Règle­ment ePri­va­cy : accord au Conseil

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

Ven­te à emporter (AI)
  • Le Con­seil de l’UE s’est mis d’ac­cord sur une ver­si­on du règle­ment ePri­va­cy le 10 février 2021 ; le tri­lo­gue avec le Par­le­ment et la Com­mis­si­on peut commencer.
  • Le règle­ment s’ap­pli­que aux ser­vices de com­mu­ni­ca­ti­ons élec­tro­ni­ques, aux con­te­nus et aux méta­don­nées, ain­si qu’à la pro­tec­tion des infor­ma­ti­ons rela­ti­ves aux équi­pe­ments ter­minaux pour les uti­li­sa­teurs finaux dans l’Union.
  • Les four­nis­seurs exter­nes ris­quent d’êt­re appli­ca­bles même s’ils ne sont pas étab­lis dans l’EEE ; l’ex­cep­ti­on ne con­cer­ne que la dési­gna­ti­on de repré­sen­tants et non l’ap­pli­ca­bi­li­té elle-même.

Le 10 février 2021, les États mem­bres de l’UE se sont mis d’ac­cord, au sein du Con­seil de l’U­ni­on euro­pé­en­ne, sur une ver­si­on de la Règle­ment ePri­va­cy adap­té (voir Com­mu­ni­qué de pres­se et Ver­si­on du Con­seilUne com­pa­rai­son ent­re la pro­po­si­ti­on initia­le de la Com­mis­si­on et la ver­si­on adop­tée par le Con­seil est dis­po­ni­ble à l’adres­se sui­van­te ici).

Le tri­lo­gue, c’est-à-dire la con­cer­ta­ti­on ent­re le Con­seil, la Com­mis­si­on et le Par­le­ment, peut alors com­men­cer. Si un accord est trou­vé avant la fin de l’an­née 2021, le règle­ment ePri­va­cy pour­rait au plus tôt en 2023 – après une péri­ode de tran­si­ti­on de deux ans.

La dis­po­si­ti­on rela­ti­ve au le champ d’ap­pli­ca­ti­on géo­gra­phi­que tel que modi­fié par le Con­seil, a la teneur sui­van­te – avec une Seuil de mini­mis en faveur d’entre­pri­ses situées en dehors de l’EEE :

Artic­le 3 – Por­tée ter­ri­to­ria­le et représentativité

1) Le pré­sent règle­ment s’applique

(a) la four­ni­tu­re de ser­vices de com­mu­ni­ca­ti­ons élec­tro­ni­ques aux uti­li­sa­teurs finaux rési­dant dans l’Union,

(a bis) le trai­te­ment du con­te­nu des com­mu­ni­ca­ti­ons élec­tro­ni­ques et des méta­don­nées rela­ti­ves aux com­mu­ni­ca­ti­ons élec­tro­ni­ques des uti­li­sa­teurs finaux qui se trou­vent dans l’Union ;

(b) [sup­p­ri­mé]

(c) la pro­tec­tion des infor­ma­ti­ons rela­ti­ves à l’é­qui­pe­ment ter­mi­nal des uti­li­sa­teurs finaux qui se trou­vent dans l’Union.

(c ter) la mise à dis­po­si­ti­on du public d’an­nu­ai­res d’uti­li­sa­teurs finals de ser­vices de com­mu­ni­ca­ti­ons élec­tro­ni­ques situés dans l’Union ;

(cc) l’en­voi de com­mu­ni­ca­ti­ons com­mer­cia­les direc­tes aux uti­li­sa­teurs finaux qui se trou­vent dans l’Union.

2. lorsque le four­nis­seur d’un ser­vice de com­mu­ni­ca­ti­ons élec­tro­ni­ques, le four­nis­seur d’un annu­ai­re acce­s­si­ble au public, ou une per­son­ne uti­li­sant des ser­vices de com­mu­ni­ca­ti­ons élec­tro­ni­ques pour envoy­er des com­mu­ni­ca­ti­ons de mar­ke­ting direct, ou une per­son­ne uti­li­sant des capa­ci­tés de trai­te­ment et de stocka­ge ou coll­ec­tant des infor­ma­ti­ons trai­tées par, émi­ses par ou stockées dans l’é­qui­pe­ment ter­mi­nal de l’uti­li­sa­teur final n’est pas éta­b­li dans l’U­ni­on, il dési­gne par écrit, dans un délai d’un mois à comp­ter du début de ses acti­vi­tés, un repré­sen­tant dans l’U­ni­on et le com­mu­ni­quent à l’au­to­ri­té de sur­veil­lan­ce compétente.

2a. Les exi­gen­ces énon­cées au para­gra­phe 2 ne s’ap­pli­quent pas si les acti­vi­tés énu­mé­rées au para­gra­phe 1 sont occa­si­on­nel­les et peu sus­cep­ti­bles d’en­traî­ner un ris­que pour les droits fon­da­men­taux des uti­li­sa­teurs finals, comp­te tenu de la natu­re, du con­tex­te, de la por­tée et de l’ob­jec­tif de ces activités.

[…]

Tou­te­fois, selon le libel­lé, l’ex­cep­ti­on de l’Art. 3 (2a) ne con­cer­ne que l’ob­li­ga­ti­on de dési­gner un repré­sen­tant dans l’EEE, pas à l’ap­pli­ca­ti­on du règle­ment lui-même.

Les con­sidé­rants n’offrent pas de base pour une aut­re inter­pré­ta­ti­on. Au con­trai­re, le con­sidé­rant 8 bis a) pré­cise que le règle­ment s’ap­pli­que aux ent­re­pri­ses situées en dehors de l’EEE, sans fai­re réfé­rence à une quel­con­que exception :

(8 bis bis) En out­re, le pré­sent règle­ment dev­rait s’ap­pli­quer indé­pen­dam­ment du fait que le trai­te­ment des don­nées de com­mu­ni­ca­ti­ons élec­tro­ni­ques ou des don­nées à carac­tère per­son­nel des uti­li­sa­teurs finaux qui se trou­vent dans l’U­ni­on ait lieu ou non dans l’U­ni­on, ou du fait que le pre­sta­tai­re de ser­vices ou la per­son­ne trai­tant ces don­nées est éta­b­li ou non dans l’U­ni­on.

Il faut donc actu­el­le­ment par­tir du prin­ci­pe que les ent­re­pri­ses sui­s­ses sont appli­ca­bles même si elles n’ef­fec­tu­ent qu’oc­ca­si­on­nel­le­ment et de maniè­re non ciblée un acte rele­vant du champ d’ap­pli­ca­ti­on maté­ri­el du règle­ment (p. ex. envoy­er un e‑mail publi­ci­taire à une per­son­ne physique).