Réglementation de la vie privée en ligne : qu'est-ce qui vous attend ?

8 Min.
Réglementation sur la vie privée en ligne : ça vient vers vous
Dernière mise à jour le

Bien que le "règlement sur la vie privée et les communications électroniques" (règlement sur la vie privée en ligne) ne devrait être adopté que plus tard en 2020, il fait déjà de l'ombre. Dans cet article, j'aimerais vous donner un aperçu de ce qu'est le règlement sur la vie privée en ligne, de la situation juridique actuelle en matière d'utilisation des outils de suivi et de la manière dont elle pourrait changer dans le cadre de l'OAVE. Pour terminer, j'expliquerai brièvement pourquoi le nouveau règlement est important à mes yeux. Mais ne paniquez pas : Tout comme, contrairement à toutes les prédictions, le monde est traité avec RGPD le 25.05.2018, cela n'est pas non plus à prévoir pour la validité du règlement sur la vie privée en ligne.

I. Le règlement relatif à la protection de la vie privée dans le secteur des communications électroniques

1. Qu'est-ce que le règlement sur la vie privée en ligne ?

Le règlement relatif à la protection de la vie privée dans le secteur des communications électroniques (EPVO) est un règlement actuellement en discussion au niveau européen. Projet de règlement de la Commission européennequi remplace la directive sur la vie privée et les communications électroniques en vigueur depuis 2002 (Directive 2002/58/CEmodifiée en dernier lieu par Directive 2009/136/CEdirective "vie privée et communications électroniques") et les adapter à l'état actuel de la technique (par exemple, les services dits "over-the-top", c'est-à-dire les services de communication basés sur IP, ne sont actuellement pas couverts par la directive "vie privée et communications électroniques").

En tant que règlement européen, l'OAVP sera directement et immédiatement applicable dans toute l'Union européenne. Contrairement à la directive "vie privée et communications électroniques", elle ne dépendra pas de la mise en œuvre en droit national par les différents États membres. Cette transposition de la directive "vie privée et communications électroniques" en droit national n'a d'ailleurs jamais eu lieu en Allemagne en ce qui concerne la partie de la protection des données relative aux opérateurs de sites web.

2. Quel est l'objectif du règlement sur la vie privée en ligne ?

Le règlement sur la vie privée en ligne vise à protéger la confidentialité des communications ainsi que la confidentialité et l'intégrité des équipements terminaux des utilisateurs.

En termes simples, les utilisateurs devraient être protégés contre l'espionnage à leur insu lorsqu'ils visitent un site web ou utilisent un service de courrier électronique ou de messagerie.

Contrairement au RGPD, non seulement les personnes physiques (personnes) mais aussi les personnes morales (sociétés et associations) sont protégées. Le règlement relatif à la vie privée dans le secteur des communications électroniques clarifie et complète les dispositions RGPDrelatives aux données de communication électronique, qui sont des données à caractère personnel.

3. Que réglemente le règlement relatif à la vie privée en ligne ?

L'ordonnance sur la vie privée en ligne ne réglemente pas seulement la communication via la téléphonie vocale (classique), les messages textuels (SMS) et le courrier électronique, mais aussi la communication via la téléphonie VoIP, les services de messagerie et les services de courrier électronique basés sur le web. Elle s'applique également à la communication de machine à machine, de plus en plus importante (mot-clé "Internet des objets").

L'OAVP accorde une attention particulière à la manière dont les informations sont stockées ou envoyées, demandées ou traitées par l'équipement terminal des utilisateurs (par exemple, les PC et les smartphones). En effet, les données personnelles sensibles (par exemple, les courriers électroniques et les messages, les photos, les données de contact et de localisation) sont pratiquement toujours stockées sur ces dispositifs finaux. Par conséquent, les utilisateurs finaux devraient être protégés contre l'utilisation d'outils de suivi pour surveiller secrètement leurs activités à leur insu (par exemple, les cookies, les empreintes digitales des navigateurs et les technologies similaires pour suivre le comportement des utilisateurs).

4. Quand le règlement relatif à la vie privée en ligne entrera-t-il en vigueur ?

Il était initialement prévu que le règlement relatif à la vie privée dans le secteur des communications électroniques entre en vigueur en même temps que le RGPDrèglement. Ainsi, la Commission européenne avait déjà publié son projet d'OAVE au début du mois de janvier 2017. Toutefois, comme le Parlement européen et le Conseil de l'Union européenne doivent également être impliqués dans le processus législatif, de nombreuses dispositions du règlement relatif à la vie privée en ligne font encore l'objet de discussions politiques. En raison de la complexité de la procédure législative, il n'est pas prévu que le règlement sur la vie privée en ligne entre en vigueur avant la fin de 2019. En outre, il y aura probablement une période de transition similaire à celle du règlement RGPDactuel jusqu'à l'entrée en vigueur effective du règlement sur la vie privée dans le secteur des communications électroniques.

Boîtes aux lettres électroniques RAIDBOXES

II. Situation juridique de l'utilisation des outils de suivi

1. Que sont les outils de suivi ?

Des outils de suivi sont utilisés pour suivre le comportement des internautes : Quelle est la fréquence de visite d'un site web par un utilisateur spécifique ou d'un service de messagerie (si le comportement d'un utilisateur spécifique est "analysé", il ne s'agit plus d'un simple outil d'analyse et de statistiques, mais d'un outil de suivi) ? Quel est le contenu des messages envoyés ? Quels sont les articles recherchés et commandés dans une boutique en ligne ? À quels comptes de médias sociaux êtes-vous connecté ? Un article lié est-il cliqué et acheté (marketing d'affiliation) ?

Les données ne sont pas seulement collectées lors de la visite du site ou de l'utilisation du service, mais souvent pendant une longue période. En effet, les cookies, les pixels de comptage, etc. définis sur le terminal ne sont généralement pas supprimés lorsque le service est interrompu. Ils restent souvent sur l'appareil de l'utilisateur pendant plusieurs mois et continuent à envoyer des données sans que l'utilisateur en soit conscient.

Dans de nombreux cas, les données ainsi collectées sont non seulement recueillies et traitées par le prestataire de services lui-même, mais souvent aussi transmises à des tiers.

La conséquence est qu'un grand nombre de profils d'utilisateurs sont créés sans que l'utilisateur en soit conscient.

2. Où l'utilisation des outils de suivi est-elle actuellement réglementée ?

Remarque préliminaire : cette partie est nécessairement formulée de manière quelque peu juridique. Si ces subtilités ne vous intéressent pas, vous pouvez également poursuivre votre lecture à la page 3.

En Europe, les exigences relatives aux services d'information et de communication électroniques sont définies dans Loi sur les télémédias (TMG) réglementée. La loi sur les télémédias est entrée en vigueur en 2007 et a été modifiée pour la dernière fois en septembre 2017. Toutefois, la directive "vie privée et communications électroniques", qui a été modifiée en 2009 et qui régit dans son article 5, paragraphe 3, le stockage et l'accès aux informations stockées dans l'équipement terminal de l'utilisateur, n'a pas été formellement transposée en droit. En effet, le gouvernement fédéral n'a pas jugé nécessaire de le faire sur la base des dispositions déjà contenues dans l'article 15 (3) TMG. Les dispositions relatives à la protection des données de la loi sur les télémédias (article 4 ; articles 11 et suivants TMG), qui régissent les obligations des prestataires de services, n'ont pas non plus été adaptées au RGPD.

En conséquence, la règle de conflit de l'article 95RGPD, qui régit la relation entre la directive "vie privée RGPDet communications électroniques" et la directive, n'est pas applicable. Comme l'application directe de la directive "vie privée et communications électroniques" est également hors de question (les directives européennes, contrairement aux règlements européens, ne sont pas directement et immédiatement applicables), la Primauté de l'application de la RGPD.

Cela signifie que, depuis l'entrée en vigueur de la loi sur les RGPDtélémédias, c'est-à-dire depuis le 25 mai 2018, la base juridique du traitement des données à caractère personnel par les prestataires de services est exclusivement l'article 6, paragraphe 1 RGPD; les dispositions correspondantes de la loi sur les télémédias ne sont plus applicables.

Cela ne changera probablement pas avant l'entrée en vigueur du règlement sur la vie privée en ligne : Dans l'état actuel des choses, les dispositions de l'OAVE RGPDprimeront sur les dispositions correspondantes du règlement, à condition qu'elles poursuivent le même objectif.

3. Quelle est la situation juridique actuelle concernant l'utilisation des outils de suivi ?

La base juridique actuelle pour l'utilisation des outils de suivi est l'article 6, paragraphe 1RGPD. Cela signifie que les outils de suivi ne peuvent normalement être utilisés que si

  • le traitement aux fins de conservation les intérêts légitimes le responsable du traitement ou un tiers, sauf s'il est porté atteinte aux intérêts ou aux libertés et droits fondamentaux de la personne concernée qui nécessitent la protection de données à caractère personnel, notamment lorsque la personne concernée est un enfant (article 6, paragraphe 1, premier alinéa, point fRGPD))

ou

  • la personne concernée doit donner son Consentement au traitement des données à caractère personnel le concernant pour une ou plusieurs finalités déterminées (article 6, paragraphe 1, premier alinéa, point aRGPD)).

>> Détails des intérêts légitimes du prestataire de services

Lorsqu'un prestataire de services des intérêts légitimes prédominants pour l'utilisation des outils de suivi, aucun consentement de l'utilisateur n'est requis.

Sur un site web, par exemple, une case à cocher serait alors superflue. L'exploitant du site web n'aurait qu'à informer sur les outils de suivi utilisés dans la politique de confidentialité.

Les intérêts légitimes du prestataire de services peuvent être réels, économiques et non matériels.

Souvent, bien sûr, ce sera les intérêts commerciaux commerce. Celles-ci peuvent, par exemple, consister à stocker le panier d'achat du client dans une boutique en ligne ou à intégrer des polices de caractères web, des services de cartes et des médiasPlugins sociaux sur un site web. Mais l'analyse du web et les outils statistiques sur les visiteurs du site ou l'utilisation de traqueurs publicitaires doivent également être considérés comme des intérêts légitimes.

Si le traitement des données respectives est nécessaire pour sauvegarder ces intérêts légitimes, ceux-ci doivent être mis en balance avec les intérêts ou les droits et libertés fondamentaux de l'utilisateur. Il s'agit notamment de la protection contre les désavantages économiques, du droit au respect de la vie privée et des communications conformément à l'article 7 de la Charte des droits fondamentaux de l'Union européenne (CRCh)le droit fondamental à la protection des données conformément à l'article 8 de la GRCh et le droit à l'autodétermination en matière d'information.

Lors de la mise en balance des intérêts respectifs, les effets du traitement des données prévu et sa susceptibilité à une utilisation abusive sont particulièrement importants. Parmi les autres facteurs à prendre en compte, on peut citer les attentes raisonnables de l'utilisateur à l'égard du service et s'il peut raisonnablement prévoir que le traitement de données prévu peut avoir lieu.

Il est parfois difficile de décider si les intérêts légitimes du prestataire de services (ou d'un tiers) ou les intérêts de l'utilisateur l'emportent sur les intérêts légitimes de l'utilisateur dans des cas individuels.

Il convient de noter que le prestataire de services doit démontrer que ses intérêts légitimes prévalent. Si cette preuve n'est pas retenue en cas de litige, la collecte de données était illégale et le prestataire de services doit s'attendre à une amende.

La mise en balance des intérêts devrait donc relever de la compétence des autorités de contrôle traçable être et bien documenté sera.

FREE DEV Programme RAIDBOXES

>> Détails du consentement de l'utilisateur

Si le prestataire de services ne peut pas fonder l'intégration d'un outil de suivi sur un intérêt légitime, le consentement de l'utilisateur est obligatoire.

Les conditions du consentement effectif sont RGPDrégies par l'article 7. C'est le cas :

  • Une forme compréhensible ;
  • un langage clair et simple ;
  • Distinction par rapport à d'autres situations ;
  • une notification préalable du droit de rétractation à tout moment ;
  • le respect de l'interdiction de la vente liée (c'est-à-dire qu'un service ne doit pas être subordonné à l'octroi d'un consentement au traitement de données à caractère personnel sans rapport avec le service).

Le consentement peut également être donné de manière implicite, c'est-à-dire par une action concluante. Toutefois, un consentement explicite est toujours requis lorsque des catégories particulières de données à caractère personnel sont traitées (voir l'article 9, paragraphe 2, point aRGPD)).

Il convient également de noter que le consentement peut être révoqué à tout moment. Par conséquent, le traitement des données doit cesser à partir du moment où la personne concernée a retiré son consentement.

À l'heure actuelle, le consentement pour l'utilisation de cookies et de technologies similaires sur les sites web est généralement obtenu au moyen d'une "case à cocher", que l'utilisateur doit cocher activement (opt-in).

Si les cookies ne sont pas seulement nécessaires d'un point de vue technique, une indication succincte est donnée dans une "bannière de cookie", qui n'est ensuite confirmée qu'en cliquant sur un bouton "OK", insatisfaisante.

En tout état de cause, les utilisateurs doivent être informés dans la politique de confidentialité des outils de suivi utilisés.

4. Quelle est la situation juridique probable pour l'utilisation des outils de suivi ?

La Commission européenne a publié le Projet de règlement sur la vie privée en ligne est actuellement encore en discussion politique. Il a reçu des commentaires, entre autres, de Comité européen de la protection des données et le Contrôleur européen de la protection des donnéesles amendements du Parlement européen et les documents de travail du Conseil de l'Union européenne.

La formulation exacte du règlement sur la vie privée en ligne est donc ouverte.

Toutefois, au vu des "scandales de données" qui ont éclaté récemment, les défenseurs de la protection des données, en particulier, font de plus en plus campagne pour que l'OAVP ne soit pas en deçà du niveau de protection actuel prévu par la directive "vie privée et communications électroniques" et la RGPDdirective "vie privée et communications électroniques".

Le Comité européen de la protection des données a dans un document daté de mai 2018 a estimé que la confidentialité des communications électroniques nécessite une protection particulière, qui doit aller au-delà RGPDPar conséquent, les intérêts légitimes du fournisseur de services ne devraient plus être la base juridique du traitement du contenu et des métadonnées des communications électroniques à l'avenir.

Si ce point de vue prévaut, les outils de suivi ne doivent être utilisés qu'avec le consentement préalable de l'utilisateur (par exemple, au moyen d'une case à cocher).

III. pourquoi le règlement relatif à la vie privée et aux communications électroniques est une bonne chose

Contrairement à toutes les prophéties de malheur, l'OAVE est une réglementation sensée et attendue depuis longtemps. Après tout, le contrôle complet du comportement de nos utilisateurs, qui est maintenant techniquement possible, ne devrait pas être accepté comme cela.

Il est donc bon que les opérateurs de sites web et les prestataires de services fournissent à l'avance des informations claires et transparentes sur les données collectées lors de la visite d'un site web ou de l'utilisation d'un service, sur les personnes à qui elles sont transmises et sur les fins auxquelles elles sont destinées. Ce n'est que de cette manière que les visiteurs et les utilisateurs du site web peuvent décider si une visite sur le site ou l'utilisation du service vaut vraiment la peine pour eux de divulguer leurs données.

Néanmoins, en tant qu'opérateur de site web, vous n'avez pas à faire l'autruche. Comme mesure immédiate, il est préférable de vérifier si vous pouvez fonder tous les services inclus sur votre site web sur un intérêt légitime ou le consentement des utilisateurs. Si ce n'est pas le cas, vous devez obtenir les consentements manquants des utilisateurs. En outre, vous devez avant tout présenter vos activités de suivi de manière transparente dans la politique de confidentialité.

Dès que le texte final du règlement sur la vie privée en ligne est connu, vous devez d'abord vérifier si vous devez obtenir un consentement supplémentaire et, si nécessaire, à partir de quel moment. Pour que vous puissiez mettre en œuvre ce règlement et tout ce qui est nécessaire en toute tranquillité, il est utile de suivre le règlement sur la vie privée en ligne.

Photo : Scott Webb [Pexels]

Mario Steinberg est avocat et juriste spécialisé en droit administratif au sein de LIEB.Rechtsanwälte. L'un de ses principaux domaines d'expertise est le conseil en matière de droit de la protection des données et de la sécurité informatique. Il est également co-fondateur du réseau de consultants "façonner votre organisation"qui conseille les entreprises dans les domaines de l'informatique commerciale, de la conformité et de la conception juridique.

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .