vendredi 24 février 2017

Le projet de règlement e-Privacy, encore des cookies


Le projet de Règlement ePrivacy proposé par le Parlement et le Conseil européens le 10 janvier 2017, vise à répondre aux préoccupations des citoyens européens  sur la protection de leurs données personnelles stockées sur leurs smartphones, tablettes, ordinateurs portables, etc., en renforçant les règles applicables en matière de communications électroniques et de démarchage commercial.

Dans une note d’information, la Commission Européenne lance officiellement le processus législatif consacré à la proposition de règlement. La Commission invite le Parlement européen et le Conseil à faire avancer rapidement les travaux sur leurs propositions et à garantir leur adoption pour le 25 mai 2018 au plus tard (date à partir de laquelle, par ailleurs, le règlement UE général n°2016/679 du 27 avril 2016 sur la protection des données entrera en application).

Il s’agira d’une mise à jour des dispositions de la directive ePrivacy 2002/58/CE du 12 juillet 2002 (révisée le 25 novembre 2009 par la directive 2009/136/CE).

Les dispositions de cette ancienne directive vont donc prendre une nouvelle jeunesse par le biais de ce règlement, qui les rendra directement applicables, cette fois-ci à tous les Etats membres et sans délai de transposition, permettant ainsi de lutter contre les inégalités et les différences d’appréciation en matière de protection des données personnelles. De plus, ce règlement viendra en complément du Règlement UE général n°2016/679 du 27 avril 2016 sur la protection des données personnelles dont l’entrée en vigueur est prévue le 25 mai 2018.

L'ancienne directive ePrivacy 2002/58/CE du 12 juillet 2002 avait toutefois déjà fait l’objet de transpositions éparses dans le droit français de 2004 à 2012 à travers 11 textes, le nouveau règlement aura donc pour mérite de servir de texte unique de référence sur le sujet et directement applicable  :

-      Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique
-   Loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle
-   Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
-   Décret n° 2005-862 du 26 juillet 2005 relatif aux conditions d'établissement et d'exploitation des réseaux et à la fourniture de services de communications électroniques
-      Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information »
-      Loi n° 2011-302 du 22 mars 2011 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière de santé, de travail et de communications électroniques
-  Loi n° 2011-901 du 28 juillet 2011 tendant à améliorer le fonctionnement des maisons départementales des personnes handicapées et portant diverses dispositions relatives à la politique du handicap
-      Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques
-     Décret n° 2012-436 du 30 mars 2012 portant transposition du nouveau cadre réglementaire européen des communications électroniques
-   Décret n° 2012-488 du 13 avril 2012 modifiant les obligations des opérateurs de communications électroniques conformément au nouveau cadre réglementaire européen

Dans le règlement en préparation, trois volets sont prévus :
  • 1er volet : l'écoute, l'interception, l'analyse et le stockage de SMS, de courriers électroniques ou d'appels vocaux seront interdits à défaut de consentement de l'utilisateur : cela concernera le contenu de la communication mais aussi les données relatives au lieu, à l’heure et au destinataire. (cela concernera aussi les applications telles que WhatsApp, facebook, Skype, Gmail, etc).
  • 2ème volet : la transparence en matière d’utilisation des cookies. L’objectif est d’offrir aux utilisateurs un environnement numérique moins "envahi" par les bandeaux cookies qui s’affichent à chaque page visitée. A cet égard, l'utilisateur aura la possibilité d’accepter ou de refuser les cookies et devrait pouvoir le faire plus systématiquement en configurant les paramètres de navigation (concernant les cookies dits "cookies tiers", qui visent essentiellement à communiquer des données à des tiers à des fins commerciales, les navigateurs devront pouvoir permettre leur blocage par défaut)

Remarque : le cookie est l'équivalent d'un fichier texte de petite taille, stocké sur le terminal d’un internaute. Leur apparition date des années 90 et permettent ainsi aux développeurs de sites web de conserver des données utilisateur afin de faciliter la navigation et de permettre certaines fonctionnalités. Les cookies ont toujours été plus ou moins controversés car ils contiennent des informations personnelles pouvant potentiellement être exploitées par des tiers.

2 directives à prendre en compte :

-   Directive 2002/58 sur la vie privée : elle contient des règles sur l'utilisation des cookies. Article 5 §3 exige que le stockage des données (comme les cookies) dans l'ordinateur de l'utilisateur puisse seulement être fait si : l'utilisateur est informé de la façon dont les données sont utilisées ; il est donné à l'utilisateur la possibilité de refuser cette opération de stockage. Cependant, cet article statue aussi que le stockage de données pour raisons techniques est exempté de cette loi. Selon l'avis du G29 n° 2/2010 de 2010, cette directive demeure très mal appliquée : la plupart des sites se limite à une simple "bannière" informant de l'utilisation de "cookies" sans donner d'information sur les utilisations, sans différencier les cookies "techniques" des cookies de "pistage", ni d'offrir de choix réel à l’utilisateur.

-   Directive 2009/136/CE du 25 novembre 2009 renforce donc les obligations préalables au placement de cookies sur l'ordinateur de l'internaute à condition que celui-ci ait donné son accord après avoir reçu une information claire et complète. Cependant, malgré la volonté contraire du législateur européen, aucun navigateur ne permet encore de dissocier les cookies techniques et les cookies optionnels.
  • 3ème volet : l’interdiction des communications électroniques non sollicitées, quel que soit le support utilisé (emails, SMS, appels téléphoniques, etc.). Sauf consentement préalable de l’utilisateur. Ainsi, pour l’envoi de spams, l’internaute pourra matérialiser son consentement en cochant une case et recevoir ainsi des offres commerciales de la société. De même, le consommateur qui aura activement inscrit son numéro sur liste rouge ne devra pas recevoir d’appels téléphoniques à visée commerciale.
Ce 3ème volet pose des interrogations d’utilité pour la France : en effet, l’envoi de spams est déjà encadré par le droit de la consommation en France, de même que la mise en place de restrictions téléphoniques (Plateforme « bloctel.gouv.fr », issue de la loi n°2014-344 du 17 mars 2014 relative à la consommation). Les SMS et les messages vocaux ne sont pas concernés, mais dépendent d’une autre procédure (Plateforme du 33 700).

Les principales cibles de ce texte, sont les acteurs de la publicité ciblée et les GAFA. En effet, La nouvelle proposition de la commission entend inclure dans son champ d’application l’ensemble des opérateurs de services de télécommunications : tels que Facebook (Facebook Messenger), WhatsApp, Google Hangout, etc.

Pour certains observateurs, cette proposition ne va pas assez loin en matière de protection des données.

Comme l’explique Lukasz Olejnik, chercheur britannique diplômé d’un doctorat informatique de l’INRIA, spécialisé dans les question de sécurité et vie privée, la proposition de la commission ne prend pas en compte les évolutions techniques qui attendent les navigateurs et se contente finalement de valider le statu quo : « À titre d’exemple, cette nouvelle mise à jour de la directive ne prend pas en compte le fait que les navigateurs disposeront bientôt de fonctionnalités bien plus puissantes, tels que l’accès aux données de capteurs ou encore l’appairage entre le navigateur et l’appareil de l’utilisateur, via Bluetooth. ».  Ainsi, les navigateurs pourront saisir des données via les appareils connectés, notamment la collecte des cookies.

Ainsi, ce nouveau règlement semblerait simplement renouveler quelques bases déjà acquises en 2009 ou avec la nouvelle Directive entrant en vigueur en 2018, sans réellement apporter de progrès.

Les Etats annoncent qu'ils prendront  position sur ce règlement seulement à partir de fin avril 2017. Le 9 février 2017, le G29 a déclaré qu'il publiera son avis sur le règlement « peut-être en avril, sûrement avant l’été [NDLR : 2017]». 

MR


Une invention ne mérite une protection par brevet que quand elle est suffisamment divulguée : sanction de la nullité :

https://www.courdecassation.fr/jurisprudence_2/chambre_commerciale_574/1514_6_38165.html