ePrivacy : huit ans après, le règlement officiellement mis sur la touche

Le règlement ePrivacy restera-t-il à l'état de proposition ?

C'est parti pour. La Commission européenne l'a effectivement retiré de son programme de travail 2025. Pour deux motifs. D'une part, l'absence de perspective d'accord entre les colégislateurs de l'UE. De l'autre, un contenu qui apparaît "obsolète au vu de la législation récente".

Il est vrai que le texte initial date de janvier 2017. L'objectif était alors de le faire entrer en application parallèlement au RGPD (soit le 25 mai 2018). Il aurait remplacé une directive de 2002, révisée pour la dernière fois en 2009, et également dite ePrivacy - ou "vie privée et communications électroniques". D'un côté, pour encadrer plus strictement l'usage des métadonnées et des cookies. De l'autre, pour élargir son champ aux services de communication "par contournement" (OTT, over-the-top). Ce en adoptant la définition de "service de communication électronique" établie en 2016 dans le Code des communications électroniques européen.

Le règlement s'ancrait sur d'autres textes, dont le RGPD pour la notion de consentement. En toile de fond, la volonté d'englober de nouvelles techniques de suivi du comportement en ligne.

La Commission souhaitait plus globalement remédier à la "formulation confuse" de certaines dispositions et à "l'ambiguïté des concepts juridiques". Parmi les règles qui lui apparaissaient problématiques, l'une touchait justement au consentement dans le cadre du suivi en ligne. Plus précisément à son recueil dans l'optique de stocker de données sur des terminaux. Bruxelles la jugeait à la fois "trop inclusive" (couverture de pratiques ne portant pas atteinte à la vie privée) et "trop exclusive" (pas de couverture de certaines techniques de suivi, comme la capture d'empreintes numériques).

Le projet avait entraîné une levée de bouclier d'éditeurs de presse et de représentants du numérique et des télécoms. Parmi eux, DigitalEurope, la Developers Alliance et la branche française de l'IAB (Internet Advertising Bureau).

Un règlement plus précis sur l'exploitation des métadonnées...

Pour ce qui est du traitement du contenu des communications, la proposition de règlement ePrivacy réaffirmait pour l'essentiel les principes posés dans la directive, avec quelques changements terminologiques (entre autres, les "données relatives au trafic" devenant "métadonnées").

Certains formulations étaient plus précises. Notamment celles encadrant l'exploitation des métadonnées.

Étaient également plus précises les dispositions relatives au traitement de données à des fins de fourniture d'un service spécifique. Au-delà de l'obtention du consentement, la pratique supposerait que ledit traitement soit "indispensable à la fourniture du service". Ou que les objectifs ne puissent être atteints par le traitement de données anonymisées.

... comme sur les cookies, y compris tiers

Le règlement était aussi plus précis concernant l'utilisation des capacités de traitement et de stockage des terminaux. Il introduisait, en particulier, une exception pour la mesure de résultats d'audience sur le web. Il autorisait par ailleurs explicitement les collectes de données destinées à connecter un équipement à d'autres, sous condition d'afficher un message "clair et bien visible" indiquant les finalités, les modalités et d'autres éléments en cas de traitement de données personnelles.

Autre nouveauté : une obligation, pour les fournisseurs de logiciels et de matériels associés à des services de communication, de proposer, dans les paramètres de configuration, la possibilité de refuser les cookies tiers.

Un régime plus strict pour les annuaires publics et la prospection commerciale

Entre la directive et la proposition de règlement, le principe fondamental ne changeait pas : interdiction d'effectuer de la prospection commerciale sans consentement. Pas non plus de modification substantielle concernant la possibilité d'utiliser, à ces mêmes fins de prospection, des coordonnées obtenues dans le cadre de la vente d'un produit ou d'un service... à condition que les personnes concernées aient la possibilité de s'y opposer lors de l'envoi de chaque message.

Le règlement serait allé plus loin que la directive en imposant de présenter un code ou un indicatif spécifique montrant le caractère commercial des appels.

De la directive au règlement serait demeurée la possibilité, pour les destinataires, de bloquer les appels masqués. Et, en parallèle, de mettre fin gratuitement au renvoi automatique des appels par un tiers vers leur terminal. Ainsi que, pour tous, d'opter gratuitement pour une non-inscription dans les annuaires publics. Avec, pour les fournisseurs de ces annuaires, un complément : aviser les personnes physiques et morales de l'existence de fonctions de recherche, puis obtenir leur consentement avant de les activer.

La proposition de règlement ePrivacy incluait des amendes au niveau du RGPD. En l'occurrence, jusqu'à 20 M€ ou 4 % du CA mondial pour les violations du principe de confidentialité des communications, du traitement autorisé des données ou des délais d'effacement.

Illustration générée par IA