Vie privée et communications électroniques : une réforme délicate

La réforme de la directive « Vie privée et communications électroniques » a été relancée par le Conseil des ministres européens.

Vie privée et communications électroniques : une réforme délicate

Le 10 février 2021, les Etats membres de l’Union européenne ont approuvé l’engagement d’une réforme de la directive européenne datant de 2002 (1). Il s’agit de tenir compte des évolutions technologiques et commerciales en matière de communications électroniques et de leur impact sur le respect et la protection de la vie privée.

Les évolutions technologiques

Le secteur des communications électroniques a profondément évolué depuis l’adoption de la directive de 2002 dite « vie privée et communications électroniques ».

Il n’est que de citer le bouleversement apporté par Internet et les usages nouveaux qu’il a permis de développer, tels que la téléphonie sur IP, la connexion à très haut débit permettant d’accéder à des contenus audiovisuels dans des conditions optimales de connectivité, y compris en situation de mobilité ou encore le travail à distance.

Ces usages nouveaux ont également conduit à l’apparition d’acteurs nouveaux, quasiment absents en 2002, comme les :

• moteurs de recherche,
• commerçants en ligne,
• plateformes de réseaux sociaux ou de services.

Ces nouveaux acteurs sont de gros consommateurs d’informations sur nos vies privées. Leur business model repose, en effet sur la commercialisation d’informations personnelles collectées lors des connexions et transactions réalisées.

Mieux protéger la vie privée

L’objectif poursuivi par le Conseil des ministres est de substituer à la directive de 2002 un règlement européen. Ce denier a vocation à constituer un dispositif légal sectoriel, spécifique aux acteurs du secteur des communications électroniques. Il est complémentaire au Règlement général sur la protection des données à caractère personnel (RGPD).

L’idée d’un tel règlement n’est pas nouvelle puisque ce projet, connu sous l’appellation de « Règlement e-privacy », a été initié en 2017.

Néanmoins, son adoption se heurte à l’opposition d’acteurs qui seraient aspirés dans son périmètre d’application.  C’est notamment le cas des éditeurs de solutions de téléphonie sur IP. Ces derniers échappent très largement aujourd’hui à la réglementation en matière de communications électroniques et à la directive de 2002.

La volonté politique du Conseil d’avancer a cependant été réaffirmée, le 10 février 2021 pour :

• aboutir à la mise au point de ce règlement, qui précisera et complétera le RGPD,
• y soumettre, outre les personnes morales, les personnes physiques.

Le périmètre de la protection nouvelle de la vie privée

Le projet de règlement (2) devrait s’intéresser au contenu des communications électroniques transmis au moyen des réseaux et des services de communication accessibles au public. Dans cette perspective, aux informations techniques associées à l’acheminement de ces contenus tels que :

• la géolocalisation des personnes,
• les heures de début et de fin de communication,
• les données relatives aux adresses des machines utilisées pour cet acheminement.

Or ce sont autant de données à caractère personnel dont la collecte, la détention et l’usage pourraient être attentatoires à la vie privée à défaut d’encadrement adéquat.

Par ailleurs, et afin de tenir compte du développement extrêmement important de l’internet des objets, le règlement concernerait les communications échangées entre machines. Par exemple entre :

• une voiture connectée et un serveur de gestion des flux routiers ou
• un compteur électrique connecté et les serveurs du fournisseur d’énergie.

Ces données peuvent elles aussi être révélatrices de comportements de consommation ou de déplacements, pour rester dans les exemples qui viennent d’être utilisés. Par voie de conséquence, elles peuvent être sensible pour la protection de la vie privée des individus.

La confidentialité des données de communication

Le principe posé par le futur règlement est celui de la confidentialité des données de communications électroniques. Il s’agit de protéger toute interception, suivi ou autre forme de traitement de ces données non :

• consenti par la personne concernée ou qui
• autorisé par le règlement lui-même.

Au rang des autorisations qui sont envisagées, figurent :

• l’utilisation des métadonnées des communications électroniques à des fins de protection de la sécurité publique ou nationale des Etats membres ou encore
• la protection des intérêts vitaux des personnes au travers, par exemple, des applications de suivi de l’évolution des épidémies ou des pandémies.

Le consentement au dépôt de cookies et autres traceurs

De même, le futur règlement devrait renforcer les règles en matière de consentement au dépôt de traceurs et de cookies. Il fera en sorte que ce choix soit « véritablement libre ». Il devrait également se prononcer sur les modalités de mise en œuvre des « cookie walls ». Cette pratique consiste à bloquer l’accès à un site internet en cas de refus des cookies.

Rappelons que la Cnil française voulait les interdire pour, finalement y renoncer à la suite d’une décision du Conseil d’Etat en date du 19 juin 2020 (3).

Le projet prévoit aussi la création d’une liste blanche des fournisseurs qu’une personne pourrait gérer elle-même ; par exemple pour y inscrire les entreprises dont elle accepte, a priori, qu’elles déposent des traceurs.

Enfin, le projet de règlement contient des règles relatives à l’identification de la ligne des utilisateurs de services de communications électroniques, aux annuaires publics, notamment d’abonnés, et à la prospection commerciale non sollicitée.

A suivre…

Gageons que le chemin sera encore long avant que ce projet devienne réalité. Les oppositions des professionnels restent encore fortes et les disparités légales demeurent importantes entre Etats membres sur ces questions. En outre, la coexistence de règles juridiques non alignées et issues de textes dont l’histoire s’est désynchronisée pose de nombreuses difficultés. C’est là un fait indéniable.

Il n’est qu’à considérer l’exercice d’équilibriste dans lequel la Cnil s’est engagée dans sa réforme récente des règles en matière de cookies (4). Elle a en effet dû tenir compte des nouvelles règles du jeu imposées par le RGPD tout en les appliquant à une règlementation des cookies issue de la directive de 2002 ; laquelle est devenue totalement obsolète dans sa capacité à attraper les nouvelles technologies de traçage technique et comportemental.

Frédéric Forster
Lexing Constructeurs informatiques et télécoms

(1) Communiqué de presse du Conseil de l’Union européenne du 10 février 2021.
(2) Projet de Règlement européen « e-Privacy » du 10 février 2021 (EN).
(3) Cf. E. Walle, I. Pottier, « Cookies et autres traceurs : annulation partielle des lignes directrices de la Cnil »,  publié le 07/08/2020.
(4) V. Bensoussan-Brulé, M. Catier, « Lignes directrices de la Cnil sur les cookies et autres traceurs »,  publié le 04/11/2020.