21.05.19
mis à jour le 05/12/23
Mario Steinberg
0 commentaires
Table des matières
Changement de la loi E-Privacy dans l'UE

Règlement E-Privacy : qu'est-ce qui t'attend ?

Bien que le "Règlement sur la vie privée et les communications électroniques" (E-Privacy Regulation) ne devrait être adopté que dans le courant de l'année 2020, il projette déjà son ombre. Dans cet article, je souhaite te donner un aperçu de ce qu'est le règlement E-Privacy, de la situation juridique actuelle concernant l'utilisation d'outils de suivi et de la manière dont cela pourrait changer sous le RPE. A la fin, j'expliquerai brièvement pourquoi le nouveau règlement est important à mes yeux. Mais pas de panique : Tout comme le monde, contrairement à ce que l'on peut prédire, ne sera pas en mesure de faire face à l'entrée en vigueur du règlement. RGPD Le 25 mai 2018, ce n'est pas la fin du monde, il ne faut pas non plus s'attendre à ce que le règlement E-Privacy s'applique.

I. Le règlement E-Privacy

1. qu'est-ce que le règlement E-Privacy ?

Le règlement E-Privacy (RPE) est un projet de règlement de la Commission européenne actuellement en discussion au niveau européen, qui vise à remplacer la directive E-Privacy déjà en vigueur depuis 2002(directive 2002/58/CE, modifiée en dernier lieu par la directive 2009/136/CE; RL E-Privacy) et à l'adapter à l'état actuel de la technique (par exemple, les services dits Over the Top, c'est-à-dire les services de communication basés sur IP, ne sont actuellement pas couverts par la RL E-Privacy).

En tant que règlement européen, le RPE s'appliquera directement et immédiatement dans toute l'Union européenne. Contrairement à la directive E-Privacy, il ne dépendra pas de la transposition en droit national par les différents Etats membres. Cette transposition de la directive E-Privacy dans le droit national n'a d'ailleurs jamais eu lieu en Allemagne, en ce qui concerne la partie de la législation sur la protection des données qui concerne les exploitants de sites web.

2. Quel est l'objectif du règlement E-Privacy ?

Le règlement E-Privacy vise à protéger la confidentialité des communications ainsi que la confidentialité et l'intégrité des terminaux des utilisateurs.

En termes plus simples, les utilisateurs devraient être protégés contre l'espionnage à leur insu lorsqu'ils visitent un site web ou utilisent un service de courrier électronique ou de messagerie.

Contrairement à ce que prévoit le RGPD, ce ne sont pas seulement les personnes physiques (humains) qui sont protégées, mais aussi les personnes morales (entreprises et associations). Le règlement E-Privacy précise et complète RGPD en ce qui concerne les données de communication électronique, qui sont des données personnelles.

3. Que régit le règlement E-Privacy ?

Le règlement E-Privacy ne régit pas seulement la communication par téléphonie vocale (classique), les messages texte (SMS) et les e-mails, mais aussi la communication par téléphonie VoIP, les services de messagerie et les services d'e-mails basés sur le web. Il s'applique également à la communication de machine à machine qui devient de plus en plus importante (mot-clé "Internet des objets").

Le RPE accorde une attention particulière à la manière dont les informations sont stockées ou envoyées, demandées ou traitées par les terminaux des utilisateurs (par ex. les PC et les smartphones). En effet, ces terminaux contiennent presque toujours des données personnelles sensibles (par exemple des e-mails et des messages, des images, des données de contact et de localisation). C'est pourquoi les utilisateurs de terminaux doivent être protégés contre l'utilisation d'outils de suivi à leur insu pour observer secrètement leurs activités (par ex. cookies, fingerprinting du navigateur et technologies similaires pour suivre le comportement des utilisateurs).

4. à quand le règlement E-Privacy ?

A l'origine, il était prévu que le règlement E-Privacy entre en vigueur en même temps que RGPD . La Commission européenne avait déjà publié son projet de RPE début janvier 2017. Cependant, étant donné que le Parlement européen et le Conseil de l'Union européenne doivent également être impliqués dans le processus législatif, de nombreuses dispositions du règlement E-Privacy font encore l'objet de discussions politiques. En raison de la complexité du processus législatif, il est peu probable que le règlement E-Privacy entre en vigueur en 2019. De plus, il y aura probablement une période de transition, comme pour RGPD , jusqu'à ce que le RPE soit effectivement en vigueur.

II. Situation juridique pour l'utilisation d'outils de suivi

1. Que sont les outils de suivi ?

Les outils de suivi sont destinés à rendre compréhensible le comportement des internautes : Quelle est la fréquence d'accès à un site web par un utilisateur spécifique ou d'utilisation d'un service de messagerie (si le comportement d'un utilisateur spécifique est "analysé", il ne s'agit plus d'un simple outil d'analyse et de statistiques, mais d'un outil de suivi) ? Quel est le contenu des messages envoyés ? Quels sont les articles recherchés et commandés dans une boutique en ligne ? Quels sont les comptes de médias sociaux auxquels les gens se connectent ? Un article lié est-il cliqué et acheté (marketing d'affiliation) ?

Les données ne sont pas seulement collectées lors de la visite du site ou de l'utilisation du service, mais souvent longtemps après. En effet, les cookies, les pixels de comptage, etc. définis sur l'appareil terminal ne sont généralement pas supprimés lorsque le service est terminé. Ils restent souvent sur l'appareil de l'utilisateur pendant plusieurs mois et continuent à envoyer des données sans que l'utilisateur s'en rende compte.

Dans de nombreux cas, les données ainsi collectées ne sont pas seulement recueillies et traitées par le prestataire de services lui-même, mais sont souvent aussi transmises à des tiers.

De ce fait, un grand nombre de profils d'utilisateurs sont créés à l'insu de l'utilisateur.

2. Où l'utilisation d'outils de suivi est-elle actuellement réglementée ?

Note préliminaire : Cette partie est nécessairement formulée de manière quelque peu juridique. Si ces subtilités ne vous intéressent pas, vous pouvez poursuivre votre lecture à 3. sans problème.

En Allemagne, les exigences relatives aux services d'information et de communication électroniques sont régies par la loi sur les télémédias (TMG). La loi sur les télémédias est entrée en vigueur en 2007 et a été modifiée pour la dernière fois en septembre 2017. Cependant, la directive E-Privacy, modifiée en 2009, qui régit dans son article 5, paragraphe 3, le stockage et l'accès aux informations stockées dans l'équipement terminal de l'utilisateur, n'a pas été formellement transposée dans le droit allemand. La raison en est que le gouvernement fédéral ne l'a pas jugé nécessaire en raison des dispositions déjà contenues dans l'article 15, paragraphe 3 de la TMG. De même, les dispositions relatives à la protection des données de la loi sur les télémédias (section 4 ; §§ 11 et suivants TMG), qui régissent les obligations des fournisseurs de services, n'ont pas été adaptées à RGPD .

La conséquence est que la règle de conflit de l'article 95 RGPD, qui règle la relation entre RGPD et la directive E-Privacy, n'est pas applicable. Comme une application directe de la directive E-Privacy n'est pas non plus envisageable (les directives européennes, contrairement aux règlements européens, ne sont justement pas directement et directement applicables), la priorité d'application reste RGPD.

Cela signifie que depuis la validité de RGPD, c'est-à-dire depuis le 25 mai 2018, la base juridique du traitement des données personnelles par les prestataires de services est exclusivement l'article 6 (1) RGPD ; les dispositions correspondantes de la loi sur les télémédias ne sont plus applicables depuis lors.

Cette situation ne devrait changer qu'avec l'entrée en vigueur du règlement relatif à la protection de la vie privée dans le secteur des communications électroniques : Dans l'état actuel des choses, les règlements de l'OAVE auront la priorité sur les règlements correspondants de RGPD , à condition qu'ils poursuivent le même objectif.

"*" indique les champs requis

Je souhaite m'abonner à la newsletter pour être informé des nouveaux articles de blog, des ebooks, des fonctionnalités et des nouvelles de WordPress. Je peux retirer mon consentement à tout moment. Merci de prendre connaissance de notre politique de confidentialité.
Ce champ sert à la validation et ne doit pas être modifié.

3. quelle est la situation juridique actuelle concernant l'utilisation d'outils de suivi ?

La base juridique actuelle pour l'utilisation d'outils de suivi est l'art. 6, paragraphe 1 RGPD. Cela signifie qu'en règle générale, les outils de suivi ne peuvent être utilisés que si soit

  • le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les droits et libertés fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant (article 6, paragraphe 1, alinéa 1, point f) RGPD).

ou

  • la personne concernée a donné son consentement au traitement des données à caractère personnel la concernant pour une ou plusieurs finalités déterminées (art. 6, paragraphe 1, alinéa 1, point a RGPD).

>> Détails des intérêts légitimes du prestataire de services

Si un fournisseur de services a des intérêts légitimes prépondérants pour l'utilisation d'outils de suivi, le consentement de l'utilisateur n'est pas nécessaire.

Sur un site web, par exemple, une case à cocher serait alors superflue. L'opérateur du site web n'aurait qu'à informer sur les outils de suivi utilisés dans la politique de confidentialité.

Les intérêts légitimes du prestataire de services peuvent être réels, économiques et non matériels.

Souvent, il s'agira bien sûr d'intérêts économiques. Ceux-ci peuvent consister, par exemple, à enregistrer le panier du client dans une boutique en ligne ou à intégrer des polices web, des services de cartes et des plugins de médias sociaux sur un site web. Mais les outils d'analyse web et de statistiques sur les visiteurs des pages ou l'utilisation de trackers publicitaires sont également considérés comme des intérêts légitimes.

Si le traitement des données en question est nécessaire pour sauvegarder ces intérêts légitimes, ceux-ci doivent être mis en balance avec les intérêts ou les droits fondamentaux et les libertés fondamentales de l'utilisateur. Il s'agit notamment de la protection contre les préjudices économiques, du droit au respect de la vie privée et des communications conformément à l'article 7 de la Charte des droits fondamentaux de l'Union européenne (GRCh), du droit fondamental à la protection des données conformément à l'article 8 GRCh et du droit à l'autodétermination en matière d'information.

Lors de la mise en balance des intérêts respectifs, l'impact du traitement des données envisagé et sa vulnérabilité aux abus sont primordiaux. Il faut également prendre en compte, entre autres, les attentes raisonnables de l'utilisateur vis-à-vis du service et s'il peut raisonnablement prévoir que le traitement de données envisagé aura éventuellement lieu.

Il est parfois difficile de décider si les intérêts légitimes du prestataire de services (ou d'un tiers) ou les intérêts de l'utilisateur prévalent dans des cas individuels.

Il convient de noter que le prestataire de services doit prouver que ses intérêts légitimes prévalent. Si cette preuve ne peut être fournie en cas de litige, la collecte de données était illégale et le prestataire de services doit s'attendre à une amende.

L'équilibre des intérêts devrait donc être compréhensible pour les autorités de surveillance et bien documenté.

>> Détails du consentement de l'utilisateur

Si le prestataire de services ne peut pas fonder l'intégration d'un outil de suivi sur un intérêt légitime, le consentement de l'utilisateur est obligatoire.

Les conditions d'un consentement effectif sont énoncées à l'article 7 RGPD . C'est le cas :

  • Une forme compréhensible ;
  • un langage clair et simple ;
  • Distinction par rapport aux autres faits ;
  • la référence préalable au droit de rétractation à tout moment ;
  • le respect de l'interdiction de la vente liée (c'est-à-dire qu'un service ne doit pas être subordonné à l'octroi d'un consentement au traitement de données à caractère personnel qui n'est pas lié au service).

Le consentement peut également être donné implicitement, c'est-à-dire par une action concluante. Toutefois, le consentement explicite est toujours nécessaire lorsque des catégories particulières de données à caractère personnel sont traitées (voir l'article 9, paragraphe 2, point a) RGPD).

Il convient également de noter que le consentement peut être retiré à tout moment. Par conséquent, le traitement des données doit cesser dès que la personne concernée a retiré son consentement.

Actuellement, le consentement pour l'installation de cookies et de technologies similaires sur les sites web est généralement obtenu au moyen d'une "case à cocher", où l'utilisateur doit cocher activement une case (opt-in).

À moins que seuls des cookies techniquement nécessaires soient installés, une indication lapidaire dans une soi-disant "bannière de cookies", qui est ensuite simplement confirmée en cliquant sur un bouton "OK", n'est pas suffisante.

Dans tous les cas, les utilisateurs doivent être informés des outils de suivi utilisés dans la politique de confidentialité.

4. quelle est la situation juridique probable pour l'utilisation d'outils de suivi ?

Le projet de règlement E-Privacy publié par la Commission européenne début janvier 2017 est toujours en cours de discussion politique. Il fait l'objet d'avis du Comité européen de la protection des données et du Contrôleur européen de la protection des données, d'amendements du Parlement européen et de documents de discussion du Conseil de l'Union européenne, entre autres.

La formulation exacte du règlement sur la vie privée en ligne est donc ouverte.

Toutefois, compte tenu des "scandales des données" qui ont éclaté récemment, les défenseurs de la protection des données, en particulier, font de plus en plus pression pour que l'OAVP ne soit pas en deçà du niveau de protection actuel prévu par la directive "Vie privée et communications électroniques" et RGPD .

Ainsi, dans un document publié sur Mai 2018, le comité européen de protection des données s'est prononcé en faveur de la nécessité d'une protection particulière de la confidentialité des communications électroniques, qui doit aller au-delà de RGPD . C'est pourquoi, à l'avenir, les intérêts légitimes du fournisseur de services ne devraient plus constituer une base juridique pour le traitement des données de contenu et des métadonnées des communications électroniques.

Si ce point de vue devait s'imposer, les outils de suivi ne pourraient être utilisés qu'après avoir obtenu le consentement préalable de l'utilisateur (par exemple au moyen d'une case à cocher).

III. pourquoi le règlement E-Privacy est une bonne chose

Contrairement à toutes les prophéties de malheur, l'OAVE est une réglementation sensée et attendue depuis longtemps. Après tout, le contrôle complet du comportement de nos utilisateurs, qui est maintenant techniquement possible, ne devrait pas être simplement accepté.

Il est donc souhaitable que les opérateurs de sites web et les prestataires de services fournissent à l'avance des informations claires et transparentes sur les données collectées lors de la visite d'un site web ou de l'utilisation d'un service, sur les personnes à qui elles sont transmises et sur les finalités de la collecte. Ce n'est qu'ainsi que les visiteurs et les utilisateurs du site web peuvent décider si la visite du site ou l'utilisation du service vaut vraiment la peine de divulguer leurs données.

Cependant, en tant que propriétaire de site web, tu ne dois pas te cacher la tête dans le sable. En tant que mesure immédiate, il est préférable de vérifier si tous les services intégrés à ton site web sont basés sur un intérêt légitime ou un consentement des utilisateurs. Si ce n'est pas le cas, tu dois obtenir les autorisations manquantes des utilisateurs. En outre, tu dois surtout présenter tes activités de suivi de manière transparente dans la déclaration de confidentialité.

Dès que le texte final du règlement E-Privacy sera connu, tu devras surtout vérifier si tu dois demander des autorisations supplémentaires et, le cas échéant, à partir de quand. Pour que tu puisses mettre en œuvre tout cela et tout ce qui est nécessaire en toute tranquillité, il vaut la peine de rester à l'affût du règlement E-Privacy.

Image de contribution : Scott Webb [Pexels]

As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.

Mario Steinberg

Mario Steinberg est avocat et spécialiste en droit administratif au sein du cabinet d'avocats LIEB.Rechtsanwälte. Son travail se concentre sur le droit de la protection des données, le droit de la sécurité informatique et le droit des technologies de l'information.

Laisse un commentaire

Ton adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués d'un *.