• Données personnelles

    Projet de règlement eprivacy : quelles sont les modifications envisagées ?

    Après l’adoption en mai 2016 du Règlement Européen sur la protection des données personnelles (GDPR), la Commission Européenne entreprend d’adapter les règles issues de la directive vie privée et communications électroniques (Directive 2002/58/CE du 12 juillet 2002, révisée en 2009).

    Pour mémoire, cette directive encadre le traitement des données de communication, notamment l’utilisation des cookies. Vu les modifications apportées par le GDPR mais également l’évolution des usages, il est apparu nécessaire d’adapter également ces règles et de les harmoniser avec le GDPR.

    L’objectif de la Commission est donc de parvenir à l’adoption d’un nouveau cadre réglementaire dont l’application devrait coïncider avec l’entrée en vigueur du GDPR en mai 2018.

    Le projet de règlement publié le 10 janvier 2017 vise à répondre à la préoccupation croissante des personnes quant à la protection de leur vie privée et à la confidentialité de leurs données, en particulier quant aux conditions d’accès aux données se trouvant dans leur ordinateur ou leur smartphone et aux contenus de leurs communications.

    Le règlement vise ainsi à :

    • renforcer la protection de la vie privée dans les communications électroniques, notamment en actualisant les règles en vigueur et en étendant leur application à l’ensemble des fournisseurs de services de communications électroniques, y compris les acteurs tels que Facebook, Gmail ou Skype.
    • renforcer les règles relatives au traitement, à la confidentialité et à la sécurité des données relatives aux communications électroniques, dans le but de renforcer la confiance des personnes dans le marché unique numérique, qu’il s’agisse de personnes physiques ou morales.

    Les principales mesures envisagées sont les suivantes :

    S’agissant des données de communication, il est prévu que toutes les communications électroniques (SMS, emails ou appels vocaux…) sont par principe confidentielles de sorte que les traitements tels que l’écoute, l’interception, l’analyse ou le stockage de ces communications sont interdits sauf consentement de la personne et sauf exception prévue par le règlement (article 5).

    En outre, les données relatives au contenu des communications électroniques (textes, voix, images, vidéos, sons…) et aux métadonnées (sites web visités, date, heure et localisation d’un appel…), ne pourront être exploitées par les opérateurs que sous réserve de l’autorisation expresse de la personne concernée ou dans les cas nécessaires visés au règlement (tels que la facturation, la détection d’une utilisation frauduleuse ou abusive des services de communication…) (article 6).

    Lorsque le consentement est donné, la personne devra en outre être en mesure de le retirer à tout moment et cette possibilité devra lui être rappelée tous les 6 mois (article 9).

    S’agissant des cookies et autres traceurs, le but est d’éviter que les internautes aient constamment à répondre à des demandes d’autorisation par un clic sur une bannière chaque fois qu’ils visitent un site internet, tout en leur garantissant une transparence sur les pratiques du site internet visité.

    Le règlement propose ainsi de simplifier les conditions de fourniture du consentement des internautes au dépôt de cookies et traceurs en leur permettant d’accepter ou de refuser le dépôt des cookies via la configuration de leur navigateur. Les navigateurs devront en outre proposer une option permettant d’empêcher le dépôt de cookies tiers. Ces options de configuration devront être proposées à l’utilisateur lors de l’installation du navigateur ou lors de sa mise à jour s’il a été installé avant le 25 mai 2018 (et au plus tard le 28 août 2018) (articles 9 et 10).

    Il est par ailleurs prévu que le consentement de l’internaute ne sera pas nécessaire pour les cookies non intrusifs utilisés pour améliorer l’expérience en ligne des internautes (exemple : mémorisation de l’historique d’achats), ainsi que pour les cookies créés par un site afin de compter le nombre de visiteurs de ce site (article 8).

    En matière de prospection par voie électronique et téléphonique, il est prévu une interdiction générale de prospection des personnes physiques, sauf consentement préalable (opt-in).

    Par exception, à l’instar de ce que prévoit aujourd’hui le droit français, un opt-out sera suffisant pour la prospection par voie électronique, lorsque les personnes sont bien informées de l’utilisation qui sera faite de leurs données lors de leur collecte et que la prospection concerne des produits ou services analogues à ceux déjà fournis par la même personne.

    S’agissant du démarchage téléphonique, la loi nationale de chaque Etat-membre pourra également prévoir que seules les personnes physiques inscrites sur une liste d’opposition ne peuvent être appelées (opt-out).

    En outre, les démarcheurs devront afficher leur numéro de téléphone ou utiliser un indicatif spécial indiquant qu’il s’agit d’un appel commercial (article 16).

    Dans la même ligne que le GDPR, les manquements aux obligations prévues par le règlement sont sanctionnées sévèrement : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.

    Nul doute que ce règlement devrait faire l’objet d’un intense lobbying avant son adoption définitive.

     

    Mélanie DEFOORT

    Avocat