergences d’interprétation entre les différents Etats membres sont trop importantes
    • l’application de la loi et la conformité est très faible

    Concernant la règlementation cookie, les réponses furent très divisées entre les acteurs (société civile ou industriels) sur la possibilité d’interdire l’accès à un site internet si l’internaute refuse le dépôt des cookies.

    S’agissant de la prospection par téléphone, l’ensemble des acteurs sont d’accord pour que le droit européen impose un choix clair (soit un opt-in préalable, soit un opt-out) sans pouvoir laisser aux États de marge d’appréciation.

    Le plus intéressant dans cette consultation publique résidait dans les questions de la Commission qui s’intéresse à plusieurs sujets. Un projet de texte doit être publié par la Commission à l’automne 2016.

    Ce projet de modification des directives ePrivacy, qui sera nécessairement en lien avec l’adoption récente du RGPD[7], sera l’occasion pour la Commission de revoir les règles concernant :

    • le mécanisme de dépôt des cookies et de clarifier un cadre qui risque aujourd’hui obscur s’agissant de la mesure d’audience ou du dépôt de traceurs dans des e-mails ;
    • la prospection commerciale par téléphone ;
    • l’encadrement des applications comme Skype, Messenger, What’s App, iMessage… ;

    [1] Il est à noter que la directive 2009/136/CE laisse le choix aux Etats de choisir pour un opt-in préalable à la prospection. Des règles divergentes existent actuellement dans l’Union.

    [2] http://www.bloctel.gouv.fr/

    [3] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf

    [4] Délibération 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978.

    [5] https://www.cnil.fr/sites/default/files/atoms/files/cnil-36e_rapport_annuel_2015_0.pdf

    [6] https://ec.europa.eu/digital-single-market/en/news/summary-report-public-consultation-evaluation-and-review-eprivacy-directive

    [7] Règlement général sur la protection des données