E-Privacy : Différence entre versions

De La Quadrature du Net
Aller à la navigationAller à la recherche
(Conseil de l'UE)
(Parlement européen)
Ligne 89 : Ligne 89 :
  
 
Le Parlement choisit une commission principale chargée d'amender la proposition de loi. D’autres commissions parlementaires émettent également un avis (un ensemble d'amendements) que la commission principale devra prendre en compte au moment de voter son rapport.  
 
Le Parlement choisit une commission principale chargée d'amender la proposition de loi. D’autres commissions parlementaires émettent également un avis (un ensemble d'amendements) que la commission principale devra prendre en compte au moment de voter son rapport.  
 +
 +
La procédure interne du Parlement européen ([http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+RULES-EP+20170116+RULE-069-3+DOC+XML+V0//FR Article 69 quater]) offre la possibilité de mettre en question le mandat de la rapporteur afin de renvoyer un texte en plénière, même s'il était adopté en commission principale. Ceci demandent qu'au moins 10% des membres de la commission s'opposent au mandat de la rapporteur. Si le mandat n'obtient pas la majorité à nouveau, le texte sera soumis à des amendements, cette fois en plénière.
  
 
*Commission principale: [http://www.europarl.europa.eu/committees/fr/libe/subject-files.html?id=20170329CDT01341 Commission LIBE]'''
 
*Commission principale: [http://www.europarl.europa.eu/committees/fr/libe/subject-files.html?id=20170329CDT01341 Commission LIBE]'''
Ligne 119 : Ligne 121 :
 
* [[E-Privacy/JURI|Commision JURI]].
 
* [[E-Privacy/JURI|Commision JURI]].
  
La commission principale '''a rendu''' un [http://www.europarl.europa.eu/sides/getDoc.do?type=REPORT&reference=A8-2017-0324&language=EN rapport] en octobre 2017 (une version modifié de la proposition de règlement) qu'on a analysé [https://www.laquadrature.net/fr/eprivacy_echoue ici].
+
<br>
 +
 
 +
La commission principale '''a voté''' un [http://www.europarl.europa.eu/sides/getDoc.do?type=REPORT&reference=A8-2017-0324&language=EN rapport] le 19 octobre 2017 (une version modifié de la proposition de règlement) qu'on a analysé [https://www.laquadrature.net/fr/eprivacy_echoue ici].
  
 
Ce rapport détermine la position initiale du Parlement pour les négociations interinstitutionnelles (trilogues) et termine alors la deuxième étape législative dont on a fait [https://www.laquadrature.net/fr/eprivacy_bilan_pe bilan].  
 
Ce rapport détermine la position initiale du Parlement pour les négociations interinstitutionnelles (trilogues) et termine alors la deuxième étape législative dont on a fait [https://www.laquadrature.net/fr/eprivacy_bilan_pe bilan].  
 +
 +
Info complémentaire: Les groupes conservateurs ECR et PPE ont mis en question le mandat de la rapporteur pour les négociations interinstitutionnelle, mais le Parlement a finalement [http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fNONSGML%2bPV%2b20171026%2bRES-RCV%2bDOC%2bPDF%2bV0%2f%2fEN&language=EN approuver] son mandat et ainsi le rapport voté le 19 octobre. 
  
 
<br>
 
<br>

Version du 14 novembre 2017 à 12:19

Cette page a pour but de suivre l’examen du projet de règlement ePrivacy.

Dernière mise à jour : 12 juillet 2017



Calendrier

À venir

  • fin 2017 / début 2018 : adoption de la déclaration conjointe du Conseil de l'UE, début des trilogues

Passé

  • 26 octobre 2017 : adoption du mandat de Lauristin et alors du rapport de LIBE en plénière ;
  • 24 octobre 2017 : ECR et EPP demandent la remise en cause du mandat de la rapporteuse principale de LIBE (Lauristin, S&D) en plénière ;
  • 19 octobre 2017 : adoption du rapport de LIBE (S&D/Verts/GUE/ALDE > EPP/ECR) ;
  • 02 octobre 2017 : adoption de l’avis d’ITRE ;
  • 28 septembre 2017 : adoption de l’avis d’IMCO.
  • 10 juillet 2017 : deadline pour les amendements en LIBE ;
  • 21 juin 2017 : présentation en LIBE du projet de rapport par la rapporteuse Marju Lauristin (S&D) ;
  • 22 juin 2017 : deadline pour les amendements en IMCO et en ITRE ;
  • 11 mai 2017 : Échange de vues en commission LIBE (date indicative) ;
  • 11 avril 2017 : Auditions au Parlement européen ;
  • 16 mars 2017 : Nomination de la rapporteuse pour avis en ITRE Kaya Kallas (ALDE) ;
  • 09 mars 2017 : Nomination de la rapporteuse principale en LIBE Marju Lauristin (S&D) ;
  • 28 février 2017 : Nomination du rapporteur pour avis en JURI Axel Voss (PPE);
  • 09 février 2017 : Nomination de la rapporteure pour avis en IMCO Eva Maydell (PPE) ;
  • 09 janvier 2017 : Présentation par la Commission européenne de sa proposition de règlement ;
  • 12 avril au 05 juillet 2017 : Consultation des parties prenantes par la Commission européenne.

Sources : ITRE work in progress & IMCO timetables.



Le projet de règlement

Contexte

Le règlement ePrivacy intervient au terme des évolutions législatives commencées il y a 20 ans :

  • En 1995, l’Union européenne a adopté sa première loi protégeant les données personnelles : la directive 95/46/CE. Cette directive visait tout secteur d’activité impliquant le traitement de données et a posé les grands principes en la matière : loyauté des traitements, principe et exceptions au consentement, information des individus, autorités de contrôle…
  • En 1997, la directive 97/66/CE, a complété la directive de 1995 dans le secteur des télécommunications. Elle a interdit aux opérateurs de réseaux de communications électroniques (téléphone, Internet) d’analyser le contenu des communications et les données de connexion y afférant sans le consentement des utilisateurs. Seulement deux exceptions étaient permises : la nécessité d’acheminer les communications et, s’agissant seulement des données de connexion, la nécessité de calculer les paiements dus par les abonnés ou dus à d’autres opérateurs pour l’interconnexion. Ainsi, en matière de télécommunications, cette directive a éliminé les exceptions particulièrement larges et dangereuses permises par la directive de 1995 au sujet d’autres secteurs d’activité ;
  • En 2002, la directive 2002/58/CE (directive ePrivacy) a remplacé celle de 1997. Elle a repris les principes posés par cette dernière en en ajoutant un nouveau : l’interdiction de traiter des données de localisation sans le consentement des utilisateurs et sans que ces données n’aient été anonymisées ;
  • En 2009, la directive 2009/136/CE a ajouté une nouvelle règle à ePrivacy (voir sa version consolidée) : l’interdiction de déposer ou de lire des informations (tels que des cookies) sur le terminal des utilisateurs sans le consentement de ceux-ci. Jusqu’ici, une telle pratique était autorisée sous la simple condition que l’utilisateur en soit informé et puisse s’y opposer, sans que son consentement ne soit requis ;
  • En 2016, l’UE a transformé la directive générale de 1995 en un règlement 2016/679 (règlement général sur la protection des données : RGPD). Ce règlement a notamment posé de nouvelles exigences en matière de consentement (devant désormais être explicite et véritablement libre) tout en conservant les anciennes et dangereuses exceptions. Ce règlement entrera en vigueur en mai 2018 ;
  • La Commission européenne annonçait alors que la révision du cadre général devrait être suivie par celle de la directive ePrivacy. Ainsi, en juillet 2016, la Quadrature du Net a répondu à une consultation de la Commission à ce sujet avant de publier, en septembre 2016, une lettre ouverte appelant la Commission à s’engager pour la confidentialité de nos communications électroniques. Suite à cela, la Quadrature a exprimé ses revendications auprès des fonctionnaires de la DG CONNECT (Direction Générale des réseaux de communication, du contenu et des technologies de la Commission européenne), du cabinet d’Andrus Ansip (Vice-Président en charge des questions numériques) et du cabinet de Günther Oettinger (à l’époque Commissaire à l’économie et à la société numérique).

Objectifs

Le règlement ePrivacy sur « le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques » a pour objectif de remplacer l’ancienne directive de 2002 sur le même sujet afin d’encadrer les nouvelles évolutions technologiques et faire face aux nouveaux défis qu’elles représentent pour les droits et libertés ;

  • Forme juridique : La Commission européenne a souhaité faire de ce texte un règlement afin que les nouvelles dispositions s’appliquent directement et de la même manière dans tous les pays de l’UE (le texte de 2002 était une directive et, en tant que telle, se contentait de poser des principes que chaque État membre devait ensuite reprendre dans ses lois nationales) ;
  • De nouveaux acteurs concernés : Un autre objectif affiché dès le début par la Commission a été l’élargissement du champ d’application du règlement afin que de nouveaux fournisseurs de services qui n’existaient pas encore en 2002 soient soumis aux mêmes obligations que les anciens qui, eux, étaient déjà dans le champ d’ePrivacy. Ces nouveaux acteurs sont les services de messagerie en ligne comme Whatsapp, Skype ou Viber ;
  • Assurer la confidentialité du contenu et des métadonnées de nos messages : l’utilisation du contenu et des métadonnées de nos communications par les fournisseurs de services est encadrée et limitée à certaines situations bien précises (assurer la communication, maintenir la sécurité du réseau, établir les factures, etc.). Malheureusement cet objectif est déjà remis en cause dans la proposition de la Commission elle-même, puisque cette dernière a souhaité parallèlement à cela « ouvrir de nouvelles opportunités commerciales pour les opérateurs télécoms »[1] en élargissant les possibilités de traitement des métadonnées, basés sur le consentement de l’utilisateur ;
  • Une révision et simplification de la disposition sur les cookies : Le nouveau règlement ePrivacy vis à simplifier le consentement requis au dépôt de cookies en l’intégrant au moment de la configuration des paramètres du navigateur de l’utilisateur ;
  • Traçage hors ligne : Par ailleurs, le nouveau règlement vise aussi à réglementer de nouvelles formes de pistage, autres que les cookies, à travers des dispositions sur la collecte des données émises par l’équipement terminal (à compléter).



Les décideurs

Le règlement proposé par la Commission européenne sert uniquement de base au débat.

Ensuite, le Parlement européen et le Conseil de l’UE pourront chacun le modifier pour proposer leur propre version. La position finale du Conseil ne peut toutefois pas être adoptée tant que le Parlement n'a pas rendu son rapport.

Une fois adopté leurs positions, le Parlement et le Conseil entre aux négociations interinstitutionnelles (trilogues) afin de se mettre d’accord sur un texte commun.


Parlement européen

Dossier ePrivacy du Parlement européen.

La procédure

Le Parlement choisit une commission principale chargée d'amender la proposition de loi. D’autres commissions parlementaires émettent également un avis (un ensemble d'amendements) que la commission principale devra prendre en compte au moment de voter son rapport.

La procédure interne du Parlement européen (Article 69 quater) offre la possibilité de mettre en question le mandat de la rapporteur afin de renvoyer un texte en plénière, même s'il était adopté en commission principale. Ceci demandent qu'au moins 10% des membres de la commission s'opposent au mandat de la rapporteur. Si le mandat n'obtient pas la majorité à nouveau, le texte sera soumis à des amendements, cette fois en plénière.


Les positions

Voir notre analyse des amendements déposés en

et la documentation des amendements déposés en


La commission principale a voté un rapport le 19 octobre 2017 (une version modifié de la proposition de règlement) qu'on a analysé ici.

Ce rapport détermine la position initiale du Parlement pour les négociations interinstitutionnelles (trilogues) et termine alors la deuxième étape législative dont on a fait bilan.

Info complémentaire: Les groupes conservateurs ECR et PPE ont mis en question le mandat de la rapporteur pour les négociations interinstitutionnelle, mais le Parlement a finalement approuver son mandat et ainsi le rapport voté le 19 octobre.


Conseil de l'UE

La procédure

Le Conseil parvient à sa position dans différentes étapes et formations:

  • D'abord, une des différentes groupes de travail ('Working Party') est choisie par la présidence du Conseil afin d'examiner la proposition de loi. Cet examen préparatoire est plutôt technique/juridique que politique et le groupe n'est alors pas obligé de présenter un accord. C'est le groupe de travail "Télécommunications et société de l'information (WP TELE)" qui est en charge pour le règlement ePrivacy.
  • Ensuite, la proposition est transmise au 'Comité des représentants permanents' (Coreper) qui regroupe les diplomates auprès de l'UE de chaque État membre. En effet chargé de trouver un accord politique, le Coreper peut soit trouver un accord lui-même, soit renvoyer la proposition au groupe avec des propositions de compromis.
  • Enfin, une fois trouvé un accord, la proposition est transmise à une des dix 'formations du Conseil' qui regroupent les ministres sectoriels de chaque État membre. Deux tiers des propositions y sont adoptées sans débat, mais il suffit qu'un seul État membre s'oppose à la proposition pour que la discussion est rouvert. Les trilogues avec le Parlement puissent commencer dès que la déclaration conjointe du Conseil est adoptée. C'est le "Conseil Transports, télécommunications et énergie" (TTE) responsable pour le règlement ePrivacy.


Les positions

La déclaration conjointe du Conseil est attendue pour fin 2017/début 2018. Par expérience, on s'attend à que les États membres sont très favorables au lobbying de l'industrie et en conséquence à une législation 'flexible' concernant la protection des données. Cette constellation explique pourquoi qu'on critique la portée du rapport voté au Parlement qui risque de n'être pas assez fort pour faire face au pouvoir immense du Conseil au cours des trilogues.

Voici un récapitulatif des positions du Conseil jusqu’à présent:

  • 13 novembre : Un rapport de progrès de la présidence estonienne du Conseil de l'UE est publié et sera discuté à la réunion du TTE le 4 décembre. En outre, la présidence met en perspective la possibilité d'une deuxième réunion du WP TELE en décembre afin de discuter les articles 6 à 8 (base légale du traitement ultérieur des données) et 10 («vie privée par défaut»). Cela reste à confirmer. Ainsi, le rapport rassemble les sujets discutés jusqu'à présent aux réunions du WP TELE mais aucune proposition précise est articulée par des États sur ces articles délicats. Ce texte n'a pas beaucoup de progrès à rapporter, il définit plutôt l'agenda: dans quelle mesure les services 'machine-to-machine' devrait être couverts (seulement service de transmission ou aussi couche applicative)? Est-ce qu'uniquement les autorités nationales de la protection des données devront super-visionner ce règlement ou est-ce que d'autres autorités devront également s'en occuper? Certains États demandent 'plus de flexibilité' concernant la supervision. De plus, les États membres ont fortement exprimer de ne pas vouloir 'saboter' des ainsi nommés 'modèles commerciales légitimes' (voir positions du lobby des éditeurs) en faisant progresser la protection des utilisateurs. Aussi, le Conseil cherche toujours à faire entrer la question de la rétention des données dans le débat sur ePrivacy, précisément dans les articles 2, 6, 7 et 11.
  • 30 octobre : Dans un lettre à la présidence du Conseil de l'UE, le Sénat néerlandais met en cause la distinction entre métadonnées, données et contenu de communication dans la proposition de la Commission européenne. En craignant que cela aura pour résultat des degrés inégaux de protection de données, les néerlandais demandent une réponse de la Commission européenne dans les trois mois.
  • 24 octobre : Pendant la réunion du Conseil télécoms (TTE), la présidence estonienne n’a pas évoqué le règlement ePrivacy dans ses priorités. Cependant, les ministres des États membres se sont engagés à publier un rapport d'avancement d'ici à sa prochaine réunion, prévue le 4 décembre 2017.
  • 16 octobre : La présidence estonienne propose un nouveau texte de compromis traitant les articles 12 à 20 et qui fera l'objet des réunions WP TELE du 25 octobre. Dans ce texte, l'obligation des services à informer ses utilisateurs sur les 'risques de sécurité détectés' (art. 17) proposée par la Commission est supprimée. Concernant ceci, la position du Parlement va plus loin et oblige les services au chiffrement de bout-en-bout afin de pouvoir garantir une 'protection suffisante' (amendement 140); cela sera sûrement attaquer par les États membre au cours des trilogues. En outre, le compromis de la présidence propose que plusieurs autorités de supervision soient responsables du règlement, non seulement celles de protection des données (comme voulue par Commission et Parlement).
  • 6 octobre : La présidence estonienne propose un nouveau texte de compromis traitant les articles 1 à 5 et qui fera l'objet des réunions WP TELE du 18 octobre. Ce propos plus alarmant vise à limiter le champ du règlement ePrivacy aux réseaux auxquels les utilisateurs accèdent tous sous les mêmes conditions (considérant 13). Cela figure une tentative tout à fait hypocrite, car cette modification revient à éliminer presque toute la protection actuellement offerte par la directive ePrivacy et, en fait, serait égale à l'abrogation du règlement ePrivacy. Également, la présidence estonienne cherche à aligner la régulation des fournisseurs de courriels et de messagerie instantanée (OTT) sur celle actuellement imposée aux opérateurs de télécommunications (ISP), sans réguler les OTT au-delà. Le texte propose à plusieurs moments de soumettre les traitements concernant la conservation des communications - souvent au cœur du service des OTT - seulement au RGPD. Cela contournerait le but principale du règlement ePrivacy qui est justement d'étendre le champ de la directive ePrivacy aussi aux fournisseurs de courriels et de messagerie instantanée (OTT), en plus des opérateurs de télécommunications (ISP).
  • 19, 20 et 25 septembre : Les réunions du WP TELE ont confirmé que les intérêts des États sont bien à quoi on s'attendait: la majorité demandent plus de flexibilité concernant le traitement des données, métadonnées et contenus (art. 6) et celui stockées dans les appareils des utilisateurs (art. 8). Toute en assurant de ne pas vouloir dépasser les frontières du RGPD, ils sont encore loin de parvenir à une position finale.
  • 8 septembre 2017 : La présidence estonienne du Conseil propose un premier texte de compromis. Dans un sens positif, le texte ne réclame pas 'l’intérêt légitime' comme base juridique de traitement des données de communication (point majeur du lobby de l’industrie), ni la possibilité des exceptions nationales voulu par certains États membres. Cependant, ce propos est sans préjudice pour les réunions du WP TELE le 19, 20 et 25 septembre, où il sera discuter. Ainsi, il appelle les États membres à se préciser sur les communications 'machine-to-machine' (art. 5.2), sur la base juridique du traitement ultérieur (art. 7 et 8), sur les cas où les utilisateurs doivent consentir au traitement de leurs données (art. 9), sur les paramètres de confidentialité (art. 10) et sur les compétences des autorités de supervision (art. 18).



Le débat

Positions de la société civile

Nos positions

Nos amendements.

Positions de nos alliées

Position de l'industrie

De nombreux types d’acteurs et de secteurs tentent d’influencer le règlement ePrivacy.

Toutes ces entités ont leurs propres intérêts et leurs propres priorités en termes de lobbying sur le texte. Mais en gros, ils cherchent à établir l'idée qu'il ne s'agirait pas de la protection des données, mais que ce serait le pluralisme des médias, la lutte contre les fake news, voire "l'avenir de l'Internet" qui est en jeu.

Une page entière est dédiée à la documentation des positions des différents lobbys.

  1. Voir la diapositive 9 de la présentation du règlement par la Commission.