• Le 30 mai dernier, dans le cadre de la procédure de codécision, le Parlement européen a adopté 18 amendements à la position commune du Conseil concernant la proposition de directive sur le traitement des données à caractère personnel et sur la protection de la vie privée dans le secteur des communications électroniques.
Ces amendements résultent d’un compromis souhaité par la présidence du Conseil et accepté par les députés européens. De sorte que la procédure de conciliation qui alourdit considérablement la prise de décision communautaire est évitée.
Le 17 juin, la Commission européenne a donc, en toute logique, rendu un avis favorable et a modifié sa proposition de directive en y insérant l’ensemble des amendements parlementaires.
Cette directive remplacera celle du 15 décembre 1997 afin de garantir un niveau égal de protection des données personnelles et de la vie privée aux utilisateurs de services de communications électroniques.
• Elle pose comme principe de base : l’obligation d’effacer ou de rendre anonymes les données relatives au trafic lorsqu’elles ne sont plus nécessaires aux fins de la transmission d’une communication (article 6-1), sauf pour la forme de stockage dite « caching » dont le but est de rendre plus efficace les transmissions ultérieures (conformément à l’article 13 de la directive dite commerce électronique du 8 juin 2000).
Le traitement de ces données est également autorisé pour établir les factures des abonnés, et ce, jusqu’à la fin de la période légale où elles peuvent être contestées (article 6-2).
Les personnes « chargées d’assurer la facturation ou la gestion du trafic, de répondre aux demandes de la clientèle, de détecter les fraudes et de commercialiser les services de communications électroniques ou de fournir un service à valeur ajoutée » peuvent également traiter ces données dans la limite de ce qui est nécessaire à leurs activités, si et seulement si l’utilisateur ou l’abonné a préalablement donné son consentement.
• Les données relatives au trafic sont définies comme « toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation » (article 2b).
Plus précisément, les données de trafic incluent les informations consistant « en une dénomination, un nombre ou une adresse, fournie par celui qui émet la communication ou celui qui utilise une connexion pour effectuer la communication ».
De plus, elles « peuvent, entre autres, comporter des données concernant le routage, la durée, le moment ou le volume d’une communication, le protocole de référence, l’emplacement des équipements terminaux de l’expéditeur ou du destinataire, le réseau de départ ou d’arrivée de la communication, ou encore le début, la fin ou la durée d’une connexion. Elles peuvent également représenter le format dans lequel la communication a été acheminée par le réseau. » (considérant 15).
• Ce principe d’anonymisation a été fortement atténué par le consensus institutionnel, conséquence directe des événements du 11 septembre 2001.
En effet, les Etats membres de l’Union européenne pourront « prendre des mesures législatives visant à limiter la portée des droits et obligations [en matière de confidentialité des communications¹ et des données de trafic ou de localisation² ] lorsqu’une telle limitation constitue une mesure nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’Etat- la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques (…) » (article 15-1).
Ainsi, les Etats membres pourront imposer aux FAI et autres opérateurs la collecte et la conservation des communications, données de trafic et de localisation de leurs abonnés, pour une durée limitée, dans le cadre d’enquêtes criminelles ou pour sauvegarder la sécurité nationale ou publique.
Ces interceptions légales de communications électroniques devront « être subordonnées à des garanties appropriées » dans le respect de « la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, telle qu’interprétée par la Cour européenne des droits de l’homme dans ses arrêts³ ».
A cet égard, la jurisprudence de la Cour européenne des droits de l’homme considère que l’article 8 de la Convention interdit, au nom du droit au respect de la vie privée et familiale, « toute forme de surveillance électronique générale ou exploratoire pratiquée à grande échelle ».
En France, la loi « Sécurité quotidienne » du 15 novembre 2001, fortement critiquée lors de sa promulgation, prévoit en son article 29 que « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques. ».
Cette mesure de rétention des données sera juridiquement opérationnelle après adoption d’un décret en Conseil d’Etat, pris après avis de la CNIL.
Ce décret d’application devra déterminer les catégories de données visées et la durée de leur conservation, selon l’activité des opérateurs et la nature des communications.
A fin de respecter tant le droit communautaire que la Convention européenne des droits de l’homme, ce texte réglementaire devra définir une procédure précise ne permettant pas la mise en œuvre d’une surveillance générale des réseaux.
• En ce qui concerne le spamming, envoi de messages électroniques non sollicités, le Parlement européen a approuvé le système de l’opt in pour les e-mails, fax et système d’appel automatique.
Les professionnels devront par conséquent recueillir le consentement préalable des consommateurs avant tout envoi d’e-mails commerciaux.
Néanmoins, lorsque les coordonnées électroniques ont été obtenues lors de la vente d’un produit ou d’un service, le professionnel pourra les exploiter à des fins de prospection directe pour des produits et services analogues.
Mais, encore faut-il que lesdits clients « se voient donner clairement et expressément la faculté de s’opposer, sans frais et de manière simple, à une telle exploitation des coordonnées électroniques (…) » (article 13 §2).
• La proposition de directive ne reconnaît le droit d’utilisation des cookies par les sites Internet qu’à la « condition que l’abonné ou l’utilisateur soit muni (…) d’une information claire et complète, entre autres sur les finalités du traitement et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données » (article 5 §3).
• Enfin, lorsque les données à caractère personnel d’abonnés figurent dans des annuaires imprimés ou électroniques accessibles au public, ces derniers doivent être informés gratuitement et avant d’y être inscrits (article 12 §1).

¹Une communication peut inclure toute information consistant en une dénomination, un nombre ou une adresse, fournie par celui qui émet la communication ou celui qui utilise une connexion pour effectuer la communication.
²Par « données de localisation », on peut entendre la latitude, la longitude et l’altitude du lieu où se trouve l’équipement terminal de l’utilisateur, la direction de l’acheminement, le degré de précision quant aux informations sur la localisation, l’identification de la cellule du réseau où se situe, à un moment donné, l’équipement terminal, ou encore le moment auquel l’information sur la localisation a été enregistrée (considérant 14).
^{3Considérant 11.}