Cet article a été publié pour la première fois le 27 février 2017 sur le site LesEchos.fr.
Dans le cadre de sa grande réforme du cadre juridique applicable aux télécoms, la Commission européenne présentait récemment un nouveau texte pour la protection de la vie privée sur les réseaux. Entre protection des utilisateurs et principe de réalité, quel impact pour les entreprises de ce secteur ?
Le 10 janvier dernier, la Commission européenne révélait un projet de règlement sur la protection de la vie privée dans les communications électroniques. Nouvel instrument d’une réforme globale du droit européen des télécoms, ce texte, s’il est adopté, entrerait en vigueur le 25 mai 2018, pour fixer à lui seul les règles applicables à tout service de télécommunication sur le territoire de l’Union, dans le but affiché d’une plus grande protection des utilisateurs.
Opérateurs téléphoniques, fournisseurs d’accès Internet (FAI), mais également tout service d’email ou de discussion instantanée : tous seraient ainsi soumis à de nouvelles exigences, en matière de confidentialité notamment. Visée opportune : 92 % des utilisateurs soulignaient en effet, lors d’un récent sondage Eurobaromètre, leur attachement à la défense de leur vie privée sur les réseaux.
Deux ans après le camouflet imposé par l’arrêt Digital Rights de la Cour de justice de l’Union Européenne, annulant l’intégralité d’une directive qui, pour mémoire, permettait l’enregistrement des métadonnées relatives à n’importe quel échange par voie électronique, la Commission a donc changé de cap, et ramené la confidentialité au coeur de sa politique. Les mesures proposées ne s’en veulent pas moins pragmatiques, et adaptées à l’état actuel des usages et des technologies. Passage en revue.
Whatsapp, Gmail, Facebook Messenger : tous concernés
La confidentialité dans les télécommunications n’est pas une problématique nouvelle en droit de l’Union. La directive du 12 juillet 2002, transposée en France dans le Code des Postes et des Communications électroniques, avait posé les grandes lignes de la matière, que le projet de règlement reprend d’ailleurs sans complètement les bouleverser : sécurité des échanges contre toute écoute ou interception, conservation limitée des données de communication, interdiction des spams…
Deux importantes limites ont cependant poussé la Commission à reprendre la plume. D’une part, la directive, qui restait tributaire de sa transposition par les différents États membres, n’a pas offert un régime parfaitement unifié, pour un marché qui, de son côté, connaît de moins en moins de frontières. D’autre part, les technologies ont évolué, et les acteurs avec : au-delà des traditionnels opérateurs de téléphonie et FAI, le cadre juridique ne permettait pas de prendre en compte les réalités nouvelles.
Dans la ligne de mire ? Des services dits “Over-The-Top” (OTT) extrêmement populaires, tels que Whatsapp, Gmail ou Skype, qui emploient les réseaux des opérateurs traditionnels pour acheminer le contenu d’un utilisateur à un autre, et ne sont à ce titre pas soumis au texte actuel. Si le projet est adopté tel quel, ces derniers devront ainsi se conformer aux mêmes règles strictes que les grands opérateurs de réseaux : interdiction, notamment, de conserver sur le serveur les messages, sons ou images communiqués, dès lors qu’ils ont bien été reçus par leur destinataire.
Cookies : consentement renforcé, consentement simplifié
Le projet revient également sur les cookies, ces micro-fichiers stockés dans l’ordinateur ou le téléphone de l’utilisateur par les sites qu’il fréquente. La dernière réforme de la directive actuelle, en 2009, a imposé sur ce point le principe du consentement préalable de l’utilisateur, et ainsi fait fleurir sur nos écrans bandeaux et pop-ups à cliquer.
Trop lourd, trop compliqué selon la Commission, qui constate que la majorité des utilisateurs valide, de toute façon, sans vraiment consulter l’information fournie. Tout en rappelant que le consentement doit être “éclairé”, le projet permet donc qu’il soit vérifié par un simple réglage du logiciel de navigation de l’utilisateur.
Et d’en tirer, aussi, une obligation nouvelle pour les développeurs de tels navigateurs (Google Chrome, Mozilla Firefox, et autres Internet Explorer) : il leur reviendrait désormais d’informer leurs utilisateurs, dès l’installation ou à première mise à jour, quant à la possibilité de définir leurs préférences en matière de cookies. Adieu, donc, bandeaux et pop-ups ? Rien n’est moins sûr : il s’agira plus probablement d’articuler cette obligation d’information avec celle de l’éditeur de chaque site, seul en mesure de renseigner l’utilisateur sur la nature, la quantité et l’utilité exactes des fichiers stockés.
La CNIL au poste de contrôle
Consentement et confidentialité restent ainsi les maîtres mots du projet de règlement : interdiction de tout démarchage à visée commerciale sans l’accord préalable de la personne concernée, obligation d’informer les utilisateurs en cas de faille de sécurité du réseau ou du service…
Aussi, pour garantir sa propre mise en oeuvre, le texte offre-t-il à l’utilisateur des moyens d’action nouveaux, dont celui de porter plainte devant l’autorité compétente pour la protection de ses données à caractère personnel – en France la Commission nationale de l’informatique et des libertés (CNIL). Celle-ci aurait également le pouvoir d’infliger de lourdes sanctions administratives, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de l’entreprise en faute.
Manière habile de souligner le lien étroit qui unit les deux sujets ; pour les opérateurs concernés, qui ne manqueront probablement pas de suivre d’un oeil attentif les évolutions de ce projet, c’est en effet un double défi qui se dessine au 25 mai 2018 : on n’oubliera pas que c’est ce même jour qui a été choisi pour l’entrée en vigueur d’un texte non moins crucial (et lui, surtout, déjà adopté) – le fameux Règlement Général sur la Protection des Données personnelles.
À l’heure où, de l’autre côté de l’Atlantique, un gouvernement nouvellement élu paraît remettre en cause les acquis dans ce domaine, le signal politique, pour tâcher de faire écho, s’efforce de sonner fort…
