L’Union européenne resserre l’étau sur les GAFA au nom de la vie privée

RégulationsSécurité
union-europeenne-eprivacy
2 22

Bruxelles projette une évolution de la directive ePrivacy vers un règlement qui entrerait en vigueur parallèlement au GPDR, le 25 mai 2018.

Au nom de la vie privée, Bruxelles envisage de resserrer l’étau sur les GAFA.

L’échéance est fixée au 25 mai 2018, date d’entrée en vigueur du nouveau règlement européen sur la protection des données (GDPR).

Un deuxième texte pourrait être mis en application à la même occasion. Il consisterait en une révision de la directive « ePrivacy », qui changerait de forme pour devenir un règlement, prenant ainsi effet immédiatement, sans nécessité de transposition dans les États membres.

La directive ePrivacy avait été adoptée en 2002. Sa dernière réactualisation remonte à 2009. Ce qui fait dire à la Commission européenne qu’il est temps de la mettre à jour pour refléter « les bouleversements qu’a connus le marché ». En l’occurrence, l’utilisation de plus en plus fréquente des services de communication « Over-The-Top » (OTT) que sont la VoIP, les webmails et la messagerie instantanée, en remplacement des canaux associés aux opérateurs télécoms.

La publication d’un premier document préliminaire (PDF, 35 pages) donne un aperçu des orientations de Bruxelles.

Compléter le GDPR

Le règlement vise large : il doit s’appliquer « aux fournisseurs de services de communications électroniques, aux fournisseurs de services d’annuaires accessibles au public et aux fournisseurs de logiciels permettant la communication par voie électronique ».

Inscrit dans le cadre de la stratégie de marché unique numérique (DSM), le texte a vocation à compléter les dispositions du GDPR, dans un objectif de protection de libertés fondamentales parmi lesquelles le droit au respect de la vie privée, à la confidentialité des communications et à la protection des données personnelles dans le secteur des télécoms.

Une consultation publique a été menée sur le sujet entre le 12 avril et le 5 juillet 2016. Elle a permis de réunir 421 réponses. Sur l’ensemble des citoyens ayant participé, 83,4 % s’accordent sur la nécessité de définir des règles spécifiques à l’industrie des communications électroniques. Plus des trois quarts estiment légitime d’étendre ces mesures aux acteurs OTT.

La Commission européenne publiera, tous les trois ans, un bilan d’étape sur l’application de la réglementation. Elle le portera à la connaissance du Parlement, du Conseil et de la Commission des affaires économiques et sociales.

L’IoT n’est pas oublié : il est précisé que les dispositions du règlement s’appliqueront aux communications M2M (Machine-to-Machine). Même chose pour les points d’accès Internet publics.

Absolue nécessité

Relatifs à la confidentialité des informations associées aux communications électroniques, les articles 5, 6 et 7 définissent les droits des fournisseurs de réseaux et services en matière de traitement de données.

Dans les grandes lignes, la pratique est autorisée si elle est nécessaire au fonctionnement du service, à sa maintenance ou à sa sécurité.

Même chose pour les métadonnées* (durée d’une communication, localisation des participants…), avec quelques exceptions supplémentaires : la facturation de services, l’enregistrement de souscriptions, la détection d’usages frauduleux ou abusifs… et l’éventuel consentement explicite de l’utilisateur concerné pour des services spécifiques ne pouvant pas lui être fournis avec des données anonymisées.

Le règlement est plus restrictif sur le contenu des communications, qui ne peut être traité qu’à des fins de fourniture, à des utilisateurs ayant donné leur consentement, d’un service – ou d’une partie de ce service – qui ne pourrait pas leur être proposé autrement.

Amendes salées ?

Toute infraction aux dispositions des articles 5, 6 et 7 (qui limite la conservation de données) peut être sanctionnée d’une amende dont le montant maximal équivaudra à la somme la plus élevée entre 20 millions d’euros et 4 % du chiffre d’affaires annuel mondial de la personne morale concernée.

On est sur 10 millions d’euros ou 10 % du CA pour les infractions à l’article 8. Celui-ci concerne le stockage et l’accès à des informations sur les terminaux des utilisateurs finaux. En première ligne, les cookies.

Quelques exceptions sont introduites en la matière : une demande de consentement ne serait pas nécessaire pour des cookies apportant une « valeur ajoutée » avec « pas ou peu d’atteinte à la vie privée ». Par exemple, pour remplir des formulaires, retenir les articles d’un panier sur un site e-commerce ou mesure du trafic Web.

Constatant que le consentement des internautes pourrait être obtenu par des méthodes « moins invasives » que les bandeaux qui s’affichent aujourd’hui sur les sites et applications, la Commission européenne en appelle notamment aux éditeurs des navigateurs Web, qui « gèrent déjà une grande partie de ce qui se passe entre les utilisateurs et les sites ». Et de les inciter à proposer, directement dans leurs logiciels, des options de paramétrage des cookies.

Annonces commerciales

Concernant les fournisseurs de services d’annuaires, ils devront s’assurer que les utilisateurs dont ils publient des données ont donné leur consentement, et ce pour chaque catégorie d’information (article 15).

Aux fournisseurs de services de communication interpersonnelle accessibles au public et basés sur une identification par numéro, il est demandé de mettre gratuitement, à disposition des utilisateurs, des solutions pour rejeter les communications non souhaitées.

L’appelant doit lui aussi pouvoir masquer son identifiant, avec quelques exceptions comme les appels aux urgences.

C’est différent pour les communications à caractère commercial, qu’importe le canal (d’où le choix d’un règlement harmonisé). S’il est, selon Bruxelles, « raisonnable » d’utiliser l’adresse électronique d’un client existant pour lui proposer d’autres produits, il faut, dans tous les cas, permettre au destinataire d’identifier l’émetteur de la communication.

* Les « métadonnées » ne devront pas être considérées comme telles si elles sont générées dans un contexte autre que celui d’une communication électronique et susceptible de servir « un intérêt public ». Par exemple, la réalisation d’une cartographie urbaine en temps réel.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur