Proposition de Règlement européen « ePrivacy »

Proposition de Règlement européen « ePrivacy »

Une réforme globale des règles en matière de protection des données personnelles est menée depuis 2012 au sein de la Commission Européenne dans le cadre du marché unique numérique. C’est dans ce contexte qu’a été adopté le Règlement européen sur la protection des données personnelles du 27 avril 2016, qui entrera en vigueur le 25 mai 2018 (« RGPD »).

Pour mémoire, le RGPD prévoit notamment :

  • La suppression des formalités préalables à la mise en place du traitement auprès de l’autorité de contrôle ;
  • L’obligation d’établissement et de conservation par les responsables de traitement d’un registre de l’ensemble de leurs activités de traitement ;
  • L’obligation pour les responsables de traitement de réaliser une étude d’impact pour les traitements susceptibles d’engendrer des risques élevés pour la vie privée des personnes concernées ;
  • L’obligation de notification des failles de sécurité par les responsables de traitement à l’autorité de contrôle dans un délai de 72 heures ;
  • L’obligation pour les entreprises traitant des données sensibles ou un grand volume de données de nommer un délégué à la protection des données ;
  • La responsabilité directe des sous-traitants.

L’adoption du RGPD a des implications sur la Directive dite « ePrivacy » du 12 juillet 2002, relative à la vie privée et aux communications électroniques, déjà révisée en 2009.

La Commission européenne a donc présenté, le 10 janvier dernier, une proposition de Règlement « ePrivacy », renforçant les règles relatives au traitement, à la confidentialité et à la sécurité des données de communications électroniques.

Si ce Règlement est adopté, il aurait vocation à s’appliquer à l’ensemble des fournisseurs de services de communication électronique, et notamment aux fournisseurs des nouveaux services dits « Over The Top ».

Les principaux changements proposés par rapport à la Directive « ePrivacy » seraient les suivants :

  • L’obligation de recueillir le consentement de l’utilisateur pour le traitement des contenus des communications (textes, voix, images,…) mais aussi des métadonnées (localisation, date, durée d’un appel,…) et, à défaut d’autorisation, l’obligation d’anonymiser ou de supprimer ces données ;
  • L’obligation de recueillir le consentement de l’utilisateur non seulement pour l’utilisation des données issues des cookies et autres outils similaires (sauf pour les cookies non intrusifs), mais aussi pour celles issues des techniques de capture d’empreintes numériques ;
  • La simplification des règles existantes par la possibilité de recueillir le consentement de l’utilisateur pour le traitement des cookies via le paramétrage des options de configuration du navigateur ou de l’application utilisée (suppression du système actuel des bannières de demande d’autorisation à chaque première visite d’un site) ;
  • L’interdiction des communications électroniques non sollicitées, quel que soit le moyen utilisé, sauf autorisation en amont de l’utilisateur.

Pour l’heure, le principal chantier pour les entreprises est leur mise en conformité avec le RGPD pour le mois de mai 2018.