Les États membres sont incapables de s’entendre sur un compromis pourtant accepté par le Parlement européen et la Commission. Entre ceux qui ont peur de perdre leurs prérogatives, ceux qui craignent une diminution du niveau de protection et ceux qui à l’inverse considèrent qu’on impose trop de règles, c’est le chaos … avec le risque que le texte ne soit jamais adopté.
Règlement e-privacy c. RGPD
Le Règlement Général sur la Protection des Données personnelles (RGPD) remplace la directive de 1995 et règlemente, de façon horizontale (tous secteurs), la protection des données à caractère personnel.
Un autre texte, tout aussi important, est la directive vie privée et communications électroniques (e-privacy) de 2002, modifiée en 2009. Au contraire du RGPD qui se veut transversal, la directive e-privacy est verticale. Elle contient notamment des dispositions relatives aux éléments suivants :
- la sécurité des réseaux et des services ;
- la confidentialité des communications ;
- l’accès aux données stockées ;
- les cookies ;
- le traitement des données relatives au trafic et à la localisation ;
- l’identification de la ligne appelante ;
- les annuaires publics d’abonnés ; et
- les communications commerciales non sollicitées (“spam”).
L’entrée en vigueur du RGPD implique la mise à jour de la directive e-privacy, mais ce chantier-là a pris du retard.
Après une proposition de 2017, le dossier a souffert de blocages et lenteurs.
Vers un compromis ?
Une lueur d’espoir a vu le jour en septembre denrier : la présidence finlandaise du Conseil de l’UE présentait aux États membres une proposition de compromis.
Premier point mis en exergue dans le compromis : la lutte contre la pornographie enfantine. L’idée est de permettre aux opérateurs d’effectuer des traitements encadrés en vue de détecter, effacer et dénoncer les échanges portant sur de la pornographie enfantine.
Le deuxième volet mis en exergue dans le compromis porte sur les traitements qu’implique le marketing, et en particulier :
- Email marketing ;
- La définition du marketing direct ;
- Procédures relatives aux appels de marketing direct.
Troisième volet, et non des moindres, les cookies. Entre la vision maximaliste de la Commission, les désirs du secteur et des annonceurs et l’expérience vécue ces dernières années (qui lit l’avertissement avant de cliquer?), la présidence tente un accord sur la consentement de l’utilisateur final aux cookies.
Le compromis tentait également une percée sur les métadonnées. Derrière ce petit nom se cache un enjeu considérable, par exemple la géolocalisation.
Enfin, la présidence tente le grand écart sur la conservation des données de connexion ; qui peut/doit conserver quoi, pendant combien de temps ? Qui peut y accéder et pour quels motifs ? Derrière cette question se profile tout le dossier des enquêtes criminelles : entre le désir de tout conserver pour que la police puisse y accéder en cas de besoin, et la CJUE qui a clairement balisé les limites à ne pas franchir, le débat est complexe.
Ce compromis a depuis lors été discuté, et une nouvelle version a été soumise aux parties prenantes en novembre.
Le COREPER a (probablement) enterré le texte
Le COREPER (Comité des représentants permanents, visé à l’article 240 du traité sur le fonctionnement de l’Union européenne) est chargé de préparer les travaux du Conseil de l’Union européenne. Il est composé des représentants des pays membres de l’UE ayant rang d’ambassadeurs auprès de l’Union européenne et est présidé par le pays de l’UE qui assure la présidence du Conseil.
Le COREPER est chargé de l’examen préalable des dossiers qui figurent à l’ordre du jour du Conseil. Il tente de dégager un accord sur chaque dossier; à défaut, il peut présenter des orientations au Conseil et le laisser trancher.
Le COREPER du 22 novembre 2019 devait se pencher sur le compromis finlandais.
Il semble (il n’y a pas de communiqué officiel) qu’aucun accord n’a pu être trouvé. Le désaccord serait tellement profond que le dossier ne sera(it) même pas présenté au Conseil qui se réunit en décembre par peur d’exposer au public les divergences de vues entre les capitales.
L’avenir du texte est plus que jamais compromis.
Des États membres incapables de s’entendre
Il est significatif de noter que le blocage vient du COREPER, c’est-à-dire des États membres et non des instances européennes.
Le Parlement et la commission se sont mis d’accord sur un texte acceptable, mais les Etats membres refusent de perdre leurs prérogatives. L’absence de règlement leur permet en effet de conserver la directive actuelle qui leur laisse une plus grande marge de manœuvre. Sur le fond aussi il y a des divergences : entre ceux qui considèrent que le nouveau texte améliorera la protection, et ceux qui craignent au contraire une diminution du niveau d’exigence, le compromis semble difficile.
Si aucun texte n’est adopté, il sera facile de blâmer l’Europe.
Pourtant, si les entreprises et les consommateurs sont soumis à 28 (27 ?) régimes plus ou moins proches sans être identiques, et plus vraiment à jour sur le plan de la technologie, ce sont les capitales nationales qu’il faut montrer du doigt et non « Bruxelles ».
Plus d’infos ?
En consultant les document téléchargeables en annexe (proposition, compromis).
En consultant le recueil de documents de l’EDRI.
