Grou­pe de tra­vail Artic­le 29 sur le règle­ment ePri­va­cy (docu­ment de tra­vail 247, 4.4.2017) : Crain­te de saper les nor­mes du RGPD

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

,
Ven­te à emporter (AI)
  • Le grou­pe de tra­vail Artic­le 29 salue le règle­ment ePri­va­cy et son exten­si­on aux ser­vices OTT, mais met en gar­de cont­re une dimi­nu­tion de la pro­tec­tion par rap­port au RGPD dans des domain­es clés.
  • Prin­ci­pa­les cri­ti­ques : pro­tec­tion insuf­fi­san­te en cas de track­ing WiFi/Bluetooth, règles de trai­te­ment dif­fé­ren­ciées, absence d’ob­li­ga­ti­ons de pri­va­cy by default et inter­dic­tion du track­ing forcé.

Le site Grou­pe de tra­vail Artic­le 29 a orga­ni­sé le 4 avril 2017 une Avis (“Opi­ni­on”) sur le pro­jet de règle­ment ePri­va­cy a été publié. Le règle­ment ePri­va­cy (“règle­ment sur la vie pri­vée et les com­mu­ni­ca­ti­ons élec­tro­ni­ques”) est dis­po­ni­ble depuis le début de l’an­née 2017. Pro­jet avant (ici dis­po­ni­ble sur le site). Elle vise à rem­pla­cer la “direc­ti­ve sur les coo­kies” qui n’est que par­ti­el­le­ment mise en œuvre dans l’UE (DIRECTIVE 2009/136/CE). Elle est éga­le­ment com­pa­ti­ble avec la RGPD Dans son domaine d’ap­pli­ca­ti­on (le trai­te­ment des don­nées de com­mu­ni­ca­ti­ons élec­tro­ni­ques lors de la four­ni­tu­re et de l’uti­li­sa­ti­on de ser­vices de com­mu­ni­ca­ti­ons élec­tro­ni­ques), il sup­p­lan­te les dis­po­si­ti­ons diver­gen­tes du RGPD.

Le grou­pe de tra­vail salue la for­me juri­di­que de la régle­men­ta­ti­on pré­vue (règle­ment direc­te­ment appli­ca­ble) et son appro­che basée sur des prin­cipes. Il salue éga­le­ment l’ap­pli­ca­ti­on aux ser­vices dits Over-the-Top (OTT), c’est-à-dire à la trans­mis­si­on élec­tro­ni­que de con­te­nus de tiers tels que des films via Inter­net, sans qu’un explo­itant de réseau ne soit direc­te­ment impli­qué dans le con­trô­le ou la dif­fu­si­on des con­te­nus (ain­si la Com­co dans l’en­quête con­cer­nant le sport sur la télé­vi­si­on payan­te, ent­re aut­res cont­re Swis­s­com, RPW 2016/4). Sky­pe ou Face­book en sont des exemples.

Le grou­pe de tra­vail craint en revan­che une baisse de la pro­tec­tion offer­te par le RGPD pour les quat­re domain­es ou trai­te­ments suivants :

  1. Sui­vi WiFi et Blue­tooth : En l’oc­cur­rence, l’ar­tic­le 8, para­gra­phe 2, point b), du règle­ment ePri­va­cy n’e­xi­ge qu’u­ne indi­ca­ti­on clai­re, alors que le RGPD requiert en géné­ral un con­sen­te­ment et qu’il man­que une limi­ta­ti­on appro­priée du tracking ;
  2. Ana­ly­se de l’éva­lua­ti­on des don­nées de com­mu­ni­ca­ti­on : L’ar­tic­le 6 du règle­ment ePri­va­cy fait à tort la distinc­tion ent­re le trai­te­ment des don­nées de con­te­nu et celui des don­nées second­ai­res ; les deux sont tout aus­si déli­cats. Dans les deux cas, le trai­te­ment ne dev­rait en prin­ci­pe être auto­ri­sé qu’a­vec le con­sen­te­ment de tou­tes les par­ties con­cer­nées (expé­di­teur et desti­na­tai­re), dans la mesu­re où le trai­te­ment n’est pas néces­saire pour la fina­li­té prin­ci­pa­le de la com­mu­ni­ca­ti­on, c’est-à-dire pour le trai­te­ment de la com­mu­ni­ca­ti­on, la garan­tie de la sécu­ri­té des don­nées et le main­ti­en de la qua­li­té de ser­vice requi­se. Seuls cer­ta­ins ser­vices spé­ci­fi­ques seront auto­ri­sés avec le con­sen­te­ment du seul uti­li­sa­teur du ser­vice (c’est-à-dire sans le con­sen­te­ment des aut­res parties).
  3. Four­nis­seurs de logi­cielsLes systè­mes de com­mu­ni­ca­ti­on élec­tro­ni­que (par exemp­le les navi­ga­teurs, les appli­ca­ti­ons, les systè­mes d’ex­plo­ita­ti­on, etc. pro­tec­tion de la vie pri­vée par défaut (cf. artic­le 25, para­gra­phe 2 du RGPD). L’ar­tic­le 10 de la direc­ti­ve ePri­va­cy exi­ge seu­le­ment que les uti­li­sa­teurs pui­s­sent effec­tuer des rég­la­ges favor­ables à la pro­tec­tion des don­nées, mais pas que ces rég­la­ges soi­ent pré­vus par défaut.
  4. Cou­pla­ge du sui­vi et de l’ac­cès au ser­viceIl s’a­git d’in­terd­ire une off­re de sites ou de ser­vices “à prend­re ou à lais­ser”, c’est-à-dire une off­re dont l’ac­cès n’est pos­si­ble qu’a­vec le con­sen­te­ment d’un traçage.

L’a­vis du grou­pe de tra­vail “artic­le 29” con­ti­ent d’aut­res points sur les­quels il con­vi­ent éga­le­ment d’ap­por­ter des amé­lio­ra­ti­ons afin de ren­forcer la pro­tec­tion des per­son­nes concernées.

En revan­che, le pro­jet de règle­ment ePri­va­cy a été mal accu­eil­li par les ent­re­pri­ses. cri­tique sévè­re de l’in­du­strie. Bit­kom, une importan­te asso­cia­ti­on de l’in­du­strie Avis du 6 février 2017 a notam­ment cri­ti­qué les points suivants :

  • Dis­po­si­ti­ons par­al­lè­les au RGPD Il con­vi­ent de rejeter par prin­ci­pe les dis­po­si­ti­ons rela­ti­ves au con­sen­te­ment ou à l’uti­li­sa­ti­on des don­nées de localisation ;
  • l’ap­pli­ca­ti­on du règle­ment ePri­va­cy éga­le­ment aux don­nées élec­tro­ni­ques Com­mu­ni­ca­ti­on ent­re per­son­nes mora­les et ent­re machi­nes (M2M) ne serait pas néces­saire et men­acerait de nou­veaux modè­les commerciaux ;
  • de maniè­re géné­ra­le, les Des direc­ti­ves trop stric­tes;
  • l’in­tro­duc­tion du règle­ment sur les 25 mai 2018 ne laisse pas suf­fi­sam­ment de temps aux ent­re­pri­ses pour se préparer ;
  • Mesu­res d’au­to­ré­gu­la­ti­on doi­vent être davan­ta­ge soutenues.