Blogs

ePrivacy : Foire Aux Questions

By EDRi · October 6, 2017

Original version here (English)

Qu’est-ce que le Réglement vie privée et communications électroniques ?

Le Réglement vie privée et communications électroniques ou e-Privacy est un Réglement qui couvre des problèmes spécifiques de la vie privée et de la protection des données dans le domaine des communications. Elle a été adoptée en 2002 et révisée en 2009. Le texte officiel de la version actuelle peut être trouvé ici.

05_eprivacy

Pourquoi avons-nous besoin de cet instrument ?

Le Réglement e-Privacy a été crée pour garantir la vie privée et protéger les données personnelles dans le domaine des communications électroniques, en “complétant et détaillant” les sujets abordés dans l’outil juridique principal, c’est-à-dire la Directive sur la Protection des Données, désormais appelée Règlement Général sur la Protection des Données (RGPD). Par exemple, l’e-Privacy protège la confidentialité du contenu des communications, des informations stockées et de leur accès sur l’appareil d’un individu. Le RGPD ne couvre pas cela spécifiquement.

La confidentialité des communications est très complexe. Elle couvre non seulement votre droit à la vie privée et à la protection des données, mais aussi votre liberté d’expression et de communication. Sans une législation qui définit clairement le sens de ces droits fondamentaux dans cet environnement complexe, la protection de la confidentialité et la sécurité des communications seraient moins prévisibles et plus difficilement applicables. Un manque de règles précises rend aussi plus difficile pour les entreprises le développement de nouveaux services innovants.

Le Règlement Général sur la Protection des Données (RGPD) ne suffit-il pas?

Même si le RGPD couvre de nombreux sujets en lien avec la protection des données, il ne couvre pas directement et précisément le droit à la vie privée et, plus particulièrement, le droit à la liberté de communication, qui sont deux droits fondamentaux distincts. Ainsi, l’e-Privacy est un niveau de précision nécessaire pour assurer une protection efficace et prévisible des droits qui ne sont pas couverts par le RGPD avec une précision suffisante. De plus, la e-Privacy couvre également des activités où le traitement des données personnelles n’est pas le sujet principal, comme l’envoi non sollicité de messages (par exemple les pourriels ou marketing direct). Elle fournit aussi une base pour la protection des informations stockées sur l’appareil d’un individu. Il est important de se souvenir que le but de l’e-Privacy n’est pas de créer de nouveaux droits, mais de compléter des règles existantes, à la fois pour le bien des individus et des sociétés.

Le besoin d’une législation sur la vie privée et la sécurité des données personnelles dans le domaine des communications électroniques augmente. Le suivi en ligne et la surveillance des e-mails à des fins publicitaires sont des pratiques de plus en plus courantes ; alors que les entreprises télécom tentent de copier les entreprises en ligne en tirant des profits des masses de données des clients qu’elles possèdent (y compris des données de localisation). De plus, l’e-Privacy doit être mise à jour pour rester en adéquation avec les dernières innovations technologiques, comme l’utilisation d’applications de messagerie instantanée (chat) à la place des SMS ou mails.

Quels droits fondamentaux sont touchés par le Réglement e-Privacy ?

  • Le droit fondamental à la confidentialité des communications, entériné dans l’article 7 de la Charte des Droits Fondamentaux de l’Union Européenne. Le nouvel instrument qui va remplacer ou réviser l’e-Privacy devrait clarifier de façon précise que ce principe s’applique totalement aux données des activités en ligne et aux communications, incluant le trafic et les données de localisation, comme définis actuellement dans le Réglement e-Privacy. De plus, il devrait aussi s’appliquer à toute donnée similaire créé ou utilisée en ligne, comme les données de localisation, de navigation, d’utilisation des e-books, d’utilisation des applications mobiles, de recherche, etc. et à toute autre nouvelle donnée en résultant. Le nouvel instrument doit aussi apporter de la clarté sur les conceptions techniques et l’application par défaut de la protection de la vie privée dans ce contexte.
  • Les droits fondamentaux à la protection des données personnelles et à la liberté d’expression, comme entérinés dans l’article 8 de la Charte citée plus haut. Pour la plupart des personnes dans l’UE, la façon la plus facile d’accéder à l’information implique l’internet. Pour protéger cela, l’instrument révisé devrait bannir l’obligation d’accepter le suivi de leurs activités, ainsi que le profilage et la prise de décision automatique qui s’ensuivent (par exemple, en acceptant les cookies avant de pouvoir accéder à un site internet). Cela est particulièrement important pour l’accès à des informations sur des sujets liés à des données sensibles, ou lors de l’accès à des services du secteur public.

Quelles activités sont couvertes dans l’e-Privacy ?

  • la confidentialité et la sécurité des communications ;
  • le trafic et les données de localisation produits par les appareils personnels ;
  • le suivi des utilisateurs, y compris lors de l’utilisation d’appareils personnels (comme pour des publicités par analyse comportementale) ;
  • les cookies ;
  • les mesures de sécurité des appareils personnels ;
  • la facturation détaillée ;
  • l’identification des numéros d’appel ;
  • les annuaires publics et privés ;
  • les pourriels et appels non sollicités à but de prospection commerciale ;
  • les notifications de violation de données (spécifiées plus tard dans le Réglement de l’UE 611/2013).

Quels sont les éléments qui doivent être mis à jour?

Tout ce qui à trait aux activités en ligne dans l’e-Privacy (comme la confidentialité et la sécurité des communications et des appareils personnels, ainsi que le suivi des utilisateurs) doit être mis à jour pour correspondre aux innovations technologiques présentes et futures. Les réglementations sur la facturation détaillée, les registres d’utilisateurs, et les communications non-sollicitées doivent être réévalués, pour vérifier si elles sont en accord avec le RGPD. Certains de ses aspects, comme la façon dont on doit traiter les violations de données, ne requièrent pas une législation spécifique. Ils peuvent donc être supprimés. Ainsi on pourrait résoudre cela en faisant référence au RGPD, afin d’éviter toute redondance.

J’en ai assez de voir des bannières qui me demandent d’accepter les cookies. Est-ce que cela va encore en rajouter ?

L’e-Privacy essaye actuellement de donner aux utilisateurs un peu de contrôle sur le suivi en ligne. En revanche, elle le fait d’une façon plutôt brutale. Les enseignements tirés de l’expérience et des évolutions technologiques suggèrent que la disposition qui régule les cookies dans l’e-Privacy devrait être améliorée, afin de permettre des mécanismes de consentement plus faciles à utiliser.

Comme nous l’avons expliqué dans un article précédent, les cookies sont une des façons de laisser des traces numériques derrière vous lorsque vous naviguez. Ce sont des bouts d’information qui s’installent automatiquement sur votre appareil lorsque vous visitez des sites web. Les règles révisées sur les cookies dans l’e-Privacy devraient permettre une navigation plus agréable en supprimant l’obligation de consentement pour les cookies qui ne concernent pas la collecte et le traitement de données personnelles (comme le traçage avec des services tiers des utilisateurs et des appareils). Cela s’appliquerait par exemple aux statistiques qui comptabilisent quelles sont les pages d’un site web les plus visitées. Ces statistiques collectées par le propriétaire d’un site (“cookies de premier parti” ou “cookies internes”) n’impliquent pas de traitement des données personnelles inutile. Généralement, nous faisons référence aux lignes directrices sur les cookies du Groupe de travail Article 29 sur la protection des données à ce propos.

Quel est le lien avec la protection contre la surveillance de masse ?

Sans aucun doute nous pouvons nous attendre à un usage croissant des appareils personnels électroniques (smartphones, tablettes, ordinateurs) ainsi que des technologies liées qui sont connectées à Internet (comme dans l’internet des objets). Ces évolutions créent de nouvelles opportunités pour la communication en ligne, mais comportent aussi des risques pour la confidentialité et d’autres droits fondamentaux. La communication en ligne implique souvent de nombreuses personnes au delà des frontières nationales, sans que les utilisateurs en soient pleinement conscients.

Nous sommes d’accord avec le Contrôleur européen de la protection des données (CEPD) sur l’idée que le nombre et la fréquence des requêtes gouvernementales faites aux services internet (Twitter, Gmail et autres) devraient être rendus publics, de façon à donner aux individus une vision plus claire sur la façon dont ces pouvoirs gouvernementaux envahissants sont utilisés, en pratique. Si le public est au courant de la conduite du gouvernement, il sera dans une position plus à même de lui demander des comptes. Dans ce contexte, plus de transparence pourrait permettre de restaurer la confiance que les personnes accordent au secteur des communications électroniques.

Quel est le lien avec la sécurité de mes appareils électroniques, comme mon smartphone ?

Le RGPD inclut des obligations en matière de sécurité sur le traitement des données personnelles, alors que l’e-Privacy permet l’inclusion d’obligations en matière de sécurité qui sont plus spécifiquement adaptées à nos communications en ligne. Ces obligations en matière de sécurité devraient non seulement s’appliquer aux fournisseurs de communications électroniques (les télécoms), mais aussi couvrir les développeurs d’application et les fabricants d’appareils électroniques, par exemple. Les entreprises derrière les applications et les appareils ne sont pas toujours les principaux responsables légaux. Pourtant, en raison de leur rôle important dans la protection de la sécurité et la confidentialité des communications personnelles, ils devraient aussi être soumis à des normes de sécurité. Nous faisons plus particulièrement référence aux recommandations sur les normes de sécurité et de vie privée pour les fournisseurs de systèmes d’exploitation, les fabricants d’appareils et autres acteurs principaux formulés par le Groupe de travail Article 29 sur la protection des données dans son Opinion 8/2014 sur l’Internet des Objets.

Cette FAQ a été préparé par l’office d’EDRi à Bruxelles et des membres Open Rights Group, fIPR, Bits of Freedom, Access Now, Panoptykon and Privacy International.

Translation by volunteers Pierre, Florian and Gilles.