Le 4 décembre 2018, le Conseil de l’UE a officiellement adopté la directive établissant le code des communications électroniques européen (CCEE). Cette directive a été publiée au Journal officiel le 17 décembre 2018.

À compter du 21 décembre 2020, les services OTT, c’est-à-dire les applications de messagerie instantanée, de courriels, d’appels téléphoniques sur Internet et de messages personnels émis par le biais de réseaux sociaux devront, à l’instar des fournisseurs de télécommunications traditionnels, se conformer aux obligations de confidentialité des données électroniques établies par la Directive « Vie privée et Communications électroniques ».

Nouvelle définition des « services de communications électroniques » (SCE) par le CCEE

Initialement, les SCE correspondaient aux services de télécommunication classiques (transmission de signaux téléphoniques – voix et données – et fourniture d’accès à Internet).

Désormais, la définition des SCE ne repose plus seulement sur des paramètres techniques, tel que l’acheminement des signaux, mais sur une approche fonctionnelle, basée sur l’identification de services rendant la communication possible. Ainsi, la définition des SCE englobe dorénavant trois types de services :

  • Les services d’accès à l’internet selon la définition figurant à l’article 2, paragraphe 2, du Règlement (UE) 2015/2120,
  • Les services de communications interpersonnelles tels que définis par le CCEE
  • Les services consistant totalement ou principalement en l’acheminement de signaux.

Cette définition s’applique à la Directive « Vie privée et Communications électroniques » en raison de son article 2, qui effectue un renvoi aux définitions de SCE contenues dans la réglementation européenne en matière de télécommunications / communications électroniques, à savoir désormais le CCEE. C’est ainsi que la transposition du CCEE par les juridictions nationales entraînera l’élargissement du champ d’application de la directive aux services OTT.

Objectif

Les raisons de cette démarche sont précisées dans le considérant 15 du CCEE : « Les services utilisés à des fins de communication et les moyens techniques de leur fourniture ont fortement évolué. De plus en plus, les utilisateurs finaux remplacent la téléphonie vocale traditionnelle, les messages textuels (SMS) et les services de transmission de courrier électronique par des services en ligne équivalents sur le plan fonctionnel, tels que la voix sur IP, des services de messagerie et des services de courrier électronique en ligne. Pour que les utilisateurs finaux et leurs droits bénéficient d’une protection efficace et équivalente lorsqu’ils utilisent des services équivalents sur le plan fonctionnel » la définition doit évoluer de façon à ce que le champ d’application de la réglementation « soit approprié au regard des objectifs d’intérêt public qu’elle doit atteindre. »

Principales obligations des OTT

Deux obligations dominent :

  • Confidentialité – L’article 5 de la Directive « Vie privée et Communications électroniques » interdit l’écoute, l’enregistrement, le stockage ou tout autre type d’interception ou de surveillance des communications et des données de trafic associées par des personnes autres que les utilisateurs, sans le consentement préalable des utilisateurs concernés.

Cette obligation aura un impact certain pour les OTT, tels les services de messagerie électronique qui procèdent à l’analyse du contenu des communications électroniques pour ensuite diffuser des annonces personnalisées ou ciblées.

  • Limitation de l’utilisation des données de trafic et de localisation – Les données de trafic incluent les informations relatives à la durée d’un appel téléphonique, d’un message ou d’un courrier électronique, l’expéditeur et le destinataire de ces communications, la localisation de l’expéditeur et du destinataire, etc.

Conformément aux articles 6 et 9 de la Directive « Vie privée et Communications électroniques », les données de trafic doivent être effacées ou rendues anonymes, sauf si elles sont nécessaires à la facturation (et uniquement pendant la période au cours de laquelle la facture peut être contestée).

En outre, la Directive « Vie privée et Communications électroniques » permet au fournisseur de traiter des données de trafic pour la commercialisation de services de communications électroniques ou la fourniture d’un « service à valeur ajoutée ». Mais ceci, seulement à la condition que l’utilisateur ait donné son consentement préalable et éclairé.

Dorénavant ces articles viendront limiter aussi l’utilisation par les OTT des données de trafic et de localisation de leurs utilisateurs.

Obligation de se baser sur le consentement

La question a été posée de savoir si les OTT pouvaient éviter de demander le consentement des utilisateurs en se fondant sur une des autres conditions de traitement prévues à l’article 6 (ou l’article 9) du Règlement Général sur la Protection des Données ou RGPD (à savoir, par exemple, l’intérêt légitime).

La Directive « Vie privée et Communications électroniques » est une lex specialis qui complète et précise le RGPD. Par conséquent, pour les questions qui sont règlementées par la Directive, seule cette dernière s’applique.

Ceci signifie donc que dans la mesure où la Directive prévoit les bases juridiques des traitements de données, il ne sera pas possible d’avoir recours aux autres bases prévues dans le RGPD. En revanche les autres dispositions du RGPD s’appliquent (par exemple, concernant les droits des personnes concernées).

Exception pour les « services accessoires »

La définition de SCE contenue dans le CCEE exclut de son champ les « services accessoires » comme par exemple un canal de communication dans un jeu en ligne.

Le considérant 17 du CCEE précise que «Dans des circonstances exceptionnelles, un service ne devrait pas être considéré comme un service de communications interpersonnelles si la fonction de communication interpersonnelle et interactive est une caractéristique mineure et purement accessoire d’un autre service et, pour des raisons techniques objectives, ne peut être utilisée sans ce service principal, et son intégration n’est pas un moyen de contourner l’applicabilité des règles régissant les services de communications électroniques. [À savoir] lorsque son utilité objective pour un utilisateur final est très limitée et qu’elle est en réalité à peine utilisée par les utilisateurs finaux »

La portée de cette exclusion devra être interprétée au cas par cas.

Par ailleurs le considérant 17 précise que « Les services […], tels que la radiodiffusion linéaire, la vidéo à la demande, les sites internet, les réseaux sociaux, les blogs ou l’échange d’informations entre machines, ne devraient pas être considérés comme des services de communications interpersonnelles ».

Date d’application

Ces obligations seront applicables à compter du 21 décembre 2020. Date à laquelle les États membres devront publier les lois nationales de transposition du CCEE.

Qu’en est-il du projet de Règlement « Vie privée et Communications électroniques » ?

En 2017, la Commission a présenté une proposition abrogeant la directive « Vie privée et communications électroniques » et la remplaçant par un Règlement. Le processus législatif est toujours en cours et il est difficile de pronostiquer quand il aboutira, ni son contenu exact.

En attendant les OTT ont tout intérêt à se préparer à l’application de la Directive « Vie privée et Communications électroniques » à certains de leurs services et traitement de données personnelles.

Un article a été publié en langue anglaise par Rosa Barcelo et Matt Buckwell de nos bureaux de Bruxelles et Londres dans le blog de l’IAPP https://iapp.org/news/a/new-european-electronic-communications-code-means-the-application-of-the-eprivacy-directive-to-otts/