La Proposition de règlement ePrivacy

Une réunion coprésidée par Maître Corinne Thiérache, Avocat Associé, Cabinet Alerior Et Maître Etienne Drouard, Avocat Associé, Cabinet K&L Gates 

 

Point introductif 

 

La Proposition de règlement ePrivacy concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques a été présentée par la Commission européenne le 10 janvier dernier. Les différences sont notables, entre la version officielle et celle fuitée le 12 décembre 2016. La Proposition de règlement ePrivacy (lex specialis) vient compléter les dispositions générales du Règlement général sur la protection des données (RGPD). Elle sinscrit dans un calendrier très serré, réglé sur celui du Règlement européen sur la protection des données. Les deux textes devront entrer en application le 25 mai 2018. Les ambitions de la Commission européenne sont claires, mais il nest pas certain quelle parvienne à faire adopter le texte dans ce délai

 

La Proposition de règlement ePrivacy : quelles révolutions ?

 

I Le champ dapplication matériel (article 2)

 

La Proposition de règlement ePrivacy devrait abroger la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électronique (2002/58/CE) actuellement en vigueur. Elle va englober lensemble de la structure dInternet et sappliquera aux fournisseurs de services de communications électroniques (y compris OTT comme Skype ou WhatsApp), dannuaires accessibles aux publics, de logiciels permettant des communications électroniques. Elle concerne également le traitement des métadonnées, la promotion et la prospection commerciale par les communications électroniques, ainsi que le recueil des informations sur les équipements terminaux. Son champ dapplication est large et ses dispositions sensibles. Il est donc nécessaire de sintéresser de près aux discussions en cours.

 

I Le champ d’application territorial (article 3) 

 

Il concerne la fourniture de services de communications électroniques aux utilisateurs finaux en France et plus largement dans lUnion Européenne. Lorsque le fournisseur dun service de communications électroniques nest pas établi dans lUE, il doit désigner un représentant dans lUE. Les grandes plateformes internationales comme Google, Amazon, Facebook ou Apple sont donc concernées

 

I Dispositions relatives aux cookies (articles 8, 9 et 10)

 

Le projet de règlement reprend des dispositions bien connues. Il distingue les cookies first et third party et prévoit que le recueil du consentement préalable nest pas requis pour les cookies non intrusifs pour la vie privée, comme les cookies de session. Tous les cookies tiers sont soumis au même gime, sans considération de lidentité de lémetteur. Le régime des cookies de mesure daudience est aménagé : le consentement préalable nest pas requis « à condition que ce mesurage soit effectué par le fournisseur du service de la société de linformation demandé par lutilisateur final » (article 8)

A date lorsquil sagit du recueil préalable du consentement à la dépose des cookies, la CNIL admet que « lacceptation de linternaute peut sexprimer en déroulant la page visitée » (scroll). Mais cette doctrine pourrait être amenée à évoluer avec la réglementation à venir

Les autorités communautaires estiment que les bandeaux dinformation déployés aujourdhui sur tous les sites nont pas permis datteindre lobjectif dinformer clairement lutilisateur. Par conséquent, elles souhaitent que léditeur du site aménage la possibilité dun paramétrage des options de confidentialité via le navigateur. Dans la version préparatoire de la Proposition de règlement ePrivacy, le navigateur était paramétré par défaut pour bloquer les cookies. Cette rédaction qui aurait eu pour conséquence de servir aux utilisateurs une publicité non ciblée aurait engendré un impact considérable sur les revenus publicitaires des éditeurs, et plus largement pour tous les professionnels représentant de nombreux services de la sociéde linformation : fournisseurs de contenus et de services en ligne, commerçants électroniques, régies publicitaires, agences des communications, réseaux publicitaires, fournisseurs de données, etc

La nouvelle rédaction présentée le 10 janvier est plus souple et recommande un système dopt in. Les alinéas 2 et 3 de larticle 10 prévoient que logiciel de navigation informe lutilisateur final des paramètres de confidentialité disponibles et, avant de continuer linstallation, lui impose den accepter un. Dans le cas dun logiciel déjà installé à la date du 25 mai 2018, les exigences visées à larticle 10, alinéas 1 et 2 seront remplies au moment de la première mise à jour du logiciel, mais au plus tard le 25 août 2018. Les éditeurs de logiciels de navigation devront donc programmer une mise à jour s ladoption de la Proposition de règlement ePrivacy

Par ailleurs, lutilisateur qui a donson consentement peut le retirer à tout moment, et cette possibilité doit lui être rappelée tous les 6 mois (alinéa 3 de larticle 9)

La Proposition de règlement ePrivacy: comment sy préparer ? I Focus sur les projets darticles 8, 9 et 10 Le projet darticle 8 traite de la protection des informations stockées dans les équipements terminaux des utilisateurs finaux ou liées à ces équipements. La condition du recueil du consentement doit être remplie dès lors que lutilisation des capacités de traitement et de stockage des terminaux des utilisateurs et la collecte dinformations provenant de ces terminaux ne sont pas nécessaires au fonctionnement du service

Le projet darticle 9 traite des modalités dexpression du consentement des personnes, lorsque celui ci est exigé en application de larticle 8, 51. Le renvoi à des paramètres techniques du logiciel de navigation nest pas impératif, mais aucune alternative nest évoquée

Le projet darticle 10 vise à imposer une nouvelle obligation dinformation sur les paramètres de confidentialité des navigateurs ainsi que des nouvelles options de leur configuration. Plus concrètement, à un choix individuel, cookie par cookie, selon un contexte, laccès à un service déterminé, selon sa finalité et son émetteur (responsable), le projet darticle 10 de la Proposition de Règlement ePrivacy substituerait un choix global visant à accepter ou rejeter des cookies selon leur origine, lors de linstallation dun nouveau logiciel de navigation ou dune nouvelle version. A date, ce paramétrage nécessite une action de linternaute, postérieurement à linstallation du navigateur sur son terminal. Mais avec la mise en place du projet de Règlement ePrivacy au 25 mai 2018, linternaute devra effectuer un choix dès linstallation du logiciel de navigation sur son terminal et exprimer une position non informée quant aux cookies à finalité publicitaire ou commerciale avant même davoir pu effectivement naviguer sur le web

Alors que le Règlement général sur la protection des données (RGPD) prévoit que linformation des personnes doit intervenir préalablement à lexercice dun choix éclairé, la Proposition de règlement e Privacy inverse la chronologie de linformation et du choix et viole directement le RGPD. En effet, l’inversion de lobligation dinformation complète des personnes (article 8), qui interviendrait en pratique après lexpression dun consentement ou dun refus (article 10), contredit profondément les objectifs, les principes et les règles du RGPD. En imposant à lutilisateur final deffectuer un choix à laveugle dès l’installation dun nouveau logiciel de navigation, le projet darticle 10 vient décorréler le choix de linternaute et linformation quil est en droit de recevoir afin dêtre en mesure deffectuer un choix éclairé

Contrairement à la version de travail qui a fuité le 12 décembre 2016, le texte officiellement proposé le 10 janvier 2017 introduit la configuration du logiciel de navigation comme une possibilité, une simple faculté, alors que la version de travail limposait comme une obligation. Par ailleurs, il exige le consentement ou le refus de lutilisateur final, alors que la version de travail restait muette sur ce point

Par ailleurs en létat actuel, la Proposition de Règlement ePrivacy ne permet pas aux personnes de modifier leur choix quant aux cookies en fonction du site visité, et ne permet pas aux sites de refléter de telles modifications. Concrètement, léditeur qui aura réussi à convaincre lutilisateur de basculer du refus vers lacceptation des cookies tiers (publicitaires, analytics...) ne pourra pas faire en sorte que le logiciel de navigation prenne automatiquement en compte ce refus converti en acceptation. Or, si le logiciel de navigation ne prévoit pas linscription de cette information, léditeur se trouvera dans limpossibilité de déposer un cookie qui indique que lutilisateur accepte le dépôt des cookies tiers. En effet, ce cookie sera automatiquement rejeté par le navigateur de lutilisateur final qui aura exprimé lors du paramétrage le choix global de naccepter aucun cookie tiers. En outre, même si le cookie permettant de manifester le changement de choix de linternaute est un cookie first, le navigateur  nacceptera par la suite aucun cookie tiers du fait de son paramétrage. Pour résoudre cette difficulté, deux solutions sont envisageables

La première solution serait de demander à lutilisateur final de prendre linitiative de modifier luimême les paramètres de son navigateur. La seconde solution serait donc douvrir la faculté pour le site web dinteragir avec le navigateur afin de modifier les paramètres finis par linternaute. Il sagirait donc dautomatiser ce dialogue, une solution qui permettrait aux personnes dexprimer un choix éclairé, spécifique, ponctuel et contextualisé quant à lutilisation des cookies. Ce point est ignoré par le Proposition de Règlement e Privacy. Il ne sagit pas de favoriser les navigateurs comme une solution de choix pour lexpression du consentement mais il est nécessaire dinfléchir cette réalité et de permettre un dialogue oui/non entre l’utilisateur et le site

A ce jour il nexiste aucun moyen technique adopté par lInternet Engineering Task Force (IETF) permettant de modifier les paramètres dun navigateur à loccasion de linteraction dun utilisateur avec un site web donné. Pour information, IIETF est lorganisation chargée de définir les règles mondiales qui président aujourdhui au paramétrage des logiciels de navigation sur Internet et de fonctionnement des cookies. Cest notamment lIETF qui détermine les composantes de la phrase dinformation sur les cookies présentée par les logiciels de navigation. Cette phrase ne donne aucune précision sur lémetteur des cookies ou sur les finalités de traitement

Larticle 10 de la Proposition de Règlement ePrivacy introduit un cahier des charges qui va obliger les éditeurs de logiciels de navigation à modifier les règles actuelles de paramétrage de leurs logiciels et de fonctionnement des cookies. Ce nest quune fois que les règles inscrites au sein de la Proposition de Règlement ePrivacy auront été intégrées aux règles et standards fixés par lIETF que les éditeurs de logiciels de navigation seront en mesure de mettre en pratique ce nouveau mécanisme décrit à larticle 10. Toutefois, aucune contrainte noblige lIETF à améliorer la phrase dinformation sur les cookies présentée par les logiciels de navigation. Le projet Platform for Privacy Preferences (P3P) du Consortium W3C initié en 2002 avait déjà permis de lancer une réflexion sur la possibilité pour un site et un navigateur de communiquer et dautomatiser le dialogue entre un site web et lutilisateur. Les logiciels de navigation sont donc dores et déjà adaptés pour cette automatisation, avec la conviction que le dialogue avec le site web permettra dinscrire le choix de l’utilisateur

Il est regrettable quen lieu et place de demander aux éditeurs logiciels de navigation de remédier à linsuffisance de la phrase dinformation sur les cookies, les autorités communautaires aient choisi de reporter cette exigence au niveau de léditeur du site Internet, par le biais de la mise en place au cours de ces dernières années des bannières dinformation. Ce raisonnement pose encore plus problème dans le régime envisagé ou le choix de lutilisateur final précède son information

Par ailleurs, le choix dun raisonnement selon la source des cookies (first ou third party), et non selon leurs finalités est contestable. En effet, des cookies « first party >> peuvent très bien servir des finalités publicitaires ou commerciales et des cookies 4 third party » peuvent savérer nécessaires pour des finalités de mesure daudience ou pour accéder à un service demandé par lutilisateur final (authentification ou paiement opéré par un tiers, etc.). Par ailleurs, cette distinction profiterait aux services de grands acteurs américains car le fait de restreindre la question posée aux internautes à un critère lié aux cookies tiers favoriserait nécessairement les acteurs qui déposent des cookies indispensables à la fourniture dun service en ligne et qui ont à cet égard une relation directe avec un internaute. Cela sopèrera au détriment de lensemble des acteurs qui déposent des cookies nonindispensables à la fourniture dun service en ligne, car ne dépendant pas dune relation directe avec un internaute. Pour information, YouTube a récemment annoncé la fin des cookies tiers sur sa plateforme

Cette même distinction selon la source des cookies est également dépourvue de sens sagissant des cookies « tiers >> de mesure daudience, et met en péril lenjeu économique et concurrentiel dune mesure fiable. Il est donc fort possible que les arguments soulignant les lacunes de ce raisonnement soient entendus et permettent de mettre fin à cette distinction injustifiée

La Proposition de règlement ePrivacy a également des conséquences sur les revenus générés par la publicité personnalisée dont limportance est capitale dans le financement des médias en ligne. Son impact économique est sensiblement équivalent à celui du marché de la publicité digitale. Il est dautant plus lourd quil nest pas de service de communication électronique financé en tout ou partie par la publicité qui ne doive désormais recourir à des mécanismes denchères et dinsertions programmatiques reposant sur des cookies tiers et permettant dafficher moins de publicités, des publicités plus pertinentes et moins répétitives

Tous ces éléments découlant de lanalyse juridique de la Proposition de réglement e Privacy (incohérence du texte, impact économique) tendent à conforter la nécessité doeuvrer en faveur dun amendement du texte. Aucune disposition noblige impérativement à faire entrer le texte au 25 mai 2018, en même temps que le RGPD

Léchelle des sanctions prévues en cas de nonrespect des dispositions de la Proposition de règlement ePrivacy est celle du Règlement européen sur la protection des données (jusquà 20 millions deuros ou 4% du chiffre daffaires annuel mondial dune entreprise)

Un dernier enjeu réside dans la stratégie déployée par les autorités communautaires

en posant ces règles sans exiger des éditeurs de logiciels de navigation une amélioration notamment en ouvrant la porte du dialogue entre le site et lutilisateur, IUE place la protection de linternaute européen entre les mains dacteurs américains

 

I Question du « cookies wall >

 

La Proposition de règlement e Privacy ne traite pas des cookies wall, une pratique consistant à interdire laccès au contenu ou au service en échange de lobtention du consentement au traitement des données personnelles de lutilisateur. Mais il ne faudrait pas tirer de ce silence la possibilité dimposer un cookies wall aux utilisateurs car le RGPD qui entrera en application le 25 mai 2018 exige un consentement libre, explicite, informé et discrétionnaire. Ces critères interdisent donc de conditionner laccès à un service au consentement des personnes. Par ailleurs, largument consistant à vouloir imposer un cookies wall, une forme de « péage », est inaudible dun point de vue politique

 

I Le traitement des métadonnées 

 

La directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électronique actuellement en vigueur établit une distinction entre les 

données de localisation >> et les « données de trafic » qui ne peuvent être utilisées, une fois le consentement de lutilisateur recueilli, quà des fins marketing (données de trafic) ou afin de fournir des services à valeur ajoutée (données de localisation). Les données de trafic sont définies dans la directive comme les données générées à loccasion de létablissement dune communication électronique et dun parcours 

ladresse IP ladresse MAC, la date et lheure de la connectivité détectée, le système dexploitation du terminal et sa version, le logiciel de navigation et sa version, la langue du système dexploitation et la résolution décran du terminal etc.). Une partie de ces données sert aussi à des fins de facturation. La Proposition de règlement e Privacy nintroduit pas de grandes différences par rapport au régime de la directive de 2002. Elle met fin à la distinction entre données de localisation et de trafic et les regroupe sous la qualification de métadonnées. Elles ne peuvent être conservées au delà de létablissement dune communication électronique, sous réserve de lobligation de conserver des données de trafic pour fournir des réponses en cas de réquisition administrative ou judiciaire. En dehors cette finalité, il est impossible den faire un usage commercial sauf à recueillir le consentement explicite, discrétionnaire et libre des personnes. Cette règle sapplique aussi aux données de localisation, avec cette exigence que les personnes qui ont consenti à la localisation de leur terminal doivent renouveler ce consentement tous les six mois. A travers les cookies il sagit de traiter une technologie ou une fonctionnalité permettant daller lire une information dune part, et à travers les données de navigation il sagit de traiter de ce que génère la navigation comme information dinteraction, de clics, de visites etc. dautre part. Ces pratiques sont toutes deux soumises au consentement, elles se cumulent. Traiter une adresse IP à des fins autres que lacheminement dune communication est soumis au consentement, et associer cette adresse IP à un cookie qui permet davoir un calcul du nombre de visiteurs uniques par exemple est soumis à un autre consentement qui est celui requis pour les cookies. Avant la proposition de règlement ePrivacy, lusage commercial des données de localisation ne faisait pas lobjet dun accord ponctuel spécifique, libre et décorrélé du contrat dans la culture Opérateur Télécoms. Il va donc falloir être vigilant sur les durées de conservation des logs et envisager un parcours utilisateur lon parle des données de connexion en essayant dobtenir un consentement

 

Les prochaines grandes étapes auxquelles les éditeurs doivent se préparer 

 

La Proposition de règlement ePrivacy pourrait être rapidement stabilisée pour, une adoption dès septembre 2017. Par conséquent, les éditeurs sont encouragés à sensibiliser en interne leurs équipes aux changements que ce texte apportera, et à se mobiliser pour arriver à faire modifier le texte. La loi 7817 du 6 janvier 1978  relative à linformatique, aux fichiers et aux libertés devra également être modifiée prochainement pour que la réglementation française puisse être en ordre de marche dès le 25 mai 2018. Plusieurs dispositions devront également être précisées dans le RGPD (privacy impact assessment, profiling etc.)

Norme simplifiée NS048. Les éditeurs doivent également se préparer à lentrée en application en septembre prochain de la norme simplifiée NS048. Pour rappel, la CNIL a publié le 21/07 dernier une nouvelle norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects. La première version datait de 1992. Plusieurs évolutions ont été introduites dans cette nouvelle version : la CNIL consacre la théorie dun consentement préalable au dépôt dun cookie, les durées de conservation sont moins favorables mais plus claires. La CNIL durcit le régime de la NS048. L’éditeur qui ne veut pas recourir à cette norme peut désigner un Correspondant Informatique et Libertés (CIL), en prévision de lentrée en vigueur du nouveau règlement européen

Moratoire sur le recueil préalable du consentement à la pose des cookies publicitaires. Pour rappel en mars 2016, la CNIL a pris en compte les difficultés dapplication de sa recommandation de 2013 sur les cookies, et a donc concédé un moratoire aux mises en demeure des éditeurs non encore en conformité sagissant des cookies publicitaires. Ce moratoire doit en principe prendre fin en septembre. La qualification de responsable de traitement et de soustraitant seffectue au cas par cas, par type et provenance de cookies. La CNIL estime que, dans tous les cas, les éditeurs de sites dont la visite déclenche le dépôt des cookies sont les seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes. En pratique, quils soient responsable de traitement ou soustraitant il leur appartient donc de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour sy opposer. Linstallation dun système de tag manager est donc utile, et le GESTE invite ses membres à sinscrire à la réunion technique sur les outils de Tag management et le consentement préalable aux cookies. Cette réunion aura lieu mardi 25 avril à 14h.