RGPD & et futur réglement EPrivacy : fromage et dessert…

RGPD & et futur réglement EPrivacy : fromage et dessert…



Vous avez aimé le RGPD ? Vous allez adorer le texte qui lui sera étroitement lié et qui fait encore à ce jour la navette entre la Commission Européenne et le Parlement Européen : le réglement «vie privée et communications électroniques» concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques. Présenté au mois de janvier 2017, il a fait l’objet d’amendements en octobre de la même année et suscite d’importantes inquiétudes des professionnels du numérique. Suffisamment pour qu’une lettre ouverte soit adressée à l’UE par 33 éditeurs majeurs de la presse européenne (Le Monde, Les Echos, L'Equipe, Der Spiegel, Financial Times, …) et qu’une étude d’impact soit remise au gouvernement au mois de janvier 2018 (Accès aux données, consentement, l’impact du projet de règlement e-privacy) pour éveiller les consciences politiques sur les risques intrinsèques à certaines dispositions du texte pour l’économie européenne... Allez, bon appétit!
 
Le réglement Eprivacy c'est quoi?

C'est le « RGPD » des moyens de communication actuels et futurs : le règlement EPrivacy est une extension du RGPD, une "lex specialis par rapport au RGPD". Les deux textes se complètent donc. Le considérant n°5 est très clair sur ce point en indiquant que les dispositions du règlement EPrivacy précisent et complètent les règles générales de protection des données à caractère personnel définies dans le RGPD « en ce qui concerne les données de communications électroniques qui peuvent être considérées comme des données à caractère personnel. »
 
Le réglement a vocation à s'appliquer aux « moyens de communication actuels et futurs, y compris la téléphonie vocale, l’accès à Internet, les applications de messagerie instantanée, le courrier électronique, les appels téléphoniques par Internet et la messagerie personnelle fournie par les réseaux sociaux ». Comme pour le RGPD, les définitions posées par le texte sont extrêmement larges. Difficile, voire impossible donc d’y échapper.
 
Vous pensiez avoir tout lu, avoir suivi toutes les formations ? Et bien non… quand y’en a plus, y’en a encore…



L’avènement d’une protection des données personnelles… des personnes morales !
 
Si le RGPD ne s’intéressait qu’à la protection des données personnelles des personnes physiques, ce nouveau règlement s’intéressera à la protection des données des personnes morales. Le considérant n°3 prévoit ainsi une extension des dispositions du RGPD « aux utilisateurs finaux qui sont des personnes morales » : « Les données de communications électroniques peuvent aussi révéler des informations concernant les personnes morales, telles que des secrets d’affaires ou d’autres informations sensibles ayant une valeur économique. Aussi les dispositions du présent règlement devraient-elles s’appliquer à la fois aux personnes physiques et aux personnes morales. De plus, le présent règlement devrait garantir que les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil s’appliquent aussi aux utilisateurs finaux qui sont des personnes morales. Cela comprend la définition du consentement en vertu du règlement (UE) 2016/679. C’est cette définition qui devrait s’appliquer lorsqu’il est fait référence au consentement d’un utilisateur final, y compris d’une personne morale. En outre, les personnes morales devraient avoir les mêmes droits que les utilisateurs finaux qui sont des personnes physiques en ce qui concerne les autorités de contrôle, lesquelles devraient aussi, en vertu du présent règlement, être responsables du suivi de son application relativement aux personnes morales. »
 
Voilà une disposition  qui risque de finir de décourager les entreprises les plus vertueuses qui avaient déjà entamé une procédure de mise en conformité vis à vis du RGPD en se basant uniquement sur la considération des données des personnes physiques.

On souhaite bien sûr bon courage aux "vendeurs de mise en conformité avant le 25 mai" qui se sont auto-proclamés spécialistes de ces questions sans jamais évoquer cette problématique avec leurs clients au cours de leurs échanges pré-contractuels... 



Une indigestion de cookies…

Voilà sans doute le point le plus polémique du futur règlement. Le texte tire - sans doute à juste titre - un bilan négatif de la législation sur les cookies : « (…) la règle du consentement pour préserver la confidentialité des équipements terminaux n’a pas permis d’atteindre les objectifs poursuivis car l’utilisateur final se voit demander d’accepter des témoins («cookies») traceurs sans savoir ce que c’est et, dans certains cas, s’expose même à ce que des cookies soient installés sans son consentement. »
 
Mais les conséquences que la Commission Européenne tire de ce constat empêche tout le milieu de la publicité en ligne de dormir… à l’exception des puissants réseaux sociaux et des éditeurs de navigateur web : « (...) pour atteindre le but recherché, est-il nécessaire d’appliquer le principe en centralisant le consentement dans des logiciels et en donnant aux utilisateurs des informations sur leurs paramètres de confidentialité. »
 
Vous l’avez compris, en l’état, le règlement vise à imposer un recueil initial des cookies par paramétrage du navigateur web et interdit de facto à tous les autres éditeurs de sites web de pouvoir utiliser des cookies !

Dans la lettre ouverte adressée aux instance européennes, le pool de grands éditeurs de presse résume fidèlement la situation en ces termes : « La Commission européenne propose, avec le projet ePrivacy, que les internautes donnent leur consentement pour le recueil de leurs comportements de navigation, non plus sur chaque site qu’ils visitent, mais d’une manière globale, dès leurs premières connexions à internet, par les portes d’entrées générales que sont les interfaces de navigation. Étant donné que 90 % de l’accès à Internet sur le territoire européen est contrôlé par quatre entreprises seulement – Google, Apple, Microsoft and Mozilla2 – l’orientation prise par la Commission aboutira à renforcer l’asymétrie du rapport entre les éditeurs de presse et les portails numériques mondiaux. »
 
Après le coup porté par Etats-Unis au principe de neutralité du Net, c’est à son tour l’UE qui viendrait porter un coup sans doute fatal à nombre de ses propres entreprises si le texte devait rester en l'état... ce qui ne peut tout simplement pas être le cas.

On imagine par ailleurs mal l'importance du coup porté au modèle économique en vigueur sur le web : gratuité contre récolte des données. Avec un schéma de ce genre, c'est la mort annoncée des publicités ciblées et donc à terme, de la gratuité quasi généralisée des contenus numériques accessibles via le web.

L'étude d'impact du texte remise au mois de janvier 2018 au gouvernement français par le Conseil Général de l'economie, de l'industrie, de l'énergie et des technologies confirme le danger que représente le projet de réglement sur ce point.
 
On doute évidemment que le texte reste en l’état, les évolutions viendront obligatoirement. En attendant, on sent à juste titre l’angoisse monter dans l’économie du numérique.



Les métadonnées au cœur du dispositif de contrôle

Pour ceux qui savent, une métadonnée c’est une métadonnée. Pour les autres, on dira pour simplifier que c’est une donnée sur une donnée… exemple : des données de localisation GPS rattachées à une photo ou encore plus simple la date d’enregistrement d’un fichier.
 
Le règlement EPrivacy envisage ces métadonnées et donne cette définition : «métadonnées de communications électroniques» les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l'échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d’en déterminer l’origine et la destination ainsi que les données relatives à la localisation de l'appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l’heure, la durée et le type de communication »
 
Pas forcément limpide comme définition…

Si, comme le précise le considérant 17, le règlement "donne aux fournisseurs de services de communications électroniques davantage de possibilités de traiter les métadonnées de communications électroniques, sur la base du consentement des utilisateurs finaux", il n'en reste pas moins que ce sont bien les règles du RGPD en matière de recueil du consentement (strictes et précises) qu'il faudra appliquer en la matière, ce qui élargit encore le champ des obligations des entreprises.

Ce d'autant que les opérateurs vont devoir assurer une veille de maintenance concernant les consentements et la conservation des données particulièrement vigilante et réactive. 

Ainsi s'agissant de la suppression des métadonnées on peut citer à titre d'exemple l'article 7.2 du projet de réglement qui prévoit que "(...) le fournisseur de services de communications électroniques efface les métadonnées de communications électroniques ou anonymise les données lorsqu'elles ne sont plus nécessaires pour assurer la communication.".

Il faut bien sûr lire le texte dans sa globalité pour bien l'appréhender et surtout envisager ce qui précède à l'aune des exeptions qui viennent souvent atténuer la force des principes, ce que ne fait pas le présent article.

Bref, utilisant une métaphore cinématographiqe issue d'un univers qui me tient à coeur, je concluerai ce bref aperçu de vos futures nouvelles (encore...) obligations par cette citation détournée :


" De débuter vient juste la guerre des données personnelles... "