La révolution RGPD ne sera complète qu’après l’adoption du règlement « vie privée et communications électroniques » destiné à remplacer la directive de 2002. Ce règlement est supposé encadrer notamment toute les activités de marketing dans la société de l’information. Autant dire que les enjeux sont considérables. La présidence finlandaise veut sortir le dossier de l’ornière et tente un compromis.

Le Règlement Général sur la Protection des Données personnelles (RGPD) remplace la directive de 1995 et règlemente, de façon horizontale (tous secteurs), la protection des données à caractère personnel.

Un autre texte tout aussi important est la directive vie privée et communications électroniques (e-privacy) de 2002, modifiée en 2009. Au contraire du RGPD qui se veut transversal, la directive e-privacy est verticale. Elle contient notamment des dispositions relatives aux éléments suivants :

  • la sécurité des réseaux et des services ;
  • la confidentialité des communications ;
  • l’accès aux données stockées ;
  • les cookies ;
  • le traitement des données relatives au trafic et à la localisation ;
  • l’identification de la ligne appelante ;
  • les annuaires publics d’abonnés ; et
  • les communications commerciales non sollicitées (“spam”).

L’entrée en vigueur du RGPD implique la mise à jour de la directive e-privacy, mais ce chantier-là a pris du retard.

Après une proposition de 2017, le dossier a souffert de blocages et lenteurs.

C’est pour débloquer les choses que ce 18 septembre 2019, la présidence finlandaise du Conseil de l’UE a présenté aux États membres une proposition de compromis sur le règlement e-privacy.

Premier point mis en exergue dans le compromis : la lutte contre la pornographie enfantine. L’idée est de permettre aux opérateurs d’effectuer des traitements encadrés en vue de détecter, effacer et dénoncer les échanges portant sur de la pornographie enfantine.

Le deuxième volet mis en exergue dans le compromis porte sur les traitements qu’implique le marketing, et en particulier :

  • Email marketing ;
  • La définition du marketing direct ;
  • Procédures relatives aux appels de marketing direct.

Troisième volet, et non des moindres, les cookies. Entre la vision maximaliste de la Commission, les désirs du secteur et des annonceurs et l’expérience vécue ces dernières années (qui lit l’avertissement avant de cliquer?), la présidence tente un accord sur la consentement de l’utilisateur final aux cookies.

Le compromis tente également une percée sur les métadonnées. Derrière ce petit nom se cache un enjeu considérable, par exemple la géolocalisation.

Enfin, la présidence tente le grand écart sur la conservation des données de connexion ; qui peut/doit conserver quoi, pendant combien de temps ? Qui peut y accéder et pour quels motifs ? Derrière cette question se profile tout le dossier des enquêtes criminelles : entre le désir de tout conserver pour que la police puisse y accéder en cas de besoin, et la CJUE qui a clairement balisé les limites à ne pas franchir, le débat est complexe.

Plus d’infos ?

En lisant la proposition initiale de 2017, et la tentative de compromis de septembre 2019 ; tous deux disponibles en annexe.

règlement e-privacy – proposition de 2017

règlement e-privacy – compromis 18 septembre 2019