L'édito de Philippe Bailly

Vous souhaitez recevoir l’Insight NPA ?

e-Privacy : une étude d’impact déplore un faible niveau de protection de la vie privée

[box style=”5″]

Le département thématique des droits des citoyens et des affaires constitutionnelles du Parlement européen a réalisé une évaluation de la proposition du règlement sur la vie privée et les communications électroniques pour la commission des libertés civiles du Parlement, compétente au fond pour cette proposition.

L’étude relève un certain nombre de « faiblesses » dans la proposition, et appelle les députés à accorder une attention particulière à la géolocalisation, aux paramètres par défaut des navigateurs, aux « barrières de traçage » et la confidentialité des communications. Selon l’évaluation, plusieurs dispositions de la proposition offrent une protection moindre que celle qui est garantie par le Règlement général sur la protection des données (RGPD).

La proposition de règlement « règlement e-Privacy » abroge et remplace la directive 2002/58/CE, qui n’était pas applicable aux services de contournement (OTT) et dont le régime de protection des utilisateurs n’était plus adapté, compte tenu des évolutions du secteur des services numériques. Ce règlement vient compléter le RGPD, voté en 2016 et applicable à partir de mai 2018, afin d’adapter le nouveau droit des données personnelles au secteur des communications électroniques.

[/box]

Un encadrement plus strict du traitement des données de communication

L’article 6 de la proposition, qui détaille les conditions dans lesquelles les données de communication, c’est-à-dire le contenu et les métadonnées de communication, peuvent être traitées, fait l’objet d’une analyse détaillée dans l’étude.

La proposition de la Commission pose une interdiction de principe du traitement de ces données, et liste un certain nombre d’exceptions qui en autorisent le traitement pour des finalités de transmission de la communication, de sécurité des services, de qualité légale de service, de facturation ou si l’utilisateur a donné son consentement. L’étude fait valoir que les données de communication, et particulièrement les données de géolocalisation, sont très sensibles, car elles peuvent révéler de nombreuses informations sur la personne comme sa religion, son état de santé etc. Elle propose donc de rajouter, pour ces exceptions (sauf celle sur le consentement), qu’elles ne doivent couvrir les collectes et traitements de ces données que dans la mesure où ceux-ci sont « strictement nécessaires » à l’accomplissement de la finalité en question.

Concernant le consentement, l’évaluation souligne que le consentement sollicité en l’occurrence est celui de « l’utilisateur final ». Ce dernier, observe le département des droits des citoyens, ne représente qu’une des deux ou multiples parties à une communication électronique, et traiter ses données pourra facilement conduire à traiter celles de ses interlocuteurs. Le rapport insiste donc sur la nécessité d’obtenir le consentement de tous les utilisateurs terminaux concernés.

Par ailleurs, l’étude fait valoir que les choix « à prendre ou à laisser » concernant le consentement au traitement de données sont problématiques. Les contrats dans lesquels les utilisateurs n’ont le choix qu’entre un consentement unique à des conditions d’utilisation de services, sans pouvoir limiter la collecte ou le traitement de leurs données, sont décrits par l’étude comme n’offrant pas un consentement « librement donné », et devraient donc être interdits, ou du moins réglementés.

La restriction des possibilités de suivi des utilisateurs

La même observation est faite concernant l’utilisation des données contenues sur le terminal de l’utilisateur, ce qui désigne notamment les cookies. Selon l’étude d’impact, les « barrières de traçage » (tracking walls), qui empêchent l’utilisateur de visiter une page s’il ne consent pas aux conditions d’utilisation de ses données et n’autorise pas les tiers à suivre son activité en ligne à des fins publicitaires, doivent être interdites, au moins partiellement (avec une liste noire de pratiques illicites).

La réglementation de l’utilisation des informations contenues sur les terminaux des utilisateurs est saluée par l’étude comme un moyen d’encadrer le suivi des internautes afin de leur proposer de la publicité personnalisée. En effet, le suivi des personnes à cette fin est décrit comme soulevant de sérieuses inquiétudes quant à la protection de la vie privée.

Selon le texte proposé par la Commission (article 8), les cookies et autres dispositifs similaires sont interdits, à moins que l’utilisateur y ait consenti ou qu’ils soient nécessaires pour effectuer une transmission, pour fournir un service requis par l’utilisateur ou pour effectuer de la mesure d’audience. L’étude conseille de rajouter dans le corps de l’article que les exceptions à l’obligation d’obtenir le consentement « devraient être limitées à des situations qui n’impliquent pas, ou seulement de façon très limitée, d’intrusion dans la vie privée ».

Le rapport reprend ensuite une recommandation du Contrôleur européen de la protection des données (CEPD), qui vise à préciser que « le traitement de données à des fins de fourniture de publicité ciblée ne peut pas être considéré comme nécessaire à la fourniture d’un service ». Enfin, concernant l’exception de mesure d’audience, il est conseillé d’indiquer dans le texte qu’aucun tiers ne doit pouvoir avoir accès aux données acquises à cette fin.

Un paramétrage protecteur par défaut pour les logiciels de navigation

L’article 10 de la proposition de règlement impose aux fournisseurs de logiciels de communication électronique (comme les navigateurs ou les applications de messagerie) d’offrir aux utilisateurs, lors de l’installation du logiciel, la possibilité de le configurer pour empêcher des tiers d’utiliser les données stockées sur leur terminal. Le département des droits des citoyens regrette que la Commission soit revenue sur la rédaction proposée en décembre 2016, qui imposait à ces fournisseurs de paramétrer par défaut ces logiciels de façon à empêcher ces utilisations par des tiers.

Selon l’étude, le fait que l’interdiction de l’utilisation des données stockées sur les terminaux des utilisateurs soit une simple option est contraire aux principes de protection des données dès la conception (Privacy by design) et par défaut (Privacy by default) édictés par le RGPD, qui imposent que les paramètres soient par défaut protecteurs de la vie privée. Elle recommande donc, à l’appui de citations du G29 et du CEPD, de revenir à la rédaction initiale de la proposition.

Les positions défendues dans l’étude d’impact ne font pas l’unanimité. Dans une lettre signée par des « professionnels représentant de nombreux services de la société de l’information », des entreprises et syndicats professionnels comme TF1, l’Udecam, l’ARPP et le Fevad ont fait connaître leur opposition aux articles 8 et 10 de la proposition. Selon eux, le paramétrage initial obligatoire des logiciels de navigation prive les entreprises européennes de « toute interaction avec les utilisateurs finaux et de la connaissance de leurs préférences et de l’exercice de leurs droits ».

De plus, cela donnerait aux éditeurs de logiciels de navigation, dont les trois principaux sont Google (Chrome), Apple (Safari) et Microsoft (Internet Explorer, Edge), une position très favorable, les autorisant à utiliser des cookies là où les autres services ne le peuvent pas. La proposition nuirait ainsi à la compétitivité des entreprises européennes sans  renforcer la vie privée des citoyens européens.

Toutefois, le projet de rapport de la commission des libertés civiles du Parlement européen, saisie au fond sur le dossier, tend à suivre les recommandations de l’étude d’impact. D’autres commissions saisies pour avis (IMCO, JURI et ITRE) se montrent, elles, plus attentives aux revendications des professionnels.

Vous êtes abonnés à l’Insight NPA ? Merci de renseigner vos identifiants pour accéder à l’ensemble de cet article.

Pas encore inscrit à l'Insight NPA ?