Enews Legipresse

Recevez la newsletter et entrez dans le Club Légipresse
Valider
Valider l'adresse e-mail pour inscription à l'E-news

Le club Légipresse

Les 2 derniers inscrits
Julie Canet

Etudiante
Pi Bou

étudiant

Vidéos

02/09/2016
Fabrice Arfi, Médiapart

Forum 2015 - Informer n'est pas un délit

Toutes les vidéos
Accueil > Communications électroniques > La Proposition de Règlement ePrivacy se trompe de cible et de moyens - Communications électroniques

Communications électroniques
/ Tribune


23/06/2017


La Proposition de Règlement ePrivacy se trompe de cible et de moyens




Alexandre Balducci
Avocat au Barreau de Paris, Cabinet K&L Gates
Pas d'autre article de cet auteur pour le moment.
 

Le 10 janvier 2017, la Commission européenne a publié sa Proposition de règlement « ePrivacy »(1) (la « Proposition » ou le « Règlement ePrivacy »), qui a vocation à abroger la directive « Vie privée et communications électroniques » n° 2002/58/CE du 12 juillet 2002 (la « Directive ePrivacy »). Ce texte viendra compléter le Règlement Général sur la Protection des Données 2016/679 du 27 avril 2016(2) (ci-après, le « RGPD ») pour entrer en vigueur le même jour, le 25 mai 2018.

D’aucuns ont pu croire que le RGPD allait bouleverser la manière dont les entreprises collectent, utilisent ou partagent des données personnelles et que le niveau de sanctions qu’il instaure (jusqu’à 4% du chiffre d’affaires mondial consolidé) en faisait LA réforme majeure du numérique pour les dix prochaines années.

Ils ont raison. Mais le Règlement ePrivacy ne sera pas un texte subalterne. Il a vocation à régir tous les mécanismes traitant de données personnelles ou mettant en jeu la vie privée des personnes sur les réseaux de communication électronique : données de trafic, adresse IP, données de localisation, dépôt et utilisation de fichier cookies ou de traceurs, mesure d’audience, publicité en ligne, notamment comportementale, marketing et prospection directe par courrier électronique, par téléphone, usage des données de facturation, annuaires, etc.


I. Un rassemblement sans précédent des acteurs français du numérique

Près de vingt associations et fédérations professionnelles françaises se sont regroupées afin d’analyser la Proposition de Règlement ePrivacy et d’alerter les pouvoirs publics français et européens sur les incohérences et l’impact de ce projet sur l’activité de leurs membres(3). Leur analyse convergente couvre un périmètre d’activités numériques tout à fait inédit, à la hauteur des enjeux réglementaires et économiques internes et externes à l’Union européenne.


II. La Proposition « ePrivacy » est contraire aux principes édictés par le RGPD et est inadaptée aux nouveaux usages de l’internet

L’un des changements essentiels découlant de la Proposition concerne les « cookies et autres traceurs » (articles 8 à 10). Il porte sur la manière, le moment et le moyen permettant à une personne physique d’accepter ou de refuser l’enregistrement d’un fichier dans son terminal (ordinateur, tablette, smartphone), lorsqu’elle navigue sur un site web ou au sein d’une application mobile intégrant des fonctionnalités liées à un logiciel de navigation. L’articulation des articles 8 à 10 remplacerait ainsi l’actuel article 5 §3 de la Directive ePrivacy(4).

A cet égard, la Proposition inverse l’obligation d’information complète des personnes(5), qui interviendrait, en pratique, après l’expression d’un consentement ou d’un refus(6). Cette inversion de la chronologie information/consentement contredit profondément les principes et les règles édictés par le RGPD(7) et ne permettrait plus de rechercher un équilibre entre les finalités légitimes poursuivies par l’entreprise et les droits des personnes(8). Ce faisant, le projet d’article 10 de la Proposition violerait le RGPD en ce qu’il ne saurait y avoir de consentement ou de refus préalable à l’information des personnes sur les finalités des cookies ou autres traceurs et sur l’identité des responsables de traitement.

En effet, la Proposition substitue au choix individuel, contextualisé, spécifique et informé des personnes, lequel doit être offert à l’occasion de l’accès à un service déterminé (cas prévu par la Directive ePrivacy), un choix préalable, global, non spécifique et décontextualisé visant à accepter ou rejeter, lors de l’installation d’un nouveau logiciel de navigation(9), de futurs potentiels cookies, selon leur origine (« first » ou « third »), mais sans aucune information préalable conforme aux principes du RGPD. En retenant comme seul critère de choix la source d’un cookie et non sa finalité, le législateur européen vient ajouter une condition d’origine et oublie le principe de finalité, qui constitue pourtant la colonne vertébrale des textes de protection des données, notamment le RGDP ou la Directive ePrivacy / l’article 5-I-b du RGPD En définitive, la Proposition vise un moment permettant aux personnes d’exprimer des préférences - l’installation du logiciel de navigation - sans avoir encore reçu la moindre des informations obligatoires visées par le RGPD. En imposant à l’utilisateur final d’effectuer un choix global et décontextualisé dès l’installation d’un nouveau logiciel de navigation, le projet d’article 10 dissocie le choix de l’internaute et le contenu de l’information qu’il est en droit de recevoir en application de l’article 5-I-b du RGDP.

La Proposition rompt également l’exigence d’équilibre de l’article 6.f) du RGPD relatif à la licéité des traitements de données nécessaires aux fins et intérêts légitimes poursuivis par le responsable du traitement, dès lors que ne prévalent pas les droits ou libertés fondamentaux des personnes. En effet, l’article 10 de la Proposition introduit une primauté du consentement, alors que le RGDP n’établit pas une telle hiérarchie. La Proposition supprime ainsi l’examen - tout aussi valable, au regard du RGPD, que le consentement des personnes - qui doit être nécessairement opéré entre les finalités légitimes poursuivies par une entreprise et les droits des personnes. Le Règlement ePrivacy prohiberait ainsi par principe des activités légitimes, sans autre forme d’arbitrage ni justification.

Par ailleurs, la Proposition élude l’idée même que les personnes pourraient modifier leurs préférences en matière de cookies, dans quelque sens que ce soit, comme la manière dont ces modifications pourraient être prises en compte juridiquement et techniquement, ainsi, enfin, que la responsabilité pouvant incomber aux acteurs qui émettraient des cookies ou autres traceurs. En effet, le mécanisme de consentement envisagé par la Proposition ne permettrait pas en pratique aux responsables de traitement de respecter, d’une part, leurs obligations d’information et, d’autre part, l’exigence d’accountability, puisqu’il n’existera aucune documentation ni aucun support permettant de démontrer valablement qu’une personne a consenti ou avait consenti -voire, avait refusé- à un instant ‘T’, au dépôt de cookies sur son terminal.

La Proposition ignore totalement la reconnaissance par le RGPD des procédés de pseudonymisation(10), qui peuvent constituer des garanties figurant parmi les conditions de licéité des traitements de données(11) et qui servent à la sécurité et la confidentialité des données. Or, l’emploi de « cookies » ou d’autres dispositifs de traçabilité comparables résulte très majoritairement, en matière de mesure d’audience et de publicité, de techniques de pseudonymisation, que le RGPD ne soumet à aucun moment au consentement préalable des personnes.

Enfin, la Proposition ignore totalement les réalités technologiques des terminaux mobiles (smartphones, tablettes) et des écosystèmes d’applications actuels qui diffèrent, techniquement et économiquement, de celles liées à l’internet non-mobile et ne permettent pas aujourd’hui de mettre en œuvre les modalités de recueil du consentement et d’information des utilisateurs tels qu’envisagées par le texte. En l’état, aucune solution n’existe ni n’est évoquée par la Proposition pour permettre aux acteurs économiques, qui dépendent tous des systèmes d’exploitation des terminaux mobiles, de se conformer aux exigences de la Proposition. Les acteurs des services mobiles seraient donc dans l’impossibilité de se conformer aux dispositions de la Proposition dans leurs rapports avec les utilisateurs finaux. En l’état, la Proposition reviendrait donc à proscrire toute technologie mobile qui ne serait pas strictement nécessaire au fonctionnement d’une application ou qui ne permettrait pas le recueil du consentement d’un utilisateur.


III. La protection de la vie privée des citoyens européens serait confiée à des acteurs américains

Les carences juridiques et techniques de l’embryon de dispositif actuellement envisagé par la Proposition, favorisent, tant par leur construction que par leurs insuffisances, des acteurs et des modèles économiques pouvant échapper, en droit et en pratique, au cadre règlementaire européen et aux autorités européennes de protection des données. En effet, en restreignant la question posée aux internautes à un critère lié aux seuls cookies tiers, la Proposition favoriserait nécessairement les acteurs qui déposent des cookies « first party » indispensables à la fourniture d’un service en ligne et qui ont à cet égard une relation directe avec un internaute. Cela s’opèrera au détriment de l’ensemble des acteurs qui déposent des cookies sans disposer d’une relation contractuelle directe avec un internaute (services de mesure d’audience, publicité, marketplaces, etc.).

A cet égard, pour tout traitement de données, le RGPD distingue les finalités principales des finalités secondaires. Les acteurs liés par un contrat aux internautes pourront justifier ne pas avoir besoin du consentement des personnes, y compris pour un usage des cookies pour des finalités publicitaires secondaires, tandis que les acteurs non liés aux internautes par un contrat, devront nécessairement solliciter le consentement de ces derniers quant à des finalités publicitaires secondaires.

Il est très préoccupant que le législateur européen envisage de confier la mise en œuvre du dispositif envisagé à des entreprises américaines qui dominent le marché mondial de la publicité numérique et comportementale et, plus généralement, de l’économie de la donnée, au rang desquels trois acteurs sont éditeurs de logiciels de navigation (Chrome, Internet Explorer, Safari). Ce simple fait permettra à ces acteurs d’avoir une position très favorable, en ce qu’ils pourront utiliser des cookies nécessaires au fonctionnement du navigateur lui-même pour l’ensemble des services qu’ils fournissent ailleurs sur le web (recherche, publicité, audience, etc.).

Si la protection des données personnelles est un élément-clé de la compétition des économies numériques, il conviendrait que la Proposition soit à la hauteur de l’objectif qui lui est assigné de protéger les intérêts et valeurs de l’Union européenne, communs aux citoyens, aux acteurs économiques et aux régulateurs européens. Tel n’est pas le cas, en l’état du texte de la Proposition, tant sur le plan juridique et économique, qu’en termes de stratégie de régulation.


IV. Un risque pour la compétitivité des acteurs français et européens du numérique

Lorsque l’on évoque les cookies, il convient de distinguer les cookies « first », déposés par le fournisseur du service visité, des cookies « third » ou « tiers » déposés par des tiers. Ces cookies tiers servent principalement à la mesure d’audience des sites, à l’identification des utilisateurs de réseaux sociaux (pour permettre de partager facilement un article sur Facebook par exemple) et à la fourniture de publicité ciblée, ou, a minima, permettre d’éviter la redondance des publicités. Ces usages particuliers des cookies tiers ne peuvent être réalisés au moyen de cookies « first ». Les nouvelles dispositions de la Proposition relatives au placement de cookies et autres traceurs commerciaux suscitent à cet égard de fortes inquiétudes parmi les professionnels européens du numérique.


Mesure d’audience. Les outils de mesure d’audience opposables entre les acteurs des marchés publicitaires sont, par nature, fournis et opérés par des tiers aux parties prenantes. L’enjeu économique et concurrentiel d’une mesure d’audience fiable implique tant la mesure statistique de l’audience des services de communication électroniques, que la mesure de la fiabilité des marchés publicitaires. Cet enjeu économique, servi par les cookies « third » qui n’entraînent pas de suivi individualisé des parcours de navigation, est tout simplement celui de la crédibilité et de la pérennité des marchés publicitaires. A cet égard, la stratégie poursuivie par la Commission européenne peut paraître paradoxale, celle-ci ayant pris le soin de reconnaître l’importance du rôle de la publicité au regard du financement et de l’accessibilité des contenus gratuits en ligne, juste avant de présenter cette Proposition qui tend à prohibant les business models publicitaires, sans pour autant permettre aux utilisateurs finaux de bénéficier d’une protection plus effective de leur vie privée et de leurs données.


Réseaux sociaux. Quasiment tout les services de communication électronique interactive comportent aujourd’hui de plug-ins de réseaux sociaux, lesquels sont non seulement plébiscités par les utilisateurs, mais illustrent les positions dominantes des principaux éditeurs des réseaux sociaux, dont trois d’entre eux sont également des éditeurs de logiciels de navigation et de moteurs de recherche d’informations. Un tel enjeu concurrentiel ne saurait être arbitré par un régime prohibant les cookies tiers que les utilisateurs finaux n’auraient d’autre choix que d’accepter auprès de ces réseaux sociaux, alors que ces mêmes cookies tiers engageraient la responsabilité des entreprises européennes qui fournissent des services de communications électroniques.


Réseaux publicitaires tiers. Les services de communication électronique financés en tout ou partie par la publicité doivent aujourd’hui recourir à des mécanismes d’enchères et d’insertions programmatiques reposant sur des cookies tiers et permettant d’afficher moins de publicités, des publicités plus pertinentes et moins répétitives ou intrusives. Cet enjeu économique de la pertinence et de la personnalisation des offres ne saurait être arbitré par un régime règlementaire européen qui prohiberait et stigmatiserait a priori des cookies tiers que les utilisateurs finaux rejetteraient massivement, sans disposer d’une information claire et précise sur leurs finalités légitimes, ni sur un responsable de traitement déterminé.

Sur le plan économique, les acteurs européens ne peuvent demeurer compétitifs ou simplement viables si leur seule alternative consiste à dégrader la qualité ou le contenu de leurs services à l’égard des internautes qui refuseraient l’insertion de publicités, voire à refuser purement et simplement à ces internautes l’accès à leurs services. Les nouvelles dispositions de la Proposition pourraient donc également entraîner des conséquences néfastes sur les relations qu’entretiennent les media numériques européens avec les annonceurs, ces derniers risquant de se détourner des medias européens au profit d’autres acteurs non européens ayant la capacité de diffuser en masse des publicités ciblées au sein de services gratuits et ne laissant aucun choix à l’utilisateur final quant aux cookies utilisés. Par conséquent, les articles 8 à 10 de la Proposition de Règlement contredisent l’ambition de l’Union Européenne de favoriser un marché unique numérique compétitif et de qualité. Au contraire, les nouvelles dispositions envisagées renforceraient la suprématie de géants américains du Web au sein de leurs marchés directs respectifs (moteurs de recherche, réseaux sociaux), comme sur les marchés publicitaires avals sur lesquels ils sont également dominants. En permettant à ces géants de prohiber plus aisément les cookies tiers ou publicitaires externes et de les remplacer au sein de leurs propres réseaux publicitaires par des solutions de traçabilité propriétaires, la Proposition renforcerait leur domination sur les acteurs européens, sans le moindre bénéfice pour la vie privée des citoyens européens.


Conclusion

Une fois de plus, l’enfer est pavé de bonnes intentions. L’objectif poursuivi par la Commission européenne est mal exprimé car il ne s’attache pas à fixer aux éditeurs de logiciels de navigation un véritable cahier des charges pour gérer les préférences exprimées par les internautes. Il ne s’agit pas pour les acteurs européens du numérique d’affaiblir la protection de la vie privée, mais, bien au contraire, d’exiger que celle-ci résulte d’instruments efficaces, placés sous le contrôle des régulateurs et des acteurs économiques.

L’Union européenne devrait donc exiger des logiciels de navigation qu’ils permettent un dialogue direct et interactif entre l’internaute et le fournisseur du service visité, tant pour permettre à ce dernier de délivrer une information conforme au RGPD et au futur Règlement ePrivacy, que pour tenir compte des préférences des internautes : leur consentement, leur refus ou leur changement d’avis ne devraient plus être enfermés derrière des logiciels de navigation dont le fonctionnement échappe aux régulateurs européens et aux acteurs économiques européens.

E. D.

A. B.

23 juin 2017 - Légipresse N°350
3302 mots
> Commenter
Ajouter un commentaire
Titre du commentaire :
Message :
Envoyer
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer de meilleurs services et de meilleures performances, des fonctionnalités de partage, des informations et des publicités adaptées à vos centres d’intérêts, et les statistiques de visites. Pour en savoir plus sur notre politique d'utilisation des cookies.
X Fermer ce message
Powered by Walabiz