Proposition du Règlement ePrivacy : quelles avancées pour la protection des données à caractère personnel dans les communications électroniques ?

Ayant entrepris de réformer la protection des données en 2012, l’Union Européenne se dote petit à petit de nouveaux instruments pour protéger la vie privée des citoyens européens.  Initiée avec le Règlement Général de la Protection des Données, la réforme se poursuit avec la proposition du Règlement ePrivacy. La Commission a ainsi publié un projet de Règlement en janvier dernier concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques qui abrogera la directive 2002/58/CE.

Le 11 avril dernier, la Commission LIBE a organisé une audition sur cette proposition en vue de préparer son rapport sur cette proposition, dont la rapporteure est Mme Marju Lauristin (S&D). Cette audition avait pour objectif de fournir à la Commission LIBE les points de vue de différents acteurs concernés.

La Commission Européenne a rappelé que la régulation était motivée par la volonté de renforcer la protection des droits fondamentaux, l’harmonisation de la législation pour l’ensemble des acteurs ainsi que la cohérence avec le RGPD. Nombreux sont ceux qui se sont réjouis de cette proposition, qualifiée d’ambitieuse par le Contrôleur Européen de la Protection des Données (CEPD)[1].

Applicabilité. Le choix de l’outil a été particulièrement apprécié. En préférant le règlement à la directive, la Commission a marqué sa volonté d’harmoniser les cadres juridiques dans les Etats membres, le règlement étant d’applicabilité directe.

Protection nécessaire. Les intervenants ont rappelé que le Règlement protégeait non seulement les ressortissants européens, mais également les secrets des entreprises. Avant tout, ils ont présenté le droit à la vie privée comme un élément clé de la liberté d’expression et d’information, nécessaires au bon fonctionnement d’une démocratie.

Protection élargie. Le Règlement marque également la volonté de renforcer la protection des ressortissants européens. Ainsi, le champ d’action a été étendu afin de prendre en compte les évolutions technologiques et inclure les services de communication par contournement tels que WhatsApp ou Facebook. Le texte confère également des compétences renforcées aux autorités de contrôle et au Comité européen de la protection des données (le montant de l’amende notamment).

Cependant, la proposition de Règlement n’est pas suffisante pour une protection pleine et entière.

Protections distinctes. Le CEPD s’est inquiété des différents niveaux de protection en fonction du type de données qui risquent de créer des lacunes dans la protection. De plus, de nombreuses définitions seront issues du Code de Communication Européen[2]  : les définitions, décidées dans un contexte différent, risquent de ne pas être à la hauteur pour une protection efficace des droits fondamentaux.

Wifi-tracking. Clarifier l’article 8 est, pour Frederik Zuiderveen, universitaire, nécessaire afin de s’assurer qu’il soit interprété comme une interdiction totale de suivre une personne (par Bluetooth par exemple) dans la rue sans son consentement.

Tracking walls. Le Consentement ne devrait pas être obligatoire. Il est nécessaire que soit inclus dans la proposition l’interdiction de tracking walls, qui oblige les utilisateurs soit à consentir pour avoir accès à un service soit à payer. La protection des données personnelles ne doit pas être un droit payant.

Privacy by design. Pour aller plus loin, la proposition devrait également bloquer, via les paramètres par défaut des navigateurs, les cookies tiers ainsi que l’accès à des informations par des personnes tierces.

L’AEDH se réjouit d’un renforcement de la protection des données personnelles des ressortissants européens. Cependant, et même si à première vue, la proposition peut paraître séduisante, il est nécessaire de rester vigilant et d’incorporer des éléments supplémentaires (tracking walls, wifi tracking et paramètres par défaut). La vigilance est d’autant plus nécessaire que les lobbys de l’industrie du numérique ont, ces derniers mois, montré leur capacité d’action : la proposition de la Commission qui avait fuité en Décembre 2016 était bien plus ambitieuse. Elle incluait, entre autre chose, une configuration par défaut empêchant les tiers de stocker ou d’accéder à des informations stockées sur les appareils ainsi que des dispositions sur les recours collectifs. Il importe désormais que la société civile se fasse désormais entendre pour convaincre les députés européens de renforcer la protection.

 



[2] La Commission européenne a présenté le 14 septembre 2016 son projet de code européen des communications électroniques, qui vient réviser les règles de régulation du secteur dans le cadre du marché unique du numérique. La proposition est en attente de la décision de la Commission ITRE (Industrie, Recherche et Energie)

Retour à la page précédente