Les États membres ont approuvé hier un mandat de négociation en vue de la révision des règles en matière de protection de la vie privée et de la confidentialité dans l’utilisation des services de communications électroniques. Ces règles actualisées «vie privée et communications électroniques» définiront les situations dans lesquelles les fournisseurs de services sont autorisés à traiter des données de communications électroniques ou à avoir accès à des données stockées sur les appareils des utilisateurs finaux. L’accord intervenu aujourd’hui permet à la présidence portugaise d’entamer les négociations avec le Parlement européen sur le texte définitif.
«Des règles rigoureuses en matière de protection de la vie privée sont essentielles pour inspirer et préserver la confiance dans un monde numérique, a indiqué Pedro Nuno Santos, ministre portugais des infrastructures et du logement, président du Conseil. C’est au terme d’un cheminement difficile que le Conseil a pu arrêter sa position, mais nous disposons désormais d’un mandat qui représente un bon équilibre entre protection solide de la vie privée des personnes et promotion du développement de nouvelles technologies et de l’innovation. La présidence portugaise est très satisfaite d’entamer maintenant les négociations avec le Parlement européen sur cette proposition essentielle».
Il est nécessaire de mettre à jour l’actuelle directive «vie privée et communications électroniques» de 2002 afin de tenir compte des nouvelles évolutions technologiques et commerciales, telles que l’utilisation généralisée actuelle de la voix sur IP et des services de messagerie et de courrier électronique en ligne, ainsi que de l’émergence de nouvelles techniques de suivi du comportement en ligne des utilisateurs.
Le projet de règlement «vie privée et communications électroniques» abrogera l’actuelle directive en la matière. Ce règlement constitue une lex specialis par rapport au règlement général sur la protection des données (RGPD), qu’il précisera et complétera. Par exemple, contrairement au RGPD, de nombreuses dispositions du règlement «vie privée et communications électroniques» s’appliqueront aux personnes physiques comme aux personnes morales.
Le mandat du Conseil prévoit que le règlement s’appliquera au contenu de communications électroniques transmis au moyen de services et de réseaux accessibles au public, ainsi qu’aux métadonnées liées à la communication. Les métadonnées comprennent, par exemple, des informations sur la localisation, l’heure et le destinataire de la communication. Elles sont considérées comme pouvant être aussi sensibles que le contenu.
Afin de garantir la pleine protection des droits au respect de la vie privée et de promouvoir un internet des objets fiable et sûr, les règles s’appliqueront aussi aux données de machine à machine transmises par l’intermédiaire d’un réseau public.
Les règles s’appliqueront quand les utilisateurs finaux se trouvent dans l’UE. Cela concerne également les situation dans lesquelles le traitement a lieu en dehors de l’UE ou le fournisseur de services est établi ou situé en dehors de l’UE.
La règle générale en la matière sera que les données de communications électroniques sont confidentielles. Toute interférence, y compris l’écoute, le suivi et le traitement de données, par toute personne autre que l’utilisateur final concerné sera interdite, sauf dans les cas où le règlement «vie privée et communications électroniques» l’autorise.
Le traitement autorisé des données de communications électroniques sans le consentement de l’utilisateur comprend, par exemple, des activités visant à garantir l’intégrité des services de communications ou à vérifier la présence de logiciels malveillants ou de virus, ou les cas dans lesquels le fournisseur de services est lié par la législation de l’UE ou des États membres à des fins de poursuite en matière d’infractions pénales ou de prévention de menaces pesant sur la sécurité publique.
Les métadonnées peuvent être traitées, par exemple, pour la facturation ou pour détecter une utilisation frauduleuse ou y mettre un terme. Avec le consentement de l’utilisateur, les fournisseurs de services pourraient, par exemple, utiliser des métadonnées pour afficher les mouvements de trafic afin d’aider les pouvoirs publics et les exploitants de transports publics à développer de nouvelles infrastructures là où elles seraient le plus nécessaires. Les métadonnées peuvent également être traitées pour protéger les intérêts vitaux des utilisateurs, y compris pour suivre des épidémies et leur propagation ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine.
Dans certains cas, les fournisseurs de réseaux et de services de communications électroniques pourraient traiter des métadonnées à une fin autre que celle pour laquelle elles ont été collectées, même si ce traitement n’est pas fondé sur le consentement de l’utilisateur ou sur certaines dispositions applicables à des mesures législatives prises en vertu de la législation de l’UE ou du droit des États membres. Ce traitement à une autre fin doit être compatible avec la finalité initiale et des garanties spécifiques solides s’appliquent dans ce cas.
Étant donné que l’équipement terminal d’un utilisateur, en ce compris tant le matériel que les logiciels, peut contenir des informations très personnelles, telles que des photos et des listes de contacts, l’utilisation des capacités de traitement et de stockage et la collecte d’informations à partir de l’appareil ne seront autorisées qu’avec le consentement de l’utilisateur ou que à d’autres fins précises et transparentes prévues par le règlement.
L’utilisateur final devrait avoir véritablement la liberté de choisir s’il accepte les cookies ou des identifiants similaires. Le fait de subordonner l’accès à un site web au consentement à l’utilisation de cookies à d’autres fins en tant que solution alternative à un verrou d’accès payant sera autorisé si l’utilisateur est en mesure de choisir entre cette offre et une offre équivalente du même fournisseur qui n’implique pas le consentement aux cookies.
Pour éviter la lassitude du consentement aux cookies, un utilisateur final pourra donner son consentement à l’utilisation de certains types de cookies en inscrivant sur une liste blanche un ou plusieurs fournisseurs dans ses paramètres de navigation. Les fournisseurs de logiciels seront encouragés à faire en sorte que les utilisateurs puissent facilement établir et modifier des listes blanches sur leurs navigateurs et retirer leur consentement à tout moment.
Le texte comprend également des règles relatives à l’identification de la ligne, aux annuaires publics et à la prospection non sollicitée et directe.
Le règlement entrerait en vigueur vingt jours après sa publication au Journal officiel de l’UE et il commencerait à s’appliquer deux ans plus tard.
Côté procédure, le mandat de ce jour a été approuvé par les ambassadeurs réunis au sein du Comité des représentants permanents du Conseil (Coreper). La Commission a présenté sa proposition en janvier 2017. Le Conseil et le Parlement européen négocieront les détails du texte final.
Photo: Photographe: Jennifer Jacquemart / European Union, 2017 / Source: EC – Audiovisual Service