« Le règlement e-Privacy ne doit en aucun cas abaisser le niveau de protection des données offert par l’actuelle directive “vie privée et communications électroniques”, mais devra compléter le RGPD pour apporter de solides garanties pour la confidentialité et la protection de tous types de communications électroniques. » C’est dans ces termes que le Comité européen de la protection des données (CEPD) a amorcé sa déclaration du 9 mars 2021 sur le futur règlement e-Privacy.
Remarque : pour rappel, le règlement sera prochainement débattu au Parlement européen. Les États membres ont approuvé mi-février un mandat de négociation en vue de la révision des règles en matière de protection de la vie privée et de la confidentialité dans l’utilisation des services de communications électroniques.
Traitement et conservation des données de communications électroniques aux fins de préserver la sécurité nationale
Le Comité rappelle que les mesures législatives qui imposent aux fournisseurs de communications électroniques la rétention des données de communication doivent être conformes :
aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne ;aux arrêts de la Cour de justice de l’Union européenne du 6 octobre 2020 « Privacy International » et « La Quadrature du Net » (v. Dalloz actualité, 6 oct. 2020, obs. C. Crichton) ;
à l’article 8 de la Convention européenne des droits de l’homme.
La confidentialité des communications électroniques requiert une protection spécifique (art. 6, 6a, 6b, 6c de la proposition de règlement)
À propos du traitement des données personnelles, le CEPD soutient l’approche basée sur une interdiction générale. Il s’inquiète cependant que certaines exceptions (art. 6(1)(c), 6b(1)(e), 6b(1)(f), 6(c)) introduites par le Conseil de l’Union européenne semblent autoriser des types de traitements très larges et rappelle la nécessité de limiter ces exceptions à des fins spécifiques et clairement définies. Ces dernières devraient être explicitement énumérées afin de garantir la sécurité juridique et le plus haut degré de protection possible. Le Comité estime également que le règlement devrait souligner le rôle de l’anonymisation en tant que garantie essentielle qui devrait être systématiquement privilégiée lorsqu’il s’agit de protéger les données personnelles.
Le CEPD ajoute qu’un chiffrement fort et à la pointe de la technologie devrait être la règle générale pour garantir un flux de données sûr, libre et fiable entre les citoyens, les entreprises et les gouvernements, et qu’il s’avère crucial pour assurer le respect de l’obligation de sécurité du RGPD, par exemple pour les données de santé, et la protection des systèmes informatiques dans un contexte de menaces croissantes. Selon lui, le chiffrement de bout en bout, de l’expéditeur au destinataire, est également le seul moyen d’assurer une protection complète des données en transit. Il insiste pour que « le cryptage reste normalisé, solide et efficace ».
La nouvelle réglementation doit renforcer la nécessité du consentement pour les cookies et autres traceurs
Le CEPD considère que la nécessité d’obtenir un consentement libre et éclairé devrait empêcher les fournisseurs de recourir à des pratiques telles que celle du « à prendre ou à laisser », qui font du consentement une condition d’accès aux services et fonctionnalités d’un site internet ou encore la pratique des cookie walls. C’est pourquoi le Comité insiste sur le besoin d’inclure dans le règlement e-Privacy une disposition consacrant cette interdiction, afin de permettre à l’utilisateur d’accepter ou de refuser le suivi publicitaire.
Par ailleurs, le CEPD estime que la dérogation à la nécessité de recueillir le consentement pour les cookies de mesure d’audience devrait être limitée à des pratiques non intrusives, qui ne sont pas susceptibles de créer un risque pour l’utilisateur (analyse de la performance du service demandé par l’utilisateur, limitée à la fourniture de statistiques à l’opérateur). En outre, il considère que la mesure d’audience ne doit pas permettre de collecter des informations de navigation relatives aux utilisateurs sur des sites web/applications distincts et devrait inclure un mécanisme user friendly permettant de refuser toute collecte de données.
Enfin, le CEPD ajoute que le futur règlement devrait redonner le contrôle aux utilisateurs et obliger les navigateurs et les systèmes d’exploitation à mettre en place un mécanisme user friendly efficace, afin de permettre aux responsables de traitement d’obtenir le consentement, dans le but de créer des conditions de concurrence équitables entre tous les acteurs.
Traitement ultérieur pour des finalités compatibles
En ce qui concerne les discussions en cours sur le traitement ultérieur des données de communications électroniques collectées par le biais de cookies et autres traceurs, le CEPD réitère son soutien à l’approche du règlement e-Privacy telle que proposée à l’origine par la Commission européenne et suivie par le Parlement européen, basée sur une interdiction générale, suivie d’exceptions limitées et de l’utilisation du consentement. Selon le Comité, la poursuite du traitement à des fins compatibles risque de compromettre la protection offerte par le règlement e-Privacy. Il souligne que les métadonnées peuvent toujours être traitées sans consentement et sans créer de risques pour les utilisateurs après avoir été rendues anonymes.
Rôle futur des autorités de contrôle, du CEPD et mécanisme de coopération
Afin de concilier un niveau élevé de protection des données à caractère personnel, le CEPD juge utile de confier aux autorités nationales chargées de l’application du RGPD la responsabilité de la mise en œuvre du règlement e-Privacy, sur les dispositions relatives au traitement des données à caractère personnel, ainsi que l’avait initialement proposé la Commission européenne.
Éditions Législatives, édition du 18 mars 2021