Mise à jour 23 sept.2022

En attendant la directive 2002/58 continue d’inspirer la jurisprudence, notamment en matière de levée d’anonymat sur internet aux fins de recherche des auteurs de propos illcites, alors pourtant que la directive concerne les communications entre personnes (correspondance privée) et non l’écriture de propos publics en ligne (CJUE, gde. ch., 6 oct. 2020, aff. C-511/18, C-512/18 et C-520/18) 

***

Le projet de Règlement ePrivacy proposé par le Parlement et le Conseil européens le
10 janvier 2017, vise à répondre aux préoccupations des citoyens européens  sur la protection de leurs données
personnelles stockées sur leurs smartphones, tablettes, ordinateurs portables,
etc., en renforçant les règles applicables en matière de communications
électroniques et de démarchage commercial.
 
 

Dans une note d’information, la Commission Européenne lance officiellement le
processus législatif consacré à la proposition de règlement. La Commission
invite le Parlement européen et le Conseil à faire avancer rapidement les
travaux sur leurs propositions et à garantir leur adoption pour le 25 mai 2018
au plus tard (date à partir de laquelle, par ailleurs, le règlement UE général
n°2016/679 du 27 avril 2016 sur la protection des données entrera en
application).
 
Il s’agira d’une mise à jour des dispositions de la directive ePrivacy 2002/58/CE
du 12 juillet 2002 (révisée le 25 novembre 2009 par la directive 2009/136/CE).
 
Les dispositions de cette ancienne directive vont donc prendre
une nouvelle jeunesse par le biais de ce règlement, qui les rendra directement
applicables, cette fois-ci à tous les Etats membres et sans délai de transposition,
permettant ainsi de lutter contre les inégalités et les différences
d’appréciation en matière de protection des données personnelles. De plus,
ce règlement viendra en complément du Règlement 
UE général n°2016/679 du 27 avril 2016 sur la protection des données personnelles dont l’entrée en vigueur est prévue le 25 mai 2018.

L’ancienne directive ePrivacy 2002/58/CE du 12 juillet 2002 avait toutefois déjà fait l’objet de transpositions éparses dans le droit français de 2004 à 2012 à
travers 11 textes, le nouveau règlement aura donc pour mérite de servir de texte unique de référence sur le sujet et directement applicable  :
 

Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique
   Loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux
services de communication audiovisuelle
   Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à
l’égard des traitements de données à caractère personnel et modifiant la loi n°
78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
   Décret n° 2005-862 du 26 juillet 2005 relatif aux conditions d’établissement et
d’exploitation des réseaux et à la fourniture de services de communications
électroniques

Décret n° 2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale
dénommé « Agence nationale de la sécurité des systèmes d’information »

Loi n° 2011-302 du 22 mars 2011 portant diverses dispositions d’adaptation de la
législation au droit de l’Union européenne en matière de santé, de travail et
de communications électroniques
  Loi n° 2011-901 du 28 juillet 2011 tendant à améliorer le fonctionnement des maisons
départementales des personnes handicapées et portant diverses dispositions relatives
à la politique du handicap

Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques
     Décret n° 2012-436 du 30 mars 2012 portant transposition du nouveau cadre réglementaire
européen des communications électroniques
   Décret n° 2012-488 du 13 avril 2012 modifiant les obligations des opérateurs de
communications électroniques conformément au nouveau cadre réglementaire
européen
 

Dans le règlement en préparation, trois volets sont prévus :
 
  • 1er
    volet 
    : l’écoute, l’interception, l’analyse et le stockage
    de SMS, de courriers électroniques ou d’appels vocaux seront interdits à défaut
    de consentement de l’utilisateur : cela concernera le contenu de la
    communication mais aussi les données relatives au lieu, à l’heure et au
    destinataire. (cela concernera aussi les applications telles que WhatsApp,
    facebook, Skype, Gmail, etc).
  • 2ème
    volet 
    : la
    transparence en matière d’utilisation des cookies. L’objectif est d’offrir aux
    utilisateurs un environnement numérique moins « envahi » par les
    bandeaux cookies qui s’affichent à chaque page visitée. A cet égard,
    l’utilisateur aura la possibilité d’accepter ou de refuser les cookies et
    devrait pouvoir le faire plus
    systématiquement en configurant les paramètres de navigation (concernant les
    cookies dits « cookies tiers », qui visent essentiellement à
    communiquer des données à des tiers à des fins commerciales, les navigateurs
    devront pouvoir permettre leur blocage par défaut)

Remarque : le
cookie est l’équivalent d’un fichier texte de petite taille, stocké sur le
terminal d’un internaute. Leur apparition date des années 90 et permettent
ainsi aux développeurs de sites web de conserver des données utilisateur afin
de faciliter la navigation et de permettre certaines fonctionnalités. Les
cookies ont toujours été plus ou moins controversés car ils contiennent des
informations personnelles pouvant potentiellement être exploitées par des
tiers.


2 directives à prendre en
compte :



Directive 2002/58 sur la vie privée : elle contient des règles sur
l’utilisation des cookies. Article 5 §3 exige que le stockage des données
(comme les cookies) dans l’ordinateur de l’utilisateur puisse seulement être
fait si : l’utilisateur est informé de la façon dont les données sont utilisées
; il est donné à l’utilisateur la possibilité de refuser cette opération de
stockage. Cependant, cet article statue aussi que le stockage de données pour
raisons techniques est exempté de cette loi. Selon l’avis du G29 n° 2/2010 de
2010, cette directive demeure très mal appliquée : la plupart des sites se
limite à une simple « bannière » informant de l’utilisation de
« cookies » sans donner d’information sur les utilisations, sans
différencier les cookies « techniques » des cookies de
« pistage », ni d’offrir de choix réel à l’utilisateur.



Directive 2009/136/CE du 25 novembre 2009 renforce donc les obligations
préalables au placement de cookies sur l’ordinateur de l’internaute à condition
que celui-ci ait donné son accord après avoir reçu une information claire et
complète. Cependant, malgré la volonté contraire du législateur européen, aucun
navigateur ne permet encore de dissocier les cookies techniques et les cookies
optionnels.
 
 
  • 3ème
    volet 
    : l’interdiction des communications électroniques
    non sollicitées, quel que soit le support utilisé (emails, SMS, appels
    téléphoniques, etc.). Sauf consentement préalable de l’utilisateur. Ainsi, pour
    l’envoi de spams, l’internaute pourra matérialiser son consentement en cochant
    une case et recevoir ainsi des offres
    commerciales
    de la société. De même, le consommateur qui aura activement inscrit son numéro
    sur liste rouge ne devra pas recevoir d’appels téléphoniques à visée
    commerciale.
Ce 3ème volet pose des
interrogations d’utilité pour la France : en effet, l’envoi de spams est
déjà encadré par le droit de la consommation en France, de même que la mise en
place de restrictions téléphoniques (Plateforme « bloctel.gouv.fr », issue de la loi n°2014-344 du 17 mars 2014
relative à la consommation). Les SMS et les messages vocaux ne sont pas concernés, mais
dépendent d’une autre procédure (Plateforme du 33 700).
 
Les principales cibles de ce texte,
sont les acteurs de la publicité ciblée et
les GAFA. En effet, La nouvelle proposition de la commission entend inclure
dans son champ d’application l’ensemble des opérateurs de services de
télécommunications : tels que Facebook (Facebook Messenger), WhatsApp, Google
Hangout, etc.
 
Pour certains observateurs, cette
proposition ne va pas assez loin en matière de protection des données.
 
Comme l’explique Lukasz Olejnik,
chercheur britannique diplômé d’un doctorat
informatique de l’INRIA, spécialisé dans les question de sécurité et vie privée,
la proposition de la commission ne prend pas
en compte les évolutions techniques qui attendent les navigateurs
et se
contente finalement de valider le statu quo : « À titre d’exemple, cette nouvelle mise à jour de la directive ne prend
pas en compte le fait que les navigateurs disposeront bientôt de
fonctionnalités bien plus puissantes, tels que l’accès aux données de capteurs
ou encore l’appairage entre le navigateur et l’appareil de l’utilisateur, via
Bluetooth.
».
Ainsi, les navigateurs pourront saisir des données via les
appareils connectés, notamment la collecte des cookies.
 
Ainsi, ce nouveau règlement
semblerait simplement renouveler quelques bases déjà acquises en 2009 ou avec
la nouvelle Directive entrant en vigueur en 2018, sans réellement apporter de
progrès.

Voir aussi : https://roquefeuil.avocat.fr/reglementation-des-cookies/

Les Etats
annoncent qu’ils prendront  position sur ce règlement seulement à partir de fin avril 2017.
Le 9 février 2017, le G29 a déclaré qu’il publiera son avis sur le règlement « peut-être en avril, sûrement avant
l’été [NDLR : 2017]
». 


MR