Le Règlement ePrivacy : Paramétrage des cookies de la bannière au navigateur

- Février 2017

De l'ère des lettres aux e-mails et aux applications de messagerie instantanée d'aujourd'hui, le monde des communications a radicalement changé au cours des quinze dernières années .  Les consommateurs s'appuient désormais sur des applications basées sur Internet, les services de communication dits "Over-The-Top" (OTT) tels que Skype, Facebook Messenger et Whatsapp, qui collectent des informations et profilent leurs utilisateurs pour vendre des publicités personnalisées. Alors que de nombreuses entreprises ne seraient pas en mesure de fournir des services en ligne gratuits sans publicité ciblée, la collecte et le traitement des informations personnelles dans les communications électroniques sont une source de préoccupation pour le grand public, qui réclame des droits à la vie privée plus solides.

Crédits photos :  PCMag

En réponse, la Commission européenne a proposé un règlement ePrivacy visant à équilibrer ces intérêts, présenté le 10 janvier 2017 .  La proposition n'est pas venue sans controverses, car beaucoup, y compris des entreprises technologiques ou le député européen  Axel Voss , affirment qu'un règlement ePrivacy est redondant à la lumière du règlement général sur la protection des données (RGPD) récemment adopté.

 

Compte tenu des progrès technologiques rapides, les deux principaux piliers du cadre juridique de la protection des données dans l'UE, la directive sur la protection des données et la directive ePrivacy, doivent être mis à jour .  Le RGPD abrogera la directive sur la protection des données à partir de mai 2018 et fixera les règles générales de protection des données dans l'UE. La proposition de règlement ePrivacy révise les règles européennes en matière de traitement des données personnelles dans les communications électroniques et étend le champ d'application de la directive ePrivacy pour qu'elle s'applique chaque fois que des informations sont collectées à partir des appareils des utilisateurs, y compris aux services fournis par les OTT. Il devrait entrer en vigueur en même temps que le RGPD, mais beaucoup jugent cette échéance extrêmement ambitieuse.

 

le  la proposition de règlement ePrivacy prévoit que les logiciels doivent respecter le principe de « vie privée dès la conception »  permettant aux utilisateurs (i) de choisir leurs paramètres de confidentialité lors de l'installation, (ii) de les modifier à tout moment, et (iii) d'être rappelés à cette possibilité tous les six mois. Ce principe est favorable aux annonceurs en ligne, par opposition à un système de « confidentialité par défaut » qui empêcherait les navigateurs Web de stocker des outils de suivi Web – tels que les cookies – en l'absence de choix actif des utilisateurs. Les cookies sont de petits fichiers texte téléchargés sur les navigateurs des utilisateurs lorsqu'ils naviguent sur le Web pour transporter des informations sur les sites Web visités.

Les cookies sont soumis à une règle de consentement préalable  permettant leur utilisation si (i) nécessaire à la réalisation de la communication électronique, (ii) fournir une demande en ligne par l'utilisateur (par exemple, en maintenant les paramètres de langue), (iii) mesurer l'audience Web, ou (iv) avec le consentement des utilisateurs.

Les sanctions pour des activités telles que les violations des exigences de confidentialité des communications ou les manquements aux obligations de confidentialité par défaut sont beaucoup plus élevées . Dans le premier cas, les sanctions peuvent atteindre jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise contrevenante ou jusqu'à 20 millions d'euros, selon le montant le plus élevé, et dans le second cas,  2 % ou 10 millions d'euros.

La proposition introduit une obligation d'identifier la nature marketing des communications non sollicitées  (Spam)  dans le cas de  appels téléphoniques marketing  en ajoutant un numéro de téléphone ou un préfixe qui les identifie comme tels. Les États membres conservent la prérogative de décider si la protection sera par défaut (opt-in) ou si les personnes devront demander à être inscrites sur une liste de numéros de téléphone exclus (opt-out). Pour les autres types de communications non sollicitées, telles que les e-mails, les SMS et les appels provenant de machines automatisées, un consentement préalable est nécessaire.  

La proposition ouvre de nouvelles possibilités commerciales, telles que l'utilisation de métadonnées, avec le consentement des consommateurs.  Les métadonnées comprennent des informations sur les sites Web visités, le lieu, la date et la durée des appels téléphoniques, etc., à partir desquelles des conclusions peuvent être tirées sur les habitudes et la vie privée des individus. Cela peut conduire à de nouveaux services, par exemple des informations sur le trafic basées sur des cartes thermiques indiquant la présence d'individus.  

 

Alors que la Commission a étendu une branche d'olivier aux entreprises en instaurant un système de « privacy by design », le secteur privé n'est toujours pas satisfait du résultat .  Même si les entreprises peuvent continuer à utiliser la publicité basée sur les données afin de financer du contenu en ligne gratuit, elles critiquent les principales dispositions de l'examen ePrivacy. Le secteur privé pense toujours que le règlement ePrivacy couvre les mêmes questions que le GDPR, ce qui peut créer une incertitude juridique.

En outre, étant donné que le règlement ePrivacy ne comprend pas de dispositions sur la conservation des données, l'harmonisation du domaine ePrivacy restera incomplète .  Plusieurs membres du Parlement européen – tels que  Axel Voss , rapporteur fictif pour le GDPR – d'accord, alors que d'autres, comme  Jan Philipp Albrecht , rapporteur pour le RGPD, considère que les droits protégés sont différents : protection des données personnelles dans le cas du RGPD, et secret et intégrité des systèmes de communication dans le cas de la proposition de règlement ePrivacy.

L'intention de la Commission était de supprimer les bannières de cookies, qui ont été vivement critiquées par les consommateurs, et l'a fait en déplaçant les paramètres de consentement aux cookies des bannières vers les navigateurs .  Désormais, le consommateur doit choisir ses paramètres de confidentialité sur son appareil lors de l'installation du logiciel. Reste à savoir si cette nouvelle configuration est effectivement plus conviviale. Les entreprises estiment que les rappels périodiques aux consommateurs (tous les six mois) de la possibilité de retirer leur consentement seront préjudiciables à la publicité en ligne, et seront toujours gênants pour les consommateurs.

Au total, cette réforme, saluée par les citoyens, la société civile et les pouvoirs publics, et fortement critiquée par le secteur privé, semble avoir été édulcorée depuis sa version leakée en décembre 2016 .  Les consommateurs peuvent être rassurés que leur vie privée est protégée même lorsqu'ils utilisent les dernières technologies, telles que les OTT, puisque les sanctions plus strictes du règlement inciteront à la conformité. Les parties prenantes peuvent encore prendre des mesures pour faire entendre leur voix auprès du Parlement européen et du Conseil des ministres, afin que leurs préoccupations soient prises en compte et que le texte final soit plus favorable aux entreprises.

 

Par Pilar Córdoba Fernández et Katherine Dagg