Le 10 février 2021, les États membres ont convenu d’un mandat de négociation pour la révision des règles applicables concernant la protection de la vie privée et la confidentialité dans le cadre de l’utilisation des services de communications électroniques (règlement sur la vie privée en ligne/ e-privacy).
Ce projet de règlement « vie privée et communications électroniques » actualisé précisera les cas dans lesquels les fournisseurs de services sont autorisés à traiter les données de communications électroniques ou à accéder aux données stockées sur les appareils des utilisateurs finaux (y compris les informations des cookies). Cet accord permet à la présidence portugaise d’entamer des discussions avec le Parlement européen sur le texte final.
Ce règlement couvre notamment le traitement des communications électroniques et des métadonnées, la prospection commerciale (envoi de courriels, appels téléphoniques) et l’utilisation des cookies.
En particulier, le projet de règlement permettrait l’utilisation de « cookie wall » à condition que l’utilisateur puisse choisir entre cette offre et une offre équivalente fournie par le même fournisseur qui n’implique pas le consentement aux cookies.
Pourquoi avons-nous besoin d’un nouveau règlement sur la vie privée en ligne ?
Initialement, il était prévu que le règlement « e-privacy » soit adopté en même temps que le RGPD en 2016, car le premier complète le second (il précise par exemple les règles applicables aux cookies, à la communication électronique, y compris à la prospection commerciale, etc.). Cependant, les négociations de ce règlement ont échoué. En effet, un premier projet de règlement a été publié en 2017 mais a été rejeté l’année dernière.
En conséquence, la directive « vie privée et communications électroniques » de 2002, modifiée en 2009, est toujours applicable mais est devenue obsolète. Une mise à jour est donc devenue urgente afin de prendre en considération les nouveaux développements technologiques et commerciaux (par exemple, l’utilisation de services de messagerie et de courrier électronique basés sur la voix et le web, etc.)
À cet égard, Pedro Nuno Santos, ministre portugais de l’infrastructure et du logement et président du Conseil, a déclaré « Des règles solides en matière de protection de la vie privée sont essentielles pour créer et maintenir la confiance dans un monde numérique. Le chemin vers la position du Conseil n’a pas été facile, mais nous avons maintenant un mandat qui établit un bon équilibre entre une protection solide de la vie privée des personnes et la promotion du développement de nouvelles technologies et de l’innovation. La présidence portugaise est très heureuse d’entamer maintenant des discussions avec le Parlement européen sur cette proposition clé ».
Champ d’application du projet de règlement
Le règlement couvrira le contenu des communications électroniques transmises au moyen de services et de réseaux accessibles au public, ainsi que les métadonnées liées à la communication (par exemple, les informations sur le lieu, l’heure et le destinataire de la communication). Ces données sont considérées comme potentiellement aussi sensibles que le contenu des communications.
Contrairement au RGPD, qu’il complète, de nombreuses dispositions s’appliqueront aux personnes physiques et morales.
Internet des objets, les règles couvriront également les données transmises de machine à machine via un réseau public.
Les règles s’appliqueront lorsque les utilisateurs finaux se trouvent dans l’UE, y compris lorsque le traitement a lieu en dehors de l’UE ou que le fournisseur de services est établi ou situé en dehors de l’UE. Cette disposition est similaire à celle du GDPR.
Traitement autorisé des communications et des métadonnées
En principe, les données relatives aux communications électroniques seront confidentielles (c’est-à-dire que toute interférence telle que l’écoute, la surveillance et le traitement par des tiers sera interdite, sauf autorisation contraire du règlement)
Le traitement des données de communications électroniques, sans le consentement de l’utilisateur, est autorisé dans les cas suivants :
- garantir l’intégrité des services de communication,
- la vérification de la présence de logiciels malveillants ou de virus, ou
- les cas où le prestataire de services est lié par le droit de l’UE ou des États membres pour la poursuite d’infractions pénales ou la prévention de menaces à la sécurité publique.
Les métadonnées peuvent être traitées pour la facturation, ou pour détecter ou arrêter une utilisation frauduleuse.
Avec le consentement de l’utilisateur, les fournisseurs de services pourraient également traiter les métadonnées comme suit :
- utiliser les métadonnées pour afficher les mouvements de trafic afin d’aider les autorités publiques et les opérateurs de transport à développer de nouvelles infrastructures là où elles sont le plus nécessaires ;
- pour protéger les intérêts vitaux des utilisateurs, notamment pour surveiller les épidémies et leur propagation ou en cas d’urgence humanitaire, en particulier les catastrophes naturelles et d’origine humaine ;
- les fournisseurs de réseaux et de services de communications électroniques peuvent traiter les métadonnées à des fins autres que celles pour lesquelles les données ont été collectées, si cette finalité est compatible avec la finalité initiale et si des garanties spécifiques solides s’y appliquent.
L’utilisation des capacités de traitement et de stockage et la collecte d’informations à partir du terminal ne seront autorisées qu’avec le consentement de l’utilisateur ou à des fins spécifiques définies dans le règlement.
Consentement à l’utilisation des cookies et « cookie wall »
L’utilisateur final devrait avoir un véritable choix quant à l’acceptation des cookies ou d’autres identifiants similaires.
La pratique des « cookie walls » (c’est-à-dire le fait de subordonner l’accès à un site web gratuit à l’acceptation de l’utilisation de cookies) sera autorisé si l’utilisateur est en mesure de choisir entre cette offre et une offre équivalente proposée par le même fournisseur qui n’implique pas l’acceptation de cookies.
Le texte comprend également des règles relatives à l’identification en ligne, aux annuaires publics et au marketing direct et non sollicité.
Le règlement entrerait en vigueur 20 jours après sa publication au Journal officiel de l’UE, et commencerait à s’appliquer deux ans plus tard.
