18 Nov La Proposition de règlement ePrivacy – 4 avril 2017
La Proposition de règlement ePrivacy concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques a été présentée par la Commission européenne le 10 janvier dernier. Les différences sont notables, entre la version officielle et celle fuitée le 12 décembre 2016. La Proposition de règlement ePrivacy (lex specialis) vient compléter les dispositions générales du Règlement général sur la protection des données (RGPD). Elle s‘inscrit dans un calendrier très serré, réglé sur celui du Règlement européen sur la protection des données. Les deux textes devront entrer en application le 25 mai 2018. Les ambitions de la Commission européenne sont claires, mais il n‘est pas certain qu‘elle parvienne à faire adopter le texte dans ce délai.
La Proposition de règlement ePrivacy : quelles révolutions ? I Le champ d‘application matériel (article 2) La Proposition de règlement ePrivacy devrait abroger la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électronique (2002/58/CE) actuellement en vigueur. Elle va englober l‘ensemble de la structure d‘Internet et s‘appliquera aux fournisseurs de services de communications électroniques (y compris OTT comme Skype ou WhatsApp), d‘annuaires accessibles aux publics, de logiciels permettant des communications électroniques. Elle concerne également le traitement des métadonnées, la promotion et la prospection commerciale par les communications électroniques, ainsi que le recueil des informations sur les équipements terminaux. Son champ d‘application est large et ses dispositions sensibles. Il est donc nécessaire de s‘intéresser de près aux discussions en cours
I Le champ d‘application territorial (article 3)
Il concerne la fourniture de services de communications électroniques aux utilisateurs finaux en France et plus largement dans l‘Union Européenne. Lorsque le fournisseur d‘un service de communications électroniques n‘est pas établi dans l‘UE, il doit désigner un représentant dans l‘UE. Les grandes plateformes internationales comme Google, Amazon, Facebook ou Apple sont donc concernées.
I Dispositions relatives aux cookies (articles 8, 9 et 10) Le projet de règlement reprend des dispositions bien connues. Il distingue les cookies first et third party et prévoit que le recueil du consentement préalable n‘est pas requis pour les cookies non intrusifs pour la vie privée, comme les cookies de session. Tous les cookies tiers sont soumis au même régime, sans considération de l‘identité de l‘émetteur. Le régime des cookies de mesure d‘audience est aménagé : le consentement préalable n‘est pas requis « à condition que ce mesurage soit effectué par le fournisseur du service de la société de l‘information demandé par l‘utilisateur final » (article 8).
A date lorsqu‘il s‘agit du recueil préalable du consentement à la dépose des cookies, la CNIL admet que « l‘acceptation de l‘internaute peut s‘exprimer en déroulant la page visitée » (scroll). Mais cette doctrine pourrait être amenée à évoluer avec la règlementation à venir.
Les autorités communautaires estiment que les bandeaux d‘information déployés aujourd‘hui sur tous les sites n‘ont pas permis d‘atteindre l‘objectif d‘informer clairement l‘utilisateur. Par conséquent, elles souhaitent que l‘éditeur du site aménage la possibilité d‘un paramétrage des options de confidentialité via le navigateur. Dans la version préparatoire de la Proposition de règlement ePrivacy, le navigateur était paramétré par défaut pour bloquer les cookies. Cette rédaction qui aurait eu pour
conséquence de servir aux utilisateurs une publicité non ciblée aurait engendré un impact considérable sur les revenus publicitaires des éditeurs, et plus largement pour tous les professionnels représentant de nombreux services de la société de l‘information : fournisseurs de contenus et de services en ligne, commerçants électroniques, régies publicitaires, agences des communications, réseaux publicitaires, fournisseurs de données, etc.
La nouvelle rédaction présentée le 10 janvier est plus souple et recommande un système d‘opt in. Les alinéas 2 et 3 de l‘article 10 prévoient que logiciel de navigation informe l‘utilisateur final des paramètres de confidentialité disponibles et, avant de continuer l‘installation, lui impose d‘en accepter un. Dans le cas d‘un logiciel déjà installé à la date du 25 mai 2018, les exigences visées à l‘article 10, alinéas 1 et 2 seront remplies au moment de la première mise à jour du logiciel, mais au plus tard le 25 août 2018. Les éditeurs de logiciels de navigation devront donc programmer une mise à jour dès l‘adoption de la Proposition de règlement ePrivacy.
Par ailleurs, l‘utilisateur qui a donné son consentement peut le retirer à tout moment, et cette possibilité doit lui être rappelée tous les 6 mois (alinéa 3 de l‘article 9).
La Proposition de règlement ePrivacy: comment s‘y préparer ? I Focus sur les projets d‘articles 8, 9 et 10 Le projet d‘article 8 traite de la protection des informations stockées dans les équipements terminaux des utilisateurs finaux ou liées à ces équipements. La condition du recueil du consentement doit être remplie dès lors que l‘utilisation des capacités de traitement et de stockage des terminaux des utilisateurs et la collecte d‘informations provenant de ces terminaux ne sont pas nécessaires au fonctionnement du service.
Le projet d‘article 9 traite des modalités d‘expression du consentement des personnes, lorsque celui ci est exigé en application de l‘article 8, 51. Le renvoi à des paramètres techniques du logiciel de navigation n‘est pas impératif, mais aucune alternative n‘est évoquée.
Le projet d‘article 10 vise à imposer une nouvelle obligation d‘information sur les paramètres de confidentialité des navigateurs ainsi que des nouvelles options de leur configuration. Plus concrètement, à un choix individuel, cookie par cookie, selon un contexte, l‘accès à un service déterminé, selon sa finalité et son émetteur (responsable), le projet d‘article 10 de la Proposition de Règlement ePrivacy substituerait un choix global visant à accepter ou rejeter des cookies selon leur origine, lors de l‘installation d‘un nouveau logiciel de navigation ou d‘une nouvelle version. A date, ce paramétrage nécessite une action de l‘internaute, postérieurement à l‘installation du navigateur sur son terminal. Mais avec la mise en place du projet de Règlement ePrivacy au 25 mai 2018, l‘internaute devra effectuer un choix dès l‘installation du logiciel de navigation sur son terminal et exprimer une position non informée quant aux cookies à finalité publicitaire ou commerciale avant même d‘avoir pu effectivement naviguer sur le web.
Alors que le Règlement général sur la protection des données (RGPD) prévoit que l‘information des personnes doit intervenir préalablement à l‘exercice d‘un choix éclairé, la Proposition de règlement e Privacy inverse la chronologie de l‘information et du choix et viole directement le RGPD. En effet, l’inversion de l‘obligation d‘information complète des personnes (article 8), qui interviendrait en pratique après l‘expression d‘un consentement ou d‘un refus (article 10), contredit profondément les objectifs, les principes et les règles du RGPD. En imposant à l‘utilisateur final d‘effectuer un choix à l‘aveugle dès l’installation d‘un nouveau logiciel de navigation, le projet d‘article 10 vient décorréler le choix de l‘internaute et l‘information qu‘il est en droit de recevoir afin d‘être en mesure d‘effectuer un choix éclairé.
Contrairement à la version de travail qui a fuité le 12 décembre 2016, le texte officiellement proposé le 10 janvier 2017 introduit la configuration du logiciel de navigation comme une possibilité, une simple faculté, alors que la version de travail l‘imposait comme une obligation. Par ailleurs, il exige le consentement ou le refus de l‘utilisateur final, alors que la version de travail restait muette sur ce point.
Par ailleurs en l‘état actuel, la Proposition de Règlement ePrivacy ne permet pas aux personnes de modifier leur choix quant aux cookies en fonction du site visité, et ne permet pas aux sites de refléter de telles modifications. Concrètement, l‘éditeur qui aura réussi à convaincre l‘utilisateur de basculer du refus vers l‘acceptation des cookies tiers (publicitaires, analytics...) ne pourra pas faire en sorte que le logiciel de navigation prenne automatiquement en compte ce refus converti en acceptation. Or, si le logiciel de navigation ne prévoit pas l‘inscription de cette information, l‘éditeur se trouvera dans l‘impossibilité de déposer un cookie qui indique que l‘utilisateur accepte le dépôt des cookies tiers. En effet, ce cookie sera automatiquement rejeté par le navigateur de l‘utilisateur final qui aura exprimé lors du paramétrage le choix global de n‘accepter aucun cookie tiers. En outre, même si le cookie permettant de manifester le changement de choix de l‘internaute est un cookie first, le navigateur
n‘acceptera par la suite aucun cookie tiers du fait de son paramétrage. Pour résoudre cette difficulté, deux solutions sont envisageables :
– La première solution serait de demander à l‘utilisateur final de prendre l‘initiative de modifier lui–même les paramètres de son navigateur. –La seconde solution serait donc d‘ouvrir la faculté pour le site web d‘interagir avec le navigateur afin de modifier les paramètres définis par l‘internaute. Il s‘agirait donc d‘automatiser ce dialogue, une solution qui permettrait aux personnes d‘exprimer un choix éclairé, spécifique, ponctuel et contextualisé quant à l‘utilisation des cookies. Ce point est ignoré par le Proposition de Règlement e Privacy. Il ne s‘agit pas de favoriser les navigateurs comme une solution de choix pour l‘expression du consentement mais il est nécessaire d‘infléchir cette réalité et de permettre un dialogue oui/non entre l’utilisateur et le site.
A ce jour il n‘existe aucun moyen technique adopté par l‘Internet Engineering Task Force (IETF) permettant de modifier les paramètres d‘un navigateur à l‘occasion de l‘interaction d‘un utilisateur avec un site web donné. Pour information, I‘IETF est l‘organisation chargée de définir les règles mondiales qui président aujourd‘hui au paramétrage des logiciels de navigation sur Internet et de fonctionnement des cookies. C‘est notamment l‘IETF qui détermine les composantes de la phrase d‘information sur les cookies présentée par les logiciels de navigation. Cette phrase ne donne aucune précision sur l‘émetteur des cookies ou sur les finalités de
traitement.
L‘article 10 de la Proposition de Règlement ePrivacy introduit un cahier des charges qui va obliger les éditeurs de logiciels de navigation à modifier les règles actuelles de paramétrage de leurs logiciels et de fonctionnement des cookies. Ce n‘est qu‘une fois que les règles inscrites au sein de la Proposition de Règlement ePrivacy auront été intégrées aux règles et standards fixés par l‘IETF que les éditeurs de logiciels de navigation seront en mesure de mettre en pratique ce nouveau mécanisme décrit à l‘article 10. Toutefois, aucune contrainte n‘oblige l‘IETF à améliorer la phrase d‘information sur les cookies présentée par les logiciels de navigation. Le projet Platform for Privacy Preferences (P3P) du Consortium W3C initié en 2002 avait déjà permis de lancer une réflexion sur la possibilité pour un site et un navigateur de communiquer et d‘automatiser le dialogue entre un site web et l‘utilisateur. Les logiciels de navigation sont donc d‘ores et déjà adaptés pour cette automatisation, avec la conviction que le dialogue avec le site web permettra d‘inscrire le choix de l’utilisateur.
Il est regrettable qu‘en lieu et place de demander aux éditeurs logiciels de navigation de remédier à l‘insuffisance de la phrase d‘information sur les cookies, les autorités communautaires aient choisi de reporter cette exigence au niveau de l‘éditeur du site Internet, par le biais de la mise en place au cours de ces dernières années des bannières d‘information. Ce raisonnement pose encore plus problème dans le régime envisagé ou le choix de l‘utilisateur final précède son information.
Par ailleurs, le choix d‘un raisonnement selon la source des cookies (first ou third party), et non selon leurs finalités est contestable. En effet, des cookies « first party >> peuvent très bien servir des finalités publicitaires ou commerciales et des cookies 4 third party » peuvent s‘avérer nécessaires pour des finalités de mesure d‘audience ou pour accéder à un service demandé par l‘utilisateur final (authentification ou paiement opéré par un tiers, etc.). Par ailleurs, cette distinction profiterait aux services de grands acteurs américains car le fait de restreindre la question posée aux internautes à un critère lié aux cookies tiers favoriserait nécessairement les acteurs qui déposent des cookies indispensables à la fourniture d‘un service en ligne et qui ont à cet égard une relation directe avec un internaute. Cela s‘opèrera au détriment de l‘ensemble des acteurs qui déposent des cookies non–indispensables à la fourniture d‘un service en ligne, car ne dépendant pas d‘une relation directe avec un internaute. Pour information, YouTube a récemment annoncé la fin des cookies tiers sur sa plateforme.
Cette même distinction selon la source des cookies est également dépourvue de sens s‘agissant des cookies « tiers >> de mesure d‘audience, et met en péril l‘enjeu économique et concurrentiel d‘une mesure fiable. Il est donc fort possible que les arguments soulignant les lacunes de ce raisonnement soient entendus et permettent de mettre fin à cette distinction injustifiée.
La Proposition de règlement ePrivacy a également des conséquences sur les revenus générés par la publicité personnalisée dont l‘importance est capitale dans le financement des médias en ligne. Son impact économique est sensiblement équivalent à celui du marché de la publicité digitale. Il est d‘autant plus lourd qu‘il n‘est pas de service de communication électronique financé en tout ou partie par la publicité qui ne doive désormais recourir à des mécanismes d‘enchères et d‘insertions programmatiques reposant sur des cookies tiers et permettant d‘afficher moins de publicités, des publicités plus pertinentes et moins répétitives.
Tous ces éléments découlant de l‘analyse juridique de la Proposition de réglement e Privacy (incohérence du texte, impact économique) tendent à conforter la nécessité d‘oeuvrer en faveur d‘un amendement du texte. Aucune disposition n‘oblige impérativement à faire entrer le texte au 25 mai 2018, en même temps que le RGPD.
L‘échelle des sanctions prévues en cas de non–respect des dispositions de la Proposition de règlement ePrivacy est celle du Règlement européen sur la protection des données (jusqu‘à 20 millions d‘euros ou 4% du chiffre d‘affaires annuel mondial d‘une entreprise).
Un dernier enjeu réside dans la stratégie déployée par les autorités communautaires :
en posant ces règles sans exiger des éditeurs de logiciels de navigation une amélioration notamment en ouvrant la porte du dialogue entre le site et l‘utilisateur, I‘UE place la protection de l‘internaute européen entre les mains d‘acteurs américains.
I Question du « cookies wall >>
La Proposition de règlement e Privacy ne traite pas des cookies wall, une pratique consistant à interdire l‘accès au contenu ou au service en échange de l‘obtention du consentement au traitement des données personnelles de l‘utilisateur. Mais il ne faudrait pas tirer de ce silence la possibilité d‘imposer un cookies wall aux utilisateurs car le RGPD qui entrera en application le 25 mai 2018 exige un consentement libre, explicite, informé et discrétionnaire. Ces critères interdisent donc de conditionner l‘accès à un service au consentement des personnes. Par ailleurs, l‘argument consistant à vouloir imposer un cookies wall, une forme de « péage », est inaudible d‘un point de vue politique.
I Le traitement des métadonnées
La directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électronique actuellement en vigueur établit une distinction entre les
données de localisation >> et les « données de trafic » qui ne peuvent être utilisées, une fois le consentement de l‘utilisateur recueilli, qu‘à des fins marketing (données de trafic) ou afin de fournir des services à valeur ajoutée (données de localisation). Les données de trafic sont définies dans la directive comme les données générées à l‘occasion de l‘établissement d‘une communication électronique et d‘un parcours
l‘adresse IP l‘adresse MAC, la date et l‘heure de la connectivité détectée, le système d‘exploitation du terminal et sa version, le logiciel de navigation et sa version, la langue du système d‘exploitation et la résolution d‘écran du terminal etc.). Une partie de ces données sert aussi à des fins de facturation. La Proposition de règlement e Privacy n‘introduit pas de grandes différences par rapport au régime de la directive de 2002. Elle met fin à la distinction entre données de localisation et de trafic et les regroupe sous la qualification de métadonnées. Elles ne peuvent être conservées au delà de l‘établissement d‘une communication électronique, sous réserve de l‘obligation de conserver des données de trafic pour fournir des réponses en cas de réquisition administrative ou judiciaire. En dehors cette finalité, il est impossible d‘en faire un usage commercial sauf à recueillir le consentement explicite, discrétionnaire et libre des personnes. Cette règle s‘applique aussi aux données de localisation, avec cette exigence que les personnes qui ont consenti à la localisation de leur terminal doivent renouveler ce consentement tous les six mois. A travers les cookies il s‘agit de traiter une technologie ou une fonctionnalité permettant d‘aller lire une information d‘une part, et à travers les données de navigation il s‘agit de traiter de ce que génère la navigation comme information d‘interaction, de clics, de visites etc. d‘autre part. Ces pratiques sont toutes deux soumises au consentement, elles se cumulent. Traiter une adresse IP à des fins autres que l‘acheminement d‘une communication est soumis au consentement, et associer cette adresse IP à un cookie qui permet d‘avoir un calcul du nombre de visiteurs uniques par exemple est soumis à un autre consentement qui est celui requis pour les cookies. Avant la proposition de règlement ePrivacy, l‘usage commercial des données de localisation ne faisait pas l‘objet d‘un accord ponctuel spécifique, libre et décorrélé du contrat dans la culture Opérateur Télécoms. Il va donc falloir être vigilant sur les durées de conservation des logs et envisager un parcours utilisateur où l‘on parle des données de connexion en essayant d‘obtenir un consentement.
Les prochaines grandes étapes auxquelles les éditeurs doivent se préparer
La Proposition de règlement ePrivacy pourrait être rapidement stabilisée pour, une adoption dès septembre 2017. Par conséquent, les éditeurs sont encouragés à sensibiliser en interne leurs équipes aux changements que ce texte apportera, et à se mobiliser pour arriver à faire modifier le texte. La loi n° 78–17 du 6 janvier 1978
relative à l‘informatique, aux fichiers et aux libertés devra également être modifiée prochainement pour que la réglementation française puisse être en ordre de marche dès le 25 mai 2018. Plusieurs dispositions devront également être précisées dans le RGPD (privacy impact assessment, profiling etc.).
Norme simplifiée NS–048. Les éditeurs doivent également se préparer à l‘entrée en application en septembre prochain de la norme simplifiée NS–048. Pour rappel, la CNIL a publié le 21/07 dernier une nouvelle norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects. La première version datait de 1992. Plusieurs évolutions ont été introduites dans cette nouvelle version : la CNIL consacre la théorie d‘un consentement préalable au dépôt d‘un cookie, les durées de conservation sont moins favorables mais plus claires. La CNIL durcit le régime de la NS–048. L’éditeur qui ne veut pas recourir à cette norme peut désigner un Correspondant Informatique et Libertés (CIL), en prévision de l‘entrée en vigueur du nouveau règlement européen.
Moratoire sur le recueil préalable du consentement à la dépose des cookies publicitaires. Pour rappel en mars 2016, la CNIL a pris en compte les difficultés d‘application de sa recommandation de 2013 sur les cookies, et a donc concédé un moratoire aux mises en demeure des éditeurs non encore en conformité s‘agissant
des cookies publicitaires. Ce moratoire doit en principe prendre fin en septembre. La qualification de responsable de traitement et de sous–traitant s‘effectue au cas par cas, par type et provenance de cookies. La CNIL estime que, dans tous les cas, les éditeurs de sites dont la visite déclenche le dépôt des cookies sont les seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes. En pratique, qu‘ils soient responsable de traitement ou sous–traitant il leur appartient donc de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s‘y opposer. L‘installation d‘un système de tag manager est donc utile, et le GESTE invite ses membres à s‘inscrire à la réunion technique sur les outils de Tag management et le consentement préalable aux cookies. Cette réunion aura lieu mardi 25 avril à 14h.