ePrivacy : un règlement européen qui crispe les pros du numérique
Un règlement européen peut en cacher un autre. Alors que le nouveau cadre sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai prochain, un autre texte sur la « vie privée et communications électroniques » suscite de vifs débats en simultané.
Actuellement en discussion à Bruxelles, ce projet de règlement ePrivacy fait l'objet d'un intense lobbying multi-partite.
L'objectif de ce texte est d'abroger la directive 2002/58 du 12 juillet 2002 et d'harmoniser la législation des Etats membres en matière de confidentialité des communications électroniques.
Les règlements GDPR et ePrivacy sont censés être applicables simultanément au 25 mai 2018, indiquait une contribution blog sur LEXplicite.fr en date du 6 novembre 2017. Mais rien ne l'assure en l'état actuel.
Censé être appliqué en même que le Règlement général sur la protection des données et être assorti des mêmes niveaux de sanction en cas d'infraction (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel), ePrivacy est présenté comme un complément visant à renforcer la protection de la vie privée des internautes.
Le projet de règlement général ePrivacy a été présenté initialement par la Commission européenne en janvier 2017, modifié par le Parlement européen en octobre 2017 puis consolidé par le Conseil européen en fin d'année.
Mais un consensus global semble toujours difficile à trouver entre les instances de décision européennes et les intérêts industriels des groupes numériques engagés dans l'exploitation des données personnelles.
ePrivacy vise à renforcer la vie privée de l'internaute en encadrant le traitement des traces laissés derrière lui en fonction de sa navigation Web. A savoir les métadonnées, les adresses IP et autres cookies.
ePrivacy généralise la notion de consentement explicite et éclairé (« opt-in »).
Une démarche plus exigeante que la simple validation via un bandeau à cookie, qui apparaît dès que l'on arrive sur la page d'accueil d'un site Web. Car l'internaute pourrait paramétrer son navigateur pour interdire par défaut certaines catégories de cookies (en effectuant du coup un tri entre cookies perçus comme intrusifs ou tolérables).
Ce changement d'approche suscite l'inquiétude des éditeurs de presse en ligne, qui ont besoin de données générées par les lecteurs pour améliorer et personnaliser leurs offres éditoriales et leurs services.
En octobre 2017, ils se sont fendus d'une lettre ouverte signée de manière commune par les syndicats de presse en France.
Parallèlement, d'autres catégories de professionnels dans les domaines de l'édition (comme le Geste) ou de la publicité en ligne (regroupés sous la bannière IAB) se montrent aussi perplexes vis-à-vis de cette évolution escomptée à travers ePrivacy.
« Nous restons mobilisés au niveau français et européen pour défendre notre industrie », évoquait ainsi la branche française de l'IAB dans une contribution remontant à octobre 2017.
Des chevauchements avec le RGPD
Les professionnels du secteur numérique se mobilisent également, en évoquant une « règlementation inadaptée au marché ».
Dans une étude très détaillée, Tech In France, qui représente 400 entreprises françaises et internationales du logiciel et d'Internet (start-up, PME, ETI et groupes), estime que le règlement ePrivacy, à la différence du RGPD, n'envisage le sujet de la vie privée qu'au prisme de la « suspicion ».
« Là où le RGPD s'était attelé à fonder une relation de confiance entre l'utilisateur et le service, le Règlement E-privacy n'envisage son sujet qu'au prisme de la suspicion : toute donnée est suspectée emporter de la 'vie privée' de très nombreuses communications sont ainsi soumises au régime strict du consentement préalable puis de l'effacement », évoque Tech In France dans un communiqué.
De son côté, Syntec Numérique, une autre organisation professionnelle influente dans le secteur du numérique, avait exprimé ses préoccupations dans une note de décembre 2017 réservée à ses membres.
« De par son champ d'application très étendu, le règlement ePrivacy s'appliquerait potentiellement à la plupart des produits et services de l'industrie numérique, avec le risque de vider de sa substance certaines dispositions du RGPD. »
Au regard de sa perception, la chambre professionnelle des SSII, des éditeurs de logiciels et des sociétés de conseil en technologies, propose que le RGPD garde la priorité sur ePrivacy et que l'entrée en vigueur de ce dernier soit différée d'au moins 18 mois après son adoption.
Un frein à l'essor de l'IoT ?
ePrivacy aurait aussi des impacts sur le développement de l'internet des objets. « Les données échangées entre les machines connectées sont aujourd'hui stockées puis « processées » dans le cloud, pour offrir de nouveaux services sur la base du big data.
Demain, ces usages se heurteront aux obligations d'ePrivacy » selon Tech in France.
Comment, en effet, demander le consentement à des machines ou à des vaches dans le cas de l'agriculture connectée ? s'interroge l'organisation présidée par Bertrand Diard (co-fondateur de Talend).
C'est donc tout un pan de la transformation numérique de l'industrie qui serait impactée citant, en exemple, les voitures connectées, ou de la digitalisation des points de vente (puces RFID.). Tech in France demande donc le retrait du volet machine to machine du texte.
Cette position se retrouve au niveau européen au sein d'un document de DigitalEurope qui regroupe différentes organisations professionnels européens dont Tech in France et Syntec numérique pour la France.
Egalement concernés par le projet de règlement : les opérateurs télécoms ou les fournisseurs de communications « over the top » de type WhatsApp ou de courriel et les acteurs de la publicité en ligne exercent un puissant lobbying.
« Les données personnelles ne sont pas une marchandise «
La Quadrature du Net a recensé leurs actions dans un wiki. L'association de défense des libertés civiles sur le Net se réjouit, elle, des avancées obtenues.
Parmi elles, le fait qu'aucun internaute ne pourra se voir refuser l'accès à un site au seul motif qu'il a refusé d'y être tracé.
Autre avancée jugée encourageante par La Quadrature du Net : les fournisseurs de communications devront, eux, garantir la confidentialité des communications par, a priori, un chiffrement de bout en bout.
« Les données personnelles ne peuvent être comparées à un prix et, ainsi, ne peuvent être considérées comme des marchandises », invoque la Quadrature du Net dans un communiqué remontant à novembre 2017.
Le dispositif ePrivacy reste encore à peaufiner entre les différentes instances européennes pour une vision harmonieuse et unifiée. Mais un consensus sera-t-il dégagé d'ici mai 2018 ?
Sur le même thème
Voir tous les articles Data & IA