E-Privacy

De La Quadrature du Net

Cette page a pour but de suivre l’examen du projet de règlement ePrivacy.

Dernière mise à jour : 12 juillet 2017



Calendrier[modifier]

À venir[modifier]

  • 23 octobre 2017 : adoption en plénière ;
  • 11 octobre 2017 : adoption du rapport de LIBE ;
  • 02 octobre 2017 : adoption de l’avis d’ITRE ;
  • 28 septembre 2017 : adoption de l’avis d’IMCO.

Passé[modifier]

  • 10 juillet 2017 : deadline pour les amendements en LIBE ;
  • 21 juin 2017 : présentation en LIBE du projet de rapport par la rapporteuse Marju Lauristin ;
  • 22 juin 2017 : deadline pour les amendements en IMCO et en ITRE ;
  • 11 mai 2017 : Échange de vues en commission LIBE (date indicative) ;
  • 11 avril 2017 : Auditions au Parlement européen ;
  • 16 mars 2017 : Nomination de la rapporteuse pour avis en ITRE Kaya Kallas ;
  • 09 mars 2017 : Nomination de la rapporteuse principale en LIBE Marju Lauristin ;
  • 28 février 2017 : Nomination du rapporteur pour avis en JURI Axel Voss ;
  • 09 février 2017 : Nomination de la rapporteure pour avis en IMCO Eva Maydell ;
  • 09 janvier 2017 : Présentation par la Commission européenne de sa proposition de règlement ;
  • 12 avril au 05 juillet 2017 : Consultation des parties prenantes par la Commission européenne.

Sources : ITRE work in progress & IMCO timetables.



Le projet de règlement[modifier]

Contexte[modifier]

Le règlement ePrivacy intervient au terme des évolutions législatives commencées il y a 20 ans :

  • En 1995, l’Union européenne a adopté sa première loi protégeant les données personnelles : la directive 95/46/CE. Cette directive visait tout secteur d’activité impliquant le traitement de données et a posé les grands principes en la matière : loyauté des traitements, principe et exceptions au consentement, information des individus, autorités de contrôle…
  • En 1997, la directive 97/66/CE, a complété la directive de 1995 dans le secteur des télécommunications. Elle a interdit aux opérateurs de réseaux de communications électroniques (téléphone, Internet) d’analyser le contenu des communications et les données de connexion y afférant sans le consentement des utilisateurs. Seulement deux exceptions étaient permises : la nécessité d’acheminer les communications et, s’agissant seulement des données de connexion, la nécessité de calculer les paiements dus par les abonnés ou dus à d’autres opérateurs pour l’interconnexion. Ainsi, en matière de télécommunications, cette directive a éliminé les exceptions particulièrement larges et dangereuses permises par la directive de 1995 au sujet d’autres secteurs d’activité ;
  • En 2002, la directive 2002/58/CE (directive ePrivacy) a remplacé celle de 1997. Elle a repris les principes posés par cette dernière en en ajoutant un nouveau : l’interdiction de traiter des données de localisation sans le consentement des utilisateurs et sans que ces données n’aient été anonymisées ;
  • En 2009, la directive 2009/136/CE a ajouté une nouvelle règle à ePrivacy (voir sa version consolidée) : l’interdiction de déposer ou de lire des informations (tels que des cookies) sur le terminal des utilisateurs sans le consentement de ceux-ci. Jusqu’ici, une telle pratique était autorisée sous la simple condition que l’utilisateur en soit informé et puisse s’y opposer, sans que son consentement ne soit requis ;
  • En 2016, l’UE a transformé la directive générale de 1995 en un règlement 2016/679 (règlement général sur la protection des données : RGPD). Ce règlement a notamment posé de nouvelles exigences en matière de consentement (devant désormais être explicite et véritablement libre) tout en conservant les anciennes et dangereuses exceptions. Ce règlement entrera en vigueur en mai 2018 ;
  • La Commission européenne annonçait alors que la révision du cadre général devrait être suivie par celle de la directive ePrivacy. Ainsi, en juillet 2016, la Quadrature du Net a répondu à une consultation de la Commission à ce sujet avant de publier, en septembre 2016, une lettre ouverte appelant la Commission à s’engager pour la confidentialité de nos communications électroniques. Suite à cela, la Quadrature a exprimé ses revendications auprès des fonctionnaires de la DG CONNECT (Direction Générale des réseaux de communication, du contenu et des technologies de la Commission européenne), du cabinet d’Andrus Ansip (Vice-Président en charge des questions numériques) et du cabinet de Günther Oettinger (à l’époque Commissaire à l’économie et à la société numérique).

Objectifs[modifier]

Le règlement ePrivacy sur « le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques » a pour objectif de remplacer l’ancienne directive de 2002 sur le même sujet afin d’encadrer les nouvelles évolutions technologiques et faire face aux nouveaux défis qu’elles représentent pour les droits et libertés ;

  • Forme juridique : La Commission européenne a souhaité faire de ce texte un règlement afin que les nouvelles dispositions s’appliquent directement et de la même manière dans tous les pays de l’UE (le texte de 2002 était une directive et, en tant que telle, se contentait de poser des principes que chaque État membre devait ensuite reprendre dans ses lois nationales) ;
  • De nouveaux acteurs concernés : Un autre objectif affiché dès le début par la Commission a été l’élargissement du champ d’application du règlement afin que de nouveaux fournisseurs de services qui n’existaient pas encore en 2002 soient soumis aux mêmes obligations que les anciens qui, eux, étaient déjà dans le champ d’ePrivacy. Ces nouveaux acteurs sont les services de messagerie en ligne comme Whatsapp, Skype ou Viber ;
  • Assurer la confidentialité du contenu et des métadonnées de nos messages : l’utilisation du contenu et des métadonnées de nos communications par les fournisseurs de services est encadrée et limitée à certaines situations bien précises (assurer la communication, maintenir la sécurité du réseau, établir les factures, etc.). Malheureusement cet objectif est déjà remis en cause dans la proposition de la Commission elle-même, puisque cette dernière a souhaité parallèlement à cela « ouvrir de nouvelles opportunités commerciales pour les opérateurs télécoms »[1] en élargissant les possibilités de traitement des métadonnées, basés sur le consentement de l’utilisateur ;
  • Une révision et simplification de la disposition sur les cookies : Le nouveau règlement ePrivacy vis à simplifier le consentement requis au dépôt de cookies en l’intégrant au moment de la configuration des paramètres du navigateur de l’utilisateur ;
  • Traçage hors ligne : Par ailleurs, le nouveau règlement vise aussi à réglementer de nouvelles formes de pistage, autres que les cookies, à travers des dispositions sur la collecte des données émises par l’équipement terminal (à compléter).



Les décideurs[modifier]

Le règlement proposé par la Commission européenne sert uniquement de base au débat.

Ensuite, le Parlement européen et le Conseil de l’UE pourront chacun le modifier pour proposer leur propre version, jusqu’à se mettre d’accord sur un texte commun.

Parlement européen[modifier]

Dossier ePrivacy du Parlement européen.

Commissions principale

La commission principale doit rendre un rapport (une version modifié de la proposition de règlement).

Ce rapport détermine la position initiale du Parlement. Cette position pourra ensuite être amendé par l'ensemble des députés, dans un second temps.

Commissions pour avis

D’autres commissions émettent un avis (un ensemble d'amendements) que la commission principale devra prendre en compte au moment de voter son rapport.

Conseil de l'UE[modifier]



Le débat[modifier]

Positions de la société civile[modifier]

Nos positions[modifier]

Nos amendements.

Positions de nos alliées[modifier]

Position de l'industrie[modifier]

De nombreux types d’acteurs et de secteurs tentent d’influencer le règlement ePrivacy.

  • les opérateurs télécoms : rares sont les opérateurs eux-mêmes qui prennent position contre le texte. Orange, Telefonica, Deutsche Telekom, etc. sont très actifs dans les institutions et auprès des décideurs politiques mais laissent leurs associations et fédérations professionnelles (ETNO, ECTA, Cable Europe, GSMA etc.) prendre position publiquement ;
  • l’industrie des technologiques numériques : une grande catégorie fourre-tout dans laquelle on met généralement aussi bien les grands géants comme Google et Facebook mais également tous les nouveaux fournisseurs de service de messagerie comme Whatsapp, Viber, Skype, etc. Le lobbying est principalement fait par des associations professionnelles comme DigitalEurope (association principale au niveau EU), Bitkom, SyntecNumerique, TechUK etc ;
  • l’industrie de la publicité : peut-être la plus virulente dans son lobbying, elle est majoritairement représentée par IAB (Interactive Advertising Bureau), puissant lobby des régies publicitaires et fervent défenseur du modèle économique actuel du web ;
  • les éditeurs : et notamment les éditeurs de presse qui craignent de voir leur modèle économique basé sur la publicité ciblée remis en question par des dispositions encadrant le pistage des utilisateurs. Parmi les grandes fédérations opérant à Bruxelles on retrouve ENPA (European Newspaper Publisher's Association), FEP (Federation of European Publishers), EMMA (European Magazine Media Association) etc.

Toutes ces entités ont leurs propres intérêts et leurs propres priorités en termes de lobbying sur le texte. Mais jusqu’à l’automne 2016, elles avaient au moins un intérêt commun : faire abroger purement et simplement la directive ePrivacy au lieu de la réviser. Le 5 juillet 2016, les opérateurs télécom, l’industrie numérique, les publicitaires et les fédérations d’éditeurs demandent tous ensemble l’abrogation de la directive ePrivacy.

Une page entière est dédiée à la documentation des positions des différents lobbys.
  1. Voir la diapositive 9 de la présentation du règlement par la Commission.