Réglementation de la vie privée en ligne : qu'est-ce qui t'attend ?

Mario Steinberg Dernière mise à jour le 21.10.2020
8 Min.
Réglementation de la vie privée en ligne : que vous réserve l'avenir ?
Dernière mise à jour le 21.10.2020

Bien que le règlement sur la vie privée et les communications électroniques (règlement "vie privée et communications électroniques") ne devrait être adopté que plus tard en 2020, il fait déjà de l'ombre. Dans cet article, je souhaite vous donner un aperçu de l'objet du règlement "vie privée et communications électroniques", de la situation juridique actuelle concernant l'utilisation des outils de suivi et de la manière dont elle pourrait évoluer dans le cadre de l'OAVP. À la fin, j'expliquerai brièvement pourquoi je pense que le nouveau règlement est important. Mais ne paniquez pas : Tout comme le monde, contrairement à toutes les prédictions, va changer avec l'entrée en vigueur de la RGPD 25.05.2018 n'a pas pris fin, il n'en va pas de même pour la validité du règlement sur la vie privée en ligne.

I. Le règlement sur la vie privée en ligne

1. Qu'est-ce que le règlement relatif à la vie privée dans le secteur des communications électroniques ?

Le règlement relatif à la protection de la vie privée dans le secteur des communications électroniques (EPVO) est un projet de règlement actuellement en cours de discussion au niveau européen par la Commission européenne. projet de règlement de la Commission européennequi remplace la directive "Vie privée et communications électroniques" (Directive 2002/58/CEmodifiée en dernier lieu par Directive 2009/136/CELa directive "vie privée et communications électroniques" est en vigueur depuis 2002, et pour l'adapter à l'état actuel de la technologie (par exemple, les services dits "over-the-top", c'est-à-dire les services de communication basés sur IP, ne sont actuellement pas couverts par la directive "vie privée et communications électroniques").

En tant que règlement européen, le règlement "Vie privée et communications électroniques" s'appliquera directement et immédiatement dans toute l'Union européenne. Contrairement à la directive "Vie privée et communications électroniques", elle ne dépendra pas de la transposition en droit national par les différents États membres. Soit dit en passant, cette transposition de la directive "vie privée et communications électroniques" en droit national n'a jamais eu lieu en Allemagne en ce qui concerne la partie de la protection des données qui concerne les opérateurs de sites web.

2. Quel est l'objectif du règlement sur la vie privée en ligne ?

Le règlement "Vie privée et communications électroniques" vise à protéger la confidentialité des communications ainsi que la confidentialité et l'intégrité des équipements terminaux des utilisateurs.

En termes plus simples, les utilisateurs devraient être protégés contre l'espionnage à leur insu lorsqu'ils visitent un site web ou utilisent un service de courrier électronique ou de messagerie.

Contrairement au site RGPD, les personnes physiques (particuliers) mais aussi les personnes morales (entreprises et associations) sont protégées. Le règlement "Vie privée et communications électroniques" clarifie et complète le site RGPD en ce qui concerne les données relatives aux communications électroniques, qui sont des données à caractère personnel.

3. Que régit le règlement relatif à la vie privée en ligne ?

Le règlement "Vie privée et communications électroniques" régit non seulement la communication par téléphonie vocale (classique), les messages textuels (SMS) et le courrier électronique, mais aussi la communication par téléphonie VoIP, les services de messagerie et les services de courrier électronique sur Internet. Elle s'applique également à la communication de machine à machine, de plus en plus importante (mot-clé "Internet des objets").

L'OAVP accorde une attention particulière à la manière dont les informations sont stockées ou envoyées, demandées ou traitées par les terminaux des utilisateurs (par exemple, les PC et les smartphones). En effet, les données personnelles sensibles sont pratiquement toujours stockées sur ces terminaux (par exemple, les courriels et les messages, les images, les données de contact et de localisation). Par conséquent, les dispositifs des utilisateurs finaux devraient être protégés contre l'utilisation d'outils de suivi pour observer secrètement leurs activités à leur insu (par exemple, les cookies, les empreintes digitales des navigateurs et les technologies similaires pour suivre le comportement des utilisateurs).

4. Quand le règlement sur la vie privée en ligne sera-t-il adopté ?

À l'origine, il était prévu que le règlement sur la vie privée en ligne entre en vigueur en même temps que le site RGPD . La Commission européenne avait déjà publié son projet de règlement sur la vie privée en ligne au début du mois de janvier 2017. Toutefois, comme le Parlement européen et le Conseil de l'Union européenne doivent également être impliqués dans le processus législatif, de nombreuses dispositions du règlement relatif à la vie privée en ligne sont actuellement encore en cours de discussion politique. En raison de la complexité du processus législatif, le règlement "Vie privée et communications électroniques" ne devrait pas entrer en vigueur avant la fin de 2019. En outre, il y aura probablement une période de transition, similaire à celle de RGPD , jusqu'à ce que le règlement "vie privée et communications électroniques" s'applique effectivement.

II. situation juridique de l'utilisation des outils de suivi

1. Que sont les outils de suivi ?

Les outils de suivi sont destinés à rendre compréhensible le comportement des internautes : Quelle est la fréquence d'accès à un site web par un utilisateur spécifique ou d'utilisation d'un service de messagerie (si le comportement d'un utilisateur spécifique est "analysé", il ne s'agit plus d'un simple outil d'analyse et de statistiques, mais d'un outil de suivi) ? Quel est le contenu des messages envoyés ? Quels sont les articles recherchés et commandés dans une boutique en ligne ? Quels sont les comptes de médias sociaux auxquels les gens se connectent ? Un article lié est-il cliqué et acheté (marketing d'affiliation) ?

Les données ne sont pas seulement collectées lors de la visite du site ou de l'utilisation du service, mais souvent longtemps après. En effet, les cookies, les pixels de comptage, etc. définis sur l'appareil terminal ne sont généralement pas supprimés lorsque le service est terminé. Ils restent souvent sur l'appareil de l'utilisateur pendant plusieurs mois et continuent à envoyer des données sans que l'utilisateur s'en rende compte.

Dans de nombreux cas, les données ainsi collectées ne sont pas seulement recueillies et traitées par le prestataire de services lui-même, mais sont souvent aussi transmises à des tiers.

De ce fait, un grand nombre de profils d'utilisateurs sont créés à l'insu de l'utilisateur.

2. Où l'utilisation des outils de suivi est-elle actuellement réglementée ?

Note préliminaire : Cette partie est nécessairement formulée de manière quelque peu juridique. Si ces subtilités ne vous intéressent pas, vous pouvez poursuivre votre lecture à 3. sans problème.

En Allemagne, les exigences relatives aux services d'information et de communication électroniques sont définies dans la Loi sur les télémédias (TMG) réglementé. La loi sur les télémédias est entrée en vigueur en 2007 et a été modifiée pour la dernière fois en septembre 2017. Cependant, la directive "Vie privée et communications électroniques", modifiée en 2009, qui, dans son article 5 (3), réglemente le stockage et l'accès aux informations stockées dans l'équipement terminal de l'utilisateur, n'a pas été formellement transposée en droit allemand. Le gouvernement fédéral n'a pas jugé cette mesure nécessaire en raison des dispositions déjà contenues dans l'article 15 (3) du TMG. Les dispositions relatives à la protection des données de la loi sur les télémédias (article 4 ; articles 11 et suivants du TMG), qui régissent les obligations des prestataires de services, n'ont pas non plus été adaptées à RGPD .

Il en résulte que la règle de conflit de l'article 95 RGPD, qui régit la relation entre RGPD et la directive "vie privée et communications électroniques", n'est pas applicable. Étant donné qu'une application directe de la directive "vie privée et communications électroniques" est également hors de question (contrairement aux règlements européens, les directives européennes ne s'appliquent pas directement et immédiatement), la la primauté de l'application de la RGPD.

Cela signifie que depuis la validité de RGPD, c'est-à-dire depuis le 25 mai 2018, la base juridique du traitement des données personnelles par les prestataires de services est exclusivement l'article 6 (1) RGPD ; les dispositions correspondantes de la loi sur les télémédias ne sont plus applicables depuis lors.

Cette situation ne devrait changer qu'avec l'entrée en vigueur du règlement relatif à la protection de la vie privée dans le secteur des communications électroniques : Dans l'état actuel des choses, les règlements de l'OAVE auront la priorité sur les règlements correspondants de RGPD , à condition qu'ils poursuivent le même objectif.

3. Quelle est la situation juridique actuelle concernant l'utilisation des outils de suivi ?

Derzeitige Rechtsgrundlage für den Einsatz von Tracking-Tools ist Art. 6 Abs. 1 DSGVO. Das bedeutet, dass Tracking-Tools in der Regel nur dann eingesetzt werden dürfen, wenn entweder

  • le traitement est nécessaire pour protéger les intérêts légitimes du responsable du traitement ou d'un tiers, sauf si l'intérêt ou les libertés et droits fondamentaux de la personne concernée l'emportent sur ce dernier et imposent la protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant (article 6, paragraphe 1, premier alinéa, point f) RGPD)

ou

  • la personne concernée donne son consentement au traitement de données à caractère personnel le concernant pour une ou plusieurs finalités déterminées (article 6, paragraphe 1, premier alinéa, point a) RGPD).

>> Détails des intérêts légitimes du prestataire de services

Si un prestataire de services a les intérêts légitimes prépondérants pour l'utilisation des outils de suivi, le consentement de l'utilisateur n'est pas nécessaire.

Sur un site web, par exemple, une case à cocher serait alors superflue. L'opérateur du site web n'aurait qu'à informer sur les outils de suivi utilisés dans la politique de confidentialité.

Les intérêts légitimes du prestataire de services peuvent être réels, économiques et non matériels.

Souvent, bien sûr, il sera les intérêts économiques sont impliqués. Il peut s'agir, par exemple, d'enregistrer le panier d'achat du client dans une boutique en ligne ou d'intégrer les polices de caractères web, les services cartographiques et les médias sociauxPlugins sur un site web. Mais les outils d'analyse et de statistiques du web sur les visiteurs des pages ou l'utilisation de traqueurs publicitaires sont également considérés comme des intérêts légitimes.

Si le traitement des données respectives est nécessaire pour sauvegarder ces intérêts légitimes, ceux-ci doivent être mis en balance avec les intérêts ou les droits et libertés fondamentaux de l'utilisateur. Il s'agit notamment de la protection contre les désavantages économiques, du droit au respect de la vie privée et des communications en vertu de l'article 7 de la Charte des droits fondamentaux de l'Union européenne (CFR)le droit fondamental à la protection des données en vertu de l'article 8 du CCR et le droit à l'autodétermination informationnelle.

Lors de la mise en balance des intérêts respectifs, les effets du traitement de données envisagé et sa susceptibilité à l'abus sont d'une importance primordiale. En outre, il doit être pris en compte, entre autres choses, les attentes raisonnables de l'utilisateur à l'égard du service et s'il peut raisonnablement prévoir que le traitement de données prévu peut avoir lieu.

Il est parfois difficile de décider si les intérêts légitimes du prestataire de services (ou d'un tiers) ou les intérêts de l'utilisateur prévalent dans des cas individuels.

Il convient de noter que le prestataire de services doit prouver que ses intérêts légitimes prévalent. Si cette preuve ne peut être fournie en cas de litige, la collecte de données était illégale et le prestataire de services doit s'attendre à une amende.

La mise en balance des intérêts devrait donc être compréhensible pour les autorités de contrôle compréhensible et bien documenté être bien documenté.

>> Détails du consentement de l'utilisateur

Si le prestataire de services ne peut pas fonder l'intégration d'un outil de suivi sur un intérêt légitime, le consentement de l'utilisateur est obligatoire.

Les conditions d'un consentement effectif sont énoncées à l'article 7 RGPD . C'est le cas :

  • Une forme compréhensible ;
  • un langage clair et simple ;
  • Distinction par rapport aux autres faits ;
  • la référence préalable au droit de rétractation à tout moment ;
  • le respect de l'interdiction de la vente liée (c'est-à-dire qu'un service ne doit pas être subordonné à l'octroi d'un consentement au traitement de données à caractère personnel qui n'est pas lié au service).

Le consentement peut également être donné implicitement, c'est-à-dire par une action concluante. Toutefois, le consentement explicite est toujours nécessaire lorsque des catégories particulières de données à caractère personnel sont traitées (voir l'article 9, paragraphe 2, point a) RGPD).

Il convient également de noter que le consentement peut être retiré à tout moment. Par conséquent, le traitement des données doit cesser dès que la personne concernée a retiré son consentement.

Actuellement, le consentement pour l'installation de cookies et de technologies similaires sur les sites web est généralement obtenu au moyen d'une "case à cocher", où l'utilisateur doit cocher activement une case (opt-in).

À moins que seuls les cookies techniquement nécessaires soient placés, un avis succinct dans une "bannière de cookie", qui n'est alors confirmée qu'en cliquant sur un bouton "OK", n'est pas suffisant.

Dans tous les cas, les utilisateurs doivent être informés des outils de suivi utilisés dans la politique de confidentialité.

4. Quelle est la situation juridique probable en ce qui concerne l'utilisation des outils de suivi ?

Le projet de règlement sur la vie privée en ligne publié par la Commission européenne au début du mois de janvier 2017 projet de règlement "vie privée et communications électroniques est actuellement encore en discussion politique. Il y a des opinions à ce sujet, entre autres, de la Conseil européen de la protection des données et le Contrôleur européen de la protection des donnéesles amendements du Parlement européen et les documents de travail du Conseil de l'Union européenne.

La formulation exacte du règlement sur la vie privée en ligne est donc ouverte.

Toutefois, compte tenu des "scandales des données" qui ont éclaté récemment, les défenseurs de la protection des données, en particulier, font de plus en plus pression pour que l'OAVP ne soit pas en deçà du niveau de protection actuel prévu par la directive "Vie privée et communications électroniques" et RGPD .

Par exemple, le Conseil européen de la protection des données dans un article publié en mai 2018 le Conseil européen de protection des données a fait valoir que la confidentialité des communications électroniques nécessite une protection spéciale, qui doit aller au-delà de RGPD . Par conséquent, les intérêts légitimes du fournisseur de services ne devraient plus constituer une base juridique pour le traitement du contenu et des métadonnées des communications électroniques à l'avenir.

Si ce point de vue devait prévaloir, les outils de suivi ne seraient autorisés à être utilisés qu'avec le consentement préalable de l'utilisateur (par exemple, au moyen d'une case à cocher).

III. pourquoi le règlement relatif à la vie privée en ligne est une bonne chose

Contrairement à toutes les prophéties de malheur, l'OAVE est une réglementation sensée et attendue depuis longtemps. Après tout, le contrôle complet du comportement de nos utilisateurs, qui est maintenant techniquement possible, ne devrait pas être simplement accepté.

Il est donc souhaitable que les opérateurs de sites web et les prestataires de services fournissent à l'avance des informations claires et transparentes sur les données collectées lors de la visite d'un site web ou de l'utilisation d'un service, sur les personnes à qui elles sont transmises et sur les finalités de la collecte. Ce n'est qu'ainsi que les visiteurs et les utilisateurs du site web peuvent décider si la visite du site ou l'utilisation du service vaut vraiment la peine de divulguer leurs données.

Toutefois, en tant qu'exploitant de site web, vous n'avez pas à faire l'autruche. Comme mesure immédiate, vous devez vérifier si vous pouvez fonder tous les services intégrés sur votre site web sur un intérêt légitime ou sur le consentement de l'utilisateur. Sinon, vous devez obtenir le consentement de l'utilisateur manquant. En outre, vous devez avant tout expliquer de manière transparente vos activités de suivi dans la politique de confidentialité.

Dès que le texte final du règlement sur la vie privée en ligne sera connu, vous devrez vérifier si vous devez obtenir des consentements supplémentaires et, le cas échéant, à partir de quel moment. Pour que vous puissiez mettre en œuvre ce règlement et tout ce qui est nécessaire à votre guise, il vaut la peine de se tenir au courant de la réglementation sur la vie privée en ligne.

Contribution à l'image : Scott Webb [Pexels]

Mario Steinberg est avocat et spécialiste en droit administratif au sein du cabinet d'avocats LIEB.Rechtsanwälte. Son travail se concentre sur le droit de la protection des données, le droit de la sécurité informatique et le droit des technologies de l'information.

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.