Le 10 janvier 2017, la Commission européenne a publié une proposition de nouveau règlement européen (1) régissant la sphère privée sur Internet (ePrivacy). Après l’adoption du nouveau Règlement Général sur la Protection des Données (RGPD) en mai dernier, la Commission européenne va également adopter des modifications législatives portant spécifiquement sur la notion de sphère privée sur Internet. Contrairement à avant, les services IP, tels que les applications de messagerie instantanée (comme WhatsApp ou Facebook), la téléphonie sur IP et certains services de courrier électronique protégés, doivent désormais être expressément inclus dans le règlement.
Objet du nouveau règlement ePrivacy
Le règlement vise à poursuivre l’harmonisation de la législation au sein de l’UE. Les normes juridiques devront notamment être adaptées aux évolutions récentes d’Internet. Globalement, l’UE établira des normes de sécurité plus élevées, même si cela entraîne des restrictions d’utilisation.
Principales modifications
Parmi les principales modifications prévues, il y a notamment la suivante : l’accord explicite deviendra obligatoire. Cela signifie que les entreprises n’auront plus le droit d’envoyer des publicités pour d’autres services à leurs clients. Pour cela, les consommateurs finaux devront donner leur accord au préalable. Sauf dans certains cas exceptionnels, il ne devrait plus non plus être possible d’utiliser des fonctions de traitement et de stockage, telles que les cookies ou le suivi des activités en ligne, sans autorisation. De plus, aucune information ne pourra être collectée par le biais de l’appareil dont l’utilisateur se sert pour aller sur le site Internet. De même, les programmes qui fonctionnent en arrière-plan ne pourront plus utiliser ou stocker les données de localisation.
Étant donné que la plupart des utilisateurs refuse l’utilisation des cookies lorsqu’on leur demande explicitement leur accord, cette mesure aura inévitablement pour conséquence de limiter considérablement l’utilisation marketing en ligne. Toutefois, de nombreuses entreprises (notamment les sites d’informations gratuits) se financent grâce aux publicités ciblées qui apparaissent sur leurs sites. Ce nouveau règlement pourrait donc se révéler très problématique pour ces entreprises.
En outre, un droit à l’oubli devra être accordé aux utilisateurs. Tous les six mois, les utilisateurs du site Internet devraient pouvoir revenir sur leur consentement quant au stockage et au traitement de leurs données et, ainsi, faire supprimer toutes les données déjà stockées. Ce point est également désavantageux pour les entreprises puisque, cela signifierait qu’à l’avenir, elles devraient organiser leurs systèmes de façon à ce que les données puissent être supprimées à tout moment, en particulier lors des sauvegardes.
Les fournisseurs de messagerie électronique et les navigateurs Internet devront concevoir leurs politiques de confidentialité de manière à ce qu’elles garantissent que les tiers ne puissent pas avoir accès aux informations. Cependant, étant donné qu’il est difficile de se protéger des cyberattaques, ce sera compliqué à mettre en œuvre. Les paramètres par défaut du navigateur devront également offrir la meilleure protection possible de la vie privée et les utilisateurs devront pouvoir, dans leurs paramètres, choisir de refuser l’utilisation de tous les cookies de manière générale.
L’un des aspects positifs de ce règlement pour les entreprises est qu’il facilitera le transfert de données vers certains pays hors UE.
En résumé, la Commission européenne tente de protéger l’utilisateur, considéré comme la partie faible, contre les opérateurs de sites web. Néanmoins, le fait que l’utilisateur puisse également bénéficier du stockage de certaines données est moins pris en compte. L’état actuel de la réglementation entraînerait donc, en plus des restrictions majeures pour les opérateurs de sites web et les entreprises, des inconvénients non négligeables pour les utilisateurs.
Toutefois, les modifications mentionnées dans cet article ne sont pour l’instant que des idées et des propositions.
Il n’est pas encore possible de prévoir avec certitude le contenu définitif du règlement, car les difficultés décrites ci-dessus entraîneront de nombreuses demandes de modification, y compris de la part de l’Autriche (2).
Conséquences
La prudence reste de mise : les violations du règlement ePrivacy pourront donner lieu à des amendes très élevées. Il est donc fortement recommandé aux entreprises de penser de manière anticipée à se mettre en conformité avec le règlement.
Au départ, le règlement devait entrer en vigueur le 25 mai 2018, en même temps que le nouveau RGPD. D’ici fin 2018, le Conseil de l’Union européenne prévoit de publier un rapport sur l’état d’avancement. Il est probable qu’aucun projet ne soit publié dans les mois à venir. L’entrée en vigueur n’est donc vraisemblablement pas prévue avant la fin 2019.
(1) Règlement « vie privée et communications électroniques »
(2) Voir (consulté le 05/10/2018)
Pour toute information supplémentaire concernant le réglement ePrivacy,