E-Privacy

De La Quadrature du Net
Révision datée du 15 janvier 2018 à 16:28 par Leo (discussion | contributions) (Conseil de l'UE)
Aller à la navigationAller à la recherche

Cette page a pour but de suivre l’examen du projet de règlement ePrivacy.

Dernière mise à jour : 12 juillet 2017



Calendrier

À venir

  • fin 2017 / début 2018 : adoption de la déclaration conjointe du Conseil de l'UE, début des trilogues

Passé

  • 26 octobre 2017 : adoption en plénière du mandat de Lauristin et alors du rapport de LIBE ;
  • 24 octobre 2017 : ECR et EPP demandent la remise en cause du mandat de la rapporteuse principale de LIBE (Lauristin, S&D) en plénière ;
  • 19 octobre 2017 : adoption du rapport de LIBE (S&D/Verts/GUE/ALDE > EPP/ECR) ;
  • 02 octobre 2017 : adoption de l’avis d’ITRE ;
  • 28 septembre 2017 : adoption de l’avis d’IMCO.
  • 10 juillet 2017 : deadline pour les amendements en LIBE ;
  • 21 juin 2017 : présentation en LIBE du projet de rapport par la rapporteuse Marju Lauristin (S&D) ;
  • 22 juin 2017 : deadline pour les amendements en IMCO et en ITRE ;
  • 11 mai 2017 : Échange de vues en commission LIBE (date indicative) ;
  • 11 avril 2017 : Auditions au Parlement européen ;
  • 16 mars 2017 : Nomination de la rapporteuse pour avis en ITRE Kaya Kallas (ALDE) ;
  • 09 mars 2017 : Nomination de la rapporteuse principale en LIBE Marju Lauristin (S&D) ;
  • 28 février 2017 : Nomination du rapporteur pour avis en JURI Axel Voss (PPE);
  • 09 février 2017 : Nomination de la rapporteure pour avis en IMCO Eva Maydell (PPE) ;
  • 09 janvier 2017 : Présentation par la Commission européenne de sa proposition de règlement ;
  • 12 avril au 05 juillet 2017 : Consultation des parties prenantes par la Commission européenne.

Sources : ITRE work in progress & IMCO timetables.



Le projet de règlement

Contexte

Le règlement ePrivacy intervient au terme des évolutions législatives commencées il y a 20 ans :

  • En 1995, l’Union européenne a adopté sa première loi protégeant les données personnelles : la directive 95/46/CE. Cette directive visait tout secteur d’activité impliquant le traitement de données et a posé les grands principes en la matière : loyauté des traitements, principe et exceptions au consentement, information des individus, autorités de contrôle…
  • En 1997, la directive 97/66/CE, a complété la directive de 1995 dans le secteur des télécommunications. Elle a interdit aux opérateurs de réseaux de communications électroniques (téléphone, Internet) d’analyser le contenu des communications et les données de connexion y afférant sans le consentement des utilisateurs. Seulement deux exceptions étaient permises : la nécessité d’acheminer les communications et, s’agissant seulement des données de connexion, la nécessité de calculer les paiements dus par les abonnés ou dus à d’autres opérateurs pour l’interconnexion. Ainsi, en matière de télécommunications, cette directive a éliminé les exceptions particulièrement larges et dangereuses permises par la directive de 1995 au sujet d’autres secteurs d’activité ;
  • En 2002, la directive 2002/58/CE (directive ePrivacy) a remplacé celle de 1997. Elle a repris les principes posés par cette dernière en en ajoutant un nouveau : l’interdiction de traiter des données de localisation sans le consentement des utilisateurs et sans que ces données n’aient été anonymisées ;
  • En 2009, la directive 2009/136/CE a ajouté une nouvelle règle à ePrivacy (voir sa version consolidée) : l’interdiction de déposer ou de lire des informations (tels que des cookies) sur le terminal des utilisateurs sans le consentement de ceux-ci. Jusqu’ici, une telle pratique était autorisée sous la simple condition que l’utilisateur en soit informé et puisse s’y opposer, sans que son consentement ne soit requis ;
  • En 2016, l’UE a transformé la directive générale de 1995 en un règlement 2016/679 (règlement général sur la protection des données : RGPD). Ce règlement a notamment posé de nouvelles exigences en matière de consentement (devant désormais être explicite et véritablement libre) tout en conservant les anciennes et dangereuses exceptions. Ce règlement entrera en vigueur en mai 2018 ;
  • La Commission européenne annonçait alors que la révision du cadre général devrait être suivie par celle de la directive ePrivacy. Ainsi, en juillet 2016, la Quadrature du Net a répondu à une consultation de la Commission à ce sujet avant de publier, en septembre 2016, une lettre ouverte appelant la Commission à s’engager pour la confidentialité de nos communications électroniques. Suite à cela, la Quadrature a exprimé ses revendications auprès des fonctionnaires de la DG CONNECT (Direction Générale des réseaux de communication, du contenu et des technologies de la Commission européenne), du cabinet d’Andrus Ansip (Vice-Président en charge des questions numériques) et du cabinet de Günther Oettinger (à l’époque Commissaire à l’économie et à la société numérique).

Objectifs

Le règlement ePrivacy sur « le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques » a pour objectif de remplacer l’ancienne directive de 2002 sur le même sujet afin d’encadrer les nouvelles évolutions technologiques et faire face aux nouveaux défis qu’elles représentent pour les droits et libertés ;

  • Forme juridique : La Commission européenne a souhaité faire de ce texte un règlement afin que les nouvelles dispositions s’appliquent directement et de la même manière dans tous les pays de l’UE (le texte de 2002 était une directive et, en tant que telle, se contentait de poser des principes que chaque État membre devait ensuite reprendre dans ses lois nationales) ;
  • De nouveaux acteurs concernés : Un autre objectif affiché dès le début par la Commission a été l’élargissement du champ d’application du règlement afin que de nouveaux fournisseurs de services qui n’existaient pas encore en 2002 soient soumis aux mêmes obligations que les anciens qui, eux, étaient déjà dans le champ d’ePrivacy. Ces nouveaux acteurs sont les services de messagerie en ligne comme Whatsapp, Skype ou Viber ;
  • Assurer la confidentialité du contenu et des métadonnées de nos messages : l’utilisation du contenu et des métadonnées de nos communications par les fournisseurs de services est encadrée et limitée à certaines situations bien précises (assurer la communication, maintenir la sécurité du réseau, établir les factures, etc.). Malheureusement cet objectif est déjà remis en cause dans la proposition de la Commission elle-même, puisque cette dernière a souhaité parallèlement à cela « ouvrir de nouvelles opportunités commerciales pour les opérateurs télécoms »[1] en élargissant les possibilités de traitement des métadonnées, basés sur le consentement de l’utilisateur ;
  • Une révision et simplification de la disposition sur les cookies : Le nouveau règlement ePrivacy vise à simplifier le consentement requis au dépôt de cookies en l’intégrant au moment de la configuration des paramètres du navigateur de l’utilisateur ;
  • Traçage hors ligne : Par ailleurs, le nouveau règlement vise aussi à réglementer de nouvelles formes de pistage, autres que les cookies, à travers des dispositions sur la collecte des données émises par l’équipement terminal (à compléter).



Les décideurs

Le règlement proposé par la Commission européenne sert uniquement de base au débat.

Ensuite, le Parlement européen et le Conseil de l’UE pourront chacun le modifier pour proposer leur propre version. La position finale du Conseil ne peut toutefois pas être adoptée tant que le Parlement n'a pas rendu son rapport.

Une fois adoptées leurs positions, le Parlement et le Conseil entrent aux négociations interinstitutionnelles (trilogues) afin de se mettre d’accord sur un texte commun.


Parlement européen

Dossier ePrivacy du Parlement européen.

La procédure

Le Parlement choisit une commission principale chargée d'amender la proposition de loi. D’autres commissions parlementaires émettent également un avis (un ensemble d'amendements) que la commission principale devra prendre en compte au moment de voter son rapport.

La procédure interne du Parlement européen (Article 69 quater) offre la possibilité de mettre en question le mandat de la rapporteur afin de renvoyer un texte en plénière, même s'il était adopté en commission principale. Ceci nécessite qu'au moins 10% des membres de la commission s'opposent au mandat de la rapporteur. Si le mandat n'obtient pas la majorité à nouveau, le texte sera soumis à des amendements, cette fois en plénière.


Les positions

Voir notre analyse des amendements déposés en

et notre documentation des amendements déposés en


Voir également notre analyse des amendements de compromis LIBE (en anglais) qui étaient négociés à la commission principale LIBE juste avant le vote de son rapport final.


La commission principale LIBE a voté un rapport final le 19 octobre 2017 (une version modifiée de la proposition de règlement) qu'on a analysée ici.

Ce rapport détermine la position initiale du Parlement pour les négociations interinstitutionnelles (trilogues) et termine alors la deuxième étape législative dont on a fait bilan. Pour un aperçu de la situation actuelle voir notre site de campagne.

Info complémentaire: Les groupes conservateurs ECR et PPE ont demandé la remise en cause du mandat de la rapporteur pour les négociations interinstitutionnelle, mais le Parlement a finalement approuvé son mandat en plénière le 26 octobre et donc le rapport voté le 19 octobre. Les groupes parlementaires S&D, Les Verts, ALDE et GUE ont obtenu la majorité.


Conseil de l'UE

La procédure

Le Conseil parvient à sa position dans différentes étapes et formations:

  • D'abord, un des différents groupes de travail ('Working Party') est choisi par la présidence du Conseil afin d'examiner la proposition de loi. Cet examen préparatoire est plutôt technique/juridique que politique et le groupe n'est alors pas obligé de présenter un accord. C'est le groupe de travail "Télécommunications et société de l'information (WP TELE)" qui est en charge pour le règlement ePrivacy.
  • Ensuite, la proposition est transmise au 'Comité des représentants permanents' (Coreper) qui regroupe les diplomates auprès de l'UE de chaque État membre. En effet chargé de trouver un accord politique, le Coreper peut soit trouver un accord lui-même, soit renvoyer la proposition au groupe avec des propositions de compromis.
  • Enfin, une fois trouvé un accord, la proposition est transmise à une des dix 'formations du Conseil' qui regroupent les ministres sectoriels de chaque État membre. Deux tiers des propositions y sont adoptées sans débat, mais il suffit qu'un seul État membre s'oppose à la proposition pour que la discussion soit rouverte. Les trilogues avec le Parlement peuvent commencer dès que la déclaration conjointe du Conseil est adoptée. C'est le "Conseil Transports, télécommunications et énergie" (TTE) qui est responsable pour le règlement ePrivacy.


Les positions

La déclaration conjointe du Conseil est attendue pour fin 2017/début 2018. Par expérience, on s'attend à que les États membres soient très favorables au lobbying de l'industrie et en conséquence à une législation 'flexible' concernant la protection des données. Cette constellation explique pourquoi l'on critique la portée du rapport voté au Parlement qui risque de n'être pas assez fort pour faire face au pouvoir immense du Conseil au cours des trilogues.

Voici un récapitulatif des positions du Conseil jusqu’à présent:

  • 01 janvier 2018 : Ayant assuré la présidence du Conseil de l'UE depuis juillet 2017, le mandat de l'Estonie expire à la fin de l'année. Pour le premier semestre 2018, c'est au tour de la Bulgarie d'assumer ce rôle.
  • 04 décembre : Lors de la réunion du TTE, la Présidence estonienne a proposé un nouveau compromis de sa position qui sera à nouveau discuté lors de la réunion du 11 décembre. En traitant surtout l'article 6, ce texte cherche à introduire de nouvelles bases juridiques pour le traitement des communications afin de circonvenir le consentement. Il y est alors entre autre proposé de permettre le traitement des métadonnées sans consentement pour assurer 'la performance du contrat' (article 6(2)(b)), pour protéger 'l’intérêt vital' de l’utilisateur (article 6(2)(d)) ou à des fins statistiques ou de recherche scientifique (article 6(2)(e) et cons. 17b). Concernant l'article 7, il est proposé de supprimer l'obligation d'effacement du contenu de communications électroniques et de confier le stockage des données de communications électroniques à l'utilisateur ou à une tierce partie chargée par celui. Concernant article 8, la Présidence propose de permettre aux tierces parties de mesurer l'audience au nom du prestataires de service et le comptage statistique.
  • 01 - 04 décembre : Les ministères français et allemand de l'Économie ont chacun lancé des études sur l'impacte économique du règlement ePrivacy dans le but de trouver leurs positions au sein du Conseil de l'UE. Ayant uniquement interviewé des acteurs de l'industrie numérique et de la publicité, l'étude allemande constate deux choses: à court terme, le règlement ePrivacy signifierait une perte d'un tiers du budget publicitaire en ligne et qu'à moyen et à long terme, la totalité du budget publicitaire en ligne se dirigerait vers des acteurs comme Facebook et Google car ceux-ci seraient ainsi les seuls encore capable de renoncer aux paywalls. Par conséquence, l'étude instrumentalise une critique de la situation monopolistique des géants du web pour polariser contre une stricte protection des données personnelles. De plus, il est suggéré que la position monopolistique des acteurs comme Google et Apple seraient encore renforcée par la position actuelle du Parlement qui risquaient à donner trop de pouvoir aux navigateurs internet. Cette critique vise une mesure souvent demandée par des éditeurs et qui consiste en la possibilité de pouvoir consentir (ou non) via le paramétrage de son navigateur (grâce à l’option Do-Not-Track, article 9.2). D'un point de vue de la protection des données ceci n'est pas du tout suffisante - personne ne laissait sa porte d'entrée déverrouillé en faisant confiance uniquement à un avis affiché qui interdit d'y entrer.
  • 22 novembre : Audition commune des ministères allemands de l’Économie et de la Justice, où des représentants de la Chancellerie étaient également présents. Le Gouvernement fédéral allemand s'est présenté favorable à la tactique dilatoire au sein du Conseil de l'UE et annonce qu'on y arriverait à une déclaration conjointe pas avant l'été 2018 pour que le règlement ne sera pas mis en application avant 2019 (alors ne pas en même temps que le RGPD). De plus, il préconise une période de transition de 2 ans et confirme que la plupart des préoccupations de l’industrie sont partagées à Berlin.
  • 16 novembre : La ministre de la Culture Françoise Nyssen se présente réceptive aux arguments du lobby des éditeurs de presse en exigeant que la France et les autre États membre devraient s'engager pour des règles moins strictes concernant les cookies. Elle insiste sur le fait que des cookies soient nécessaires pour des objectifs de suivi d’audience, de recommandation d’articles ou pour proposer une publicité ciblée (ces trois mesures sont permis dans la position du Parlement). Il n'est pas surprenant, mais préoccupant qu'elle ne parle pas de la nécessité que l'utilisateur devrait consentir avant d'être pisté - une obligation qui n'empêcherait pas en principe ces méthodes.
  • 14 novembre : En critiquant la tactique dilatoire du Conseil, la nouvelle rapporteur Birgit Sippel (S&D) souligne la nécessité que les négociations des trilogues devront conduire à une précise définition de la communication 'machine-to-machine' et des services auxiliaires. Quant au discours au sein des États membres et du groupe parlementaire PPE, fortement influencé par l'industrie, elle exprime son inquiétude que l'intérêt légitime' fait son rentrée dans le débat.
  • 13 novembre : Un rapport de progrès de la présidence estonienne du Conseil de l'UE est publié et sera discuté à la réunion du TTE le 4 décembre. En outre, la présidence met en perspective la possibilité d'une deuxième réunion du WP TELE en décembre afin de discuter les articles 6 à 8 (base légale du traitement ultérieur des données) et 10 («vie privée par défaut»). Cela reste à confirmer. Ainsi, le rapport rassemble les sujets discutés jusqu'à présent aux réunions du WP TELE mais aucune proposition précise n'est articulée par des États sur ces articles délicats. Ce texte n'a pas beaucoup de progrès à rapporter, il définit plutôt l'agenda: dans quelle mesure les services 'machine-to-machine' devraient être couverts (seulement service de transmission ou aussi couche applicative)? Est-ce que les autorités nationales de la protection des données devront uniquement super-visionner ce règlement ou est-ce que d'autres autorités devront également s'en occuper? Certains États demandent 'plus de flexibilité' concernant la supervision. De plus, les États membres ont fortement exprimé de ne pas vouloir 'saboter' des ainsi nommés 'modèles commerciales légitimes' (voir positions du lobby des éditeurs) en faisant progresser la protection des utilisateurs. Aussi, le Conseil cherche toujours à faire entrer la question de la rétention des données dans le débat sur ePrivacy, précisément dans les articles 2, 6, 7 et 11.
  • 30 octobre : Dans une lettre à la présidence du Conseil de l'UE, le Sénat néerlandais met en cause la distinction entre métadonnées, données et contenu de communication dans la proposition de la Commission européenne. En craignant qu'il en résulte des degrés inégaux de protection de données, les néerlandais demandent une réponse de la Commission européenne dans les trois mois.
  • 24 octobre : Pendant la réunion du Conseil télécoms (TTE), la présidence estonienne n’a pas évoqué le règlement ePrivacy dans ses priorités. Cependant, les ministres des États membres se sont engagés à publier un rapport d'avancement d'ici à sa prochaine réunion, prévue le 4 décembre 2017.
  • 16 octobre : La présidence estonienne propose un nouveau texte de compromis traitant les articles 12 à 20 et qui fera l'objet des réunions WP TELE du 25 octobre. Dans ce texte, l'obligation des services à informer ses utilisateurs sur les 'risques de sécurité détectés' (art. 17) proposée par la Commission est supprimée. Concernant ceci, la position du Parlement va plus loin et oblige les services au chiffrement de bout-en-bout afin de pouvoir garantir une 'protection suffisante' (amendement 140); ceci sera sûrement attaqué par les États membre au cours des trilogues. En outre, le compromis de la présidence propose que plusieurs autorités de supervision soient responsables du règlement, non seulement celles de protection des données (comme voulue par Commission et Parlement).
  • 6 octobre : La présidence estonienne propose un nouveau texte de compromis traitant les articles 1 à 5 et qui fera l'objet des réunions WP TELE du 18 octobre. Ce propos plus alarmant vise à limiter le champ du règlement ePrivacy aux réseaux auxquels les utilisateurs accèdent tous sous les mêmes conditions (considérant 13). Cela figure une tentative tout à fait hypocrite, car cette modification revient à éliminer presque toute la protection actuellement offerte par la directive ePrivacy et, en fait, serait égale à l'abrogation du règlement ePrivacy. Également, la présidence estonienne cherche à aligner la régulation des fournisseurs de courriels et de messagerie instantanée (OTT) sur celle actuellement imposée aux opérateurs de télécommunications (ISP), sans réguler les OTT au-delà. Le texte propose à plusieurs moments de soumettre les traitements concernant la conservation des communications - souvent au cœur du service des OTT - seulement au RGPD. Cela contournerait le but principale du règlement ePrivacy qui est justement d'étendre le champ de la directive ePrivacy aux fournisseurs de courriels et de messagerie instantanée (OTT), en plus des opérateurs de télécommunications (ISP).
  • 19, 20 et 25 septembre : Les réunions du WP TELE ont confirmé que les intérêts des États sont bien à quoi on s'attendait: la majorité demande plus de flexibilité concernant le traitement des données, métadonnées et contenus (art. 6) et celles stockées dans les appareils des utilisateurs (art. 8). Tout en assurant de ne pas vouloir dépasser les frontières du RGPD, ils sont encore loin de parvenir à une position finale.
  • 8 septembre 2017 : La présidence estonienne du Conseil propose un premier texte de compromis. Dans un sens positif, le texte ne réclame pas 'l’intérêt légitime' comme base juridique de traitement des données de communication (point majeur du lobby de l’industrie), ni la possibilité des exceptions nationales voulue par certains États membres. Cependant, ce propos est sans préjudice pour les réunions du WP TELE le 19, 20 et 25 septembre, où il sera discuté. Ainsi, il appelle les États membres à se préciser sur les communications 'machine-to-machine' (art. 5.2), sur la base juridique du traitement ultérieur (art. 7 et 8), sur les cas où les utilisateurs doivent consentir au traitement de leurs données (art. 9), sur les paramètres de confidentialité (art. 10) et sur les compétences des autorités de supervision (art. 18).



Le débat

Positions de la société civile

Nos positions

Nos amendements.

Position de l'industrie

De nombreux types d’acteurs et de secteurs tentent d’influencer le règlement ePrivacy.

Toutes ces entités ont leurs propres intérêts et leurs propres priorités en termes de lobbying sur le texte. Mais en gros, ils cherchent à établir l'idée qu'il ne s'agirait pas de la protection des données, mais que ce serait le pluralisme des médias, la lutte contre les fake news, voire "l'avenir de l'Internet" qui est en jeu.

Une page entière est dédiée à la documentation des positions des différents lobbys.

  1. Voir la diapositive 9 de la présentation du règlement par la Commission.