Les instances européennes chargées de la protection de la vie privée publient un avis au sujet du règlement ePrivacy

Les instances européennes chargées de la protection de la vie privée, réunies au sein du dénommé Groupe de travail Article 29, saluent la proposition de la Commission européenne d'élaborer un nouveau règlement ePrivacy. Elles sont favorables au choix d'un règlement, qui permet d'appliquer les mêmes règles dans toute l'UE et d'apporter la clarté, tant pour les organisations que pour les instances de contrôle. Les instances de contrôle saluent l'extension du règlement aux fournisseurs "Over-The-Top" (OTT) ainsi que le choix de principe de larges interdictions et d'exceptions limitées. Elles ont toutefois aussi identifié 4 préoccupations dans un avis qu'elles ont approuvé la semaine passée lors de leur réunion.

Les instances de protection de la vie privée ont d'importantes préoccupations au sujet de 4 dispositions de la proposition qui portent atteinte au niveau de protection des données à caractère personnel, tel que défini dans le Règlement général sur la protection des données (RGPD) qui a déjà été adopté et sera d'application à partir du 25 mai 2018. Les instances de contrôle appellent le législateur européen à adapter la proposition de règlement ePrivacy sur ces points.

Wifi-tracking

Les instances de protection de la vie privée soulignent que les dispositions du règlement ePrivacy concernant le traçage des personnes via leur appareil mobile doivent concorder avec le RGPD. En vertu du RGPD, ce mode de traçage n'est autorisé que si les personnes donnent leur consentement ou si les données sont anonymisées. Pour pouvoir y recourir, les parties doivent répondre aux 4 conditions suivantes : (i) les données sont collectées uniquement à des fins statistiques, (ii) le traçage doit être limité dans le temps et dans l'espace aux données strictement nécessaires à cette finalité, (iii) les données sont supprimées ou anonymisées directement et (iv) il existe des possibilités d'opt-out effectives.

Le règlement ePrivacy qui est proposé donne toutefois l'impression que des organisations peuvent collecter des données d'appareils mobiles pour suivre la localisation des personnes, par exemple via traçage wifi ou bluetooth, sans le consentement des personnes concernées. Il pourrait suffire que les organisations collectant ces données informent les personnes et leur indiquent que si elles ne souhaitent pas être tracées, elles peuvent éteindre leur appareil. Les instances de contrôle demandent à la Commission européenne de privilégier le développement d'une norme technique pour appareils mobiles permettant aux personnes d'indiquer automatiquement qu'elles ne veulent pas être tracées de cette manière.

Analyse du contenu et des métadonnées

Tant le contenu des communications que les métadonnées (données de trafic et de localisation) sont des données à caractère sensible et requièrent le même niveau de protection élevé. Le point de départ du règlement ePrivacy devrait être l'interdiction de traitement tant des métadonnées que du contenu de messages en l'absence du consentement de tous les utilisateurs (expéditeurs et destinataires). Les fournisseurs devraient pouvoir proposer des services que l'utilisateur demande explicitement, comme des fonctionnalités de recherche dans sa propre boîte mail et des services qui convertissent du texte en parole. Une exception devrait être reprise dans le règlement pour le traitement du contenu et des métadonnées à de telles fins personnelles.

Accès subordonné à l’acceptation de cookies

Le règlement ePrivacy devrait interdire les accès subordonnés à l’acceptation de cookies comme moyen d'obtenir le consentement des utilisateurs. Il s'agit de choix "à prendre ou à laisser" qui contraignent les utilisateurs à donner leur consentement pour être tracés s'ils veulent accéder à un service déterminé.

Privacy by default

Les appareils et logiciels devraient contenir des paramètres par défaut qui respectent la vie privée. Lors de l'installation, ils doivent offrir des possibilités de choix clairs pour confirmer ou modifier ces paramètres. Les possibilités de paramétrage doivent être facilement accessibles lors de l'utilisation. Dans le RGPD, on a délibérément opté pour l'introduction des principes de ‘privacy by design’ (protection des données dès la conception) et de ‘privacy by default’ (protection des données par défaut).

La proposition de règlement ePrivacy ébranle ces principes lorsqu'il s'agit des données de communication et du traitement de données d'appareils. Les utilisateurs devraient avoir l'occasion de donner un consentement spécifique via les paramètres de leur navigateur. Les préférences en matière de vie privée des utilisateurs ne doivent pas être limitées aux tierces parties, pas plus qu'aux cookies. Les instances de protection de la vie privée recommandent vivement d'imposer légalement la norme "Do Not Track" ou des normes techniques similaires. Le Groupe de travail Article 29 préconise également l’introduction d’un mécanisme de certification portant sur le respect du Règlement ePrivacy, permettant de certifier des traitements, des produits et des standards.