LE RÈGLEMENT EPRIVACY : UNE BALANCE DIFFICILE ENTRE INTÉRÊTS ÉCONOMIQUES ET PROTECTION DES DONNÉES PERSONNELLES

Publié par le dans | Consulté 194 Fois

Depuis un certain nombre d’années, et en raison du développement du numérique et de l’internet, nos sociétés informatisées éprouvent la nécessité de renforcer nos vies privées au regard de nos communications électroniques et plus généralement de nos données personnelles. L’Union européenne en réponse à cette préoccupation a adopté plusieurs textes visant à instaurer un nouveau cadre juridique « plus clair, solide et intelligent ». En plus du règlement RGPD (Règlement Général de Protection des Données) déjà adopté et devant entrer en vigueur en mai 2018, l’Union européenne se penche sur un nouveau règlement, dit règlement ePrivacy, visant à compléter le RGPD et à dépoussiérer le droit positif européen issu de la Directive 2002/58/CE relative au « respect de la vie privée et à la protection des données personnelles dans les communications électroniques ». Malgré cette initiative globalement remarquée et approuvée, certaines craintes font leurs apparitions tirant la sonnette d’alarme sur un éventuel affaiblissement des droits fondamentaux des citoyens en lien avec leurs données personnelles.

 L’analyse des communications : un éventuel contournement du consentement

Le règlement ePrivacy a pour mission de protéger et renforcer le « respect de la vie privée et la protection des données à caractères personnelles dans les communications électroniques ». Il réaffirme certains principes existants tels que la confidentialité des communications, consacrés à l’article 5 du règlement (ePrivacy), et à l’article 7 de la charte des droits fondamentaux de l’Union européenne. Il y est prévu que toutes les communications électroniques demeurent par principe confidentielles, autrement dit, le traitement, l’écoute ou encore l’analyse de nos communications sont interdits sans notre consentement.

Pour poursuivre sa mission, le règlement ePrivacy doit impérativement compléter certaines dispositions du règlement RGPD qui a vocation à s’appliquer à toute entité traitant des données personnelles, et ce quel que soit le secteur d’activité. Ainsi, sans précisions particulières, les règles du RGPD, parfois extrêmement larges, s’appliquent aux communications électroniques. Deux d’entre elles sont par ailleurs particulièrement pointées du doigt, car elles prévoient un contournement général du consentement :

  • La première disposition prévoit qu’une entreprise peut analyser (voire revendre) nos communications dès qu’elle y trouve un intérêt légitime, et ce, dans la limite d’une nuisance excessive faite aux personnes impliquées dans ces échanges (article 6 paragraphe 1 f du RGDP).  Notons par ailleurs que la notion de nuisance et d’intérêt légitime sont définis comme étant particulièrement larges, ce qui rend le contournement encore plus accessible.
  • La deuxième disposition quant à elle concerne le traitement ultérieur des communications électroniques des citoyens qui pourra être effectué sans leur consentement s’il poursuit « un objectif compatible avec leur demande initiale »(article 6 paragraphe 4 du RGPD). Là encore, la notion de compatibilité est volontairement vague.

L’absence d’encadrement de ces deux dispositions peut engendrer de nombreux abus. Cette éventualité est dénoncée par certaines associations de défense des libertés comme la « Quadrature du net », mais également par le Contrôleur européen de la protection des données.

En réponse à ces inquiétudes, le projet de règlement ePrivacy va tenter d’encadrer ces dispositions puisqu’il prévoit la possibilité d’un contournement du consentement seulement pour la fourniture, la sécurité, et la facturation des services demandés par l’utilisateur. Cette tentative est encore largement discutée puisque certains acteurs n’y sont pas favorables. Ils souhaiteraient y voir intégrer « l’exception d’intérêt légitime », leur permettant de contourner plus facilement le consentement des citoyens européens.

La géolocalisation : un possible consentement par acte négatif 

Conformément à la directive de 2002 toujours en vigueur, une entreprise ne peut avoir sans notre consentement accès à notre géolocalisation et donc aux données qui y sont associées (articles 6 et 9). Le Règlement ePrivacy dans son article 8 paragraphes 2 souhaite « déplacer » cette exigence de consentement. Il sera désormais possible (si cet article est adopté) pour une entreprise de collecter toutes les données qui lui sont nécessaires à moins que les citoyens ne s’y opposent. Autrement dit, il n’y aura plus de consentement par acte positif (comprenons ici une demande d’autorisation), mais plutôt un consentement par acte négatif (comprenons ici un refus d’autorisation à l’initiative de l’utilisateur). La demande ne vient plus des entreprises, mais des citoyens eux-mêmes qui devront manifester leur refus. Ce même article prévoit que les utilisateurs devront être avertis par un « message clair, visible et  affiché, indiquant les modalités et finalités de la collecte […] et les mesures que peut prendre l’utilisateur final pour réduire au minimum cette collecte ou la faire cesser » (article 8 paragraphe 2).

Un tel mécanisme semble dangereux, puisqu’il imposerait aux citoyens européens d’être particulièrement vigilants. Or, en matière de communications électroniques, il s’avère que l’utilisateur lambda n’est pas particulièrement attentif, ou tout du moins pas suffisamment conscient des risques attachés à de telles démarches : l’illustration parfaite reste évidemment l’acceptation de témoins de connexion, autrement appelés cookies. La mise en place de ce système empêcherait de trouver des alternatives tant sur le plan de la protection que sur le plan de la réappropriation de nos données personnelles. Un tel dispositif semble particulièrement intrusif pour les citoyens et plutôt bénéfique pour les entreprises. Encore une fois, une balance entre protection des données personnelles et intérêt économique reste compliquée à mettre en œuvre.

Un certain nombre de personnes sont opposées à l’adoption de cet article. Plusieurs députés préfèrent en effet maintenir le système actuel, tout comme le Contrôleur européen de la protection des données personnelles qui déclare que « le consentement actuel doit être maintenu et renforcé » et « qu’il doit être véritable, en ce sens que les utilisateurs doivent disposer d’une liberté de choix ». Certains professionnels, comme le géant Qwant (société spécialisée sur le web) se positionne en faveur d’un maintien du consentement au motif que « les Européens devraient toujours donner un consentement libre, explicite, spécifique et éclairé, lorsque des entreprises souhaitent collecter leurs données et les tracer sur internet ».

Le pistage en ligne : un véritable bras de fer 

Le système actuel en matière de pistage en ligne est simple : il est nécessaire de recueillir notre consentement pour pouvoir déposer (« cookies ») des informations sur nos appareils et pister les sites que nous visitons. Ce principe étant imposé, il n’en reste pas moins totalement inefficace.  En vérité, le seul fait de naviguer sur un site qui notifierait la présence de cookies serait suffisant pour présumer notre consentement. Aussi, peu d’utilisateurs font véritablement attention aux cookies. Le peu qui souhaiterait mettre en œuvre leur consentement en manifestant un refus de pistage en ligne par le biais de bloqueur (de publicité notamment), se voit très souvent refuser l’accès de sites internet. De fait, ils sont désavantagés et sont in fine contraints de délivrer leur consentement et voir leurs données dépouillées.

Le RGDP qui doit entrer en vigueur en mai 2018 change considérablement la donne en matière de pistage en ligne puisqu’il permet aux citoyens de se réattribuer des droits essentiels jusqu’à lors affaiblis. En effet, le refus d’accès à certains sites internet en cas de mise en place de bloqueurs ne sera plus possible et le consentement des utilisateurs sera dorénavant manifesté de manière positive. Le nouveau projet ePrivacy ayant pour but d’harmoniser les règles du RGPD en matière de communications électroniques s’inscrit inévitablement dans cette logique comme le rappelle le Contrôleur européen de la protection des données personnelles lorsqu’il précise « qu’il ne devrait plus y avoir d’accès subordonné à l’acceptation de témoins de connexion ». Dans l’hypothèse où ces règles seraient véritablement mises en œuvre, nous ferions face à une vraie révolution, car pour la première fois les intérêts des citoyens (quant au respect de leur vie privée par exemple) seront supérieurs aux intérêts économiques et aux lobbys européens, lobbys qui par ailleurs opposent une forte résistance puisqu’ils ne préconisent pas un tel système pour internet et qu’ils souhaitent «par souci de simplification de la mise en œuvre du consentement»,  permettre la configuration des navigateurs autorisant purement et simplement le pistage en ligne de manière extrêmement large.

Ce projet de règlement en raison de son importance sollicite de nombreux débats et a par ailleurs vu son adoption reportée en raison de désaccords profonds des députés européens sur les différents points exposés. Cela prouve une fois de plus l’importance des enjeux qui en découlent et la nécessité d’une prise de conscience rapide des citoyens européens.

SOURCES:

CHAMPEAU (G.), “Défendons une vraie “ePrivacy” pour l’entrepreneuriat en Europe”, publié le 2 octobre 2017, consulté le 9 octobre 2017.  https://blog.qwant.com/fr/defendons-une-vraie-eprivacy-pour-lentrepreneuriat-en-europe/

BUTTARELLI (G.), « Résumé de l’avis du Contrôleur européen de la protection des données sur le réexamen de la directive «vie privée et communications électroniques» (directive 2002/58/CE) »,  Journal officiel de l’Union européenne, publié le 14 octobre 2016, consulté le 11 octobre 2017. http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52016XX1014(04)&qid=1508082079712&from=FR

LAUSSON (J.), « Désaccord européen sur un rapport dédié au règlement ePrivacy », Numérama, publié le 6 octobre 2017, consulté le 9 octobre 2017. http://www.numerama.com/politique/295727-desaccord-europeen-sur-un-rapport-dedie-au-reglement-eprivacy.html

LAUSSON (J.), « La quadrature du net tire la sonnette d’alarme », Numérama, publié le 25 septembre 2017, consulté le 9 octobre 2017. http://www.numerama.com/politique/292323-directive-eprivacy-la-quadrature-du-net-tire-la-sonnette-dalarme.html

LA QUADRATURE DU NET, « Des députés européens veulent réduire notre vie privée : agissons maintenant ! », publié le 3 octobre 2017, consulté le 11 octobre 2017. https://www.laquadrature.net/fr/eprivacy_itre_imco

LA QUADRATURE DU NET, « Règlement ePrivacy : Ne laissons pas l’UE vendre notre vie privée ». Consulté le 11 octobre 2017. https://eprivacy.laquadrature.net/fr/