E-Privacy

De La Quadrature du Net

Analyse du futur règlement ePrivacy sur la confidentialité des communications électroniques.

Qu’est-ce que le règlement ePrivacy

Un peu d’histoire

Le règlement ePrivacy est la révision d’une directive européenne de 2002 relative à la vie privée dans le secteur des communications électroniques. Celle-ci venait préciser et compléter la directive générale sur la protection des données personnelles (directive 95/46/CE). En 2016, le Règlement Général sur la Protection des Données Personnelles (RGPD en français, ou GDPR en anglais) visant à remplacer l’ancienne directive de 95 a été adopté par les institutions européennes, celui entrera en application en mai 2018. Depuis le début du travail législatif du RGPD en 2011, la Commission avait été claire, la révision du cadre général (la directive de 95) devrait être suivie par la révision de la directive ePrivacy de 2002 sur la protection de la vie privée dans le secteur des communications électroniques.

En avril 2016, la Commission européenne lançait sa consultation sur la révision de la directive ePrivacy à laquelle toute autorité de protection des données, association, entreprise ou citoyen pouvait participer (encore fallait-il être en mesure de comprendre les questions). La Quadrature du Net a répondu en juillet 2016 et a publié ses réponses.

De juillet à août 2016, la Commission européenne a travaillé à l’élaboration d’une proposition de texte, qui s’est avérée être un règlement, autrement dit un texte légalement contraignant et directement applicable dans tous les États membres. Dès septembre 2016, La Quadrature du Net publiait une lettre ouverte à l’intention de la Commission européenne, l’appelant à s’engager pour la confidentialité de nos communications électroniques. Suite à cela, des membres de l’équipe opérationnelle purent exprimer leurs revendications auprès des fonctionnaires de la DG CONNECT (Direction Générale des réseaux de communication, du contenu et des technologies de la Commission européenne), du cabinet d’Andrus Ansip (Vice-Président en charge des questions numériques) et du cabinet de Günther Oettinger (à l’époque Commissaire à l’économie et à la société numérique).

Le 10 janvier 2017, la Commission européenne a présenté sa proposition de règlement. Cette proposition servira de base aux deux autres institutions – que sont le Parlement européen et le Conseil de l’UE (ministres des États membres) – qui amenderont la proposition de la Commission pour proposer leurs versions respectives. La proposition de la Commission présentée en janvier s’est avérée être décevante. Certains points très importants avaient changé ou avaient été supprimés par rapport à une version antérieure qui avait fuité en novembre 2016. La Quadrature a dénoncé ces profondes modifications dès le lendemain de la présentation et annonçait un âpre combat législatif à venir du fait de la faiblesse de la proposition de la Commission.

Suite à cela, le travail législatif de codécision, au sein du Parlement européen d’un côté et du Conseil de l’UE de l’autre, a commencé (à noter que le Conseil de l’UE est constitué des représentants des organes exécutifs des États membres mais a pourtant une place de co-législateur dans la très grande majorité des procédures législatives de l’UE).

“Actuellement les deux institutions travaillent à l’élaboration de leur version du texte.”


Objectifs

Le règlement ePrivacy sur « le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques » a pour objectif de remplacer l’ancienne directive de 2002 sur le même sujet afin d’encadrer les nouvelles évolutions technologiques et faire face aux nouveaux défis qu’elles représentent pour les droits et libertés.

  • Forme juridique : La Commission européenne a souhaité faire de ce texte un règlement afin que les nouvelles dispositions s’appliquent directement et de la même manière dans tous les pays de l’UE, afin de garantir une harmonisation des règles ;
  • De nouveaux acteurs concernés : Un autre objectif affiché dès le début par les institutions a été l’élargissement du champ d’application du règlement afin que de nouveaux fournisseurs de services qui n’existaient pas encore en 2002 soient soumis aux mêmes obligations que les anciens qui eux été déjà dans le champ d’ePrivacy. Très concrètement, à l’heure actuelle la directive de 2002 ne s’applique qu’aux opérateurs de télécommunications mais pas aux nouveaux services e messagerie en ligne comme Whatsapp, Skype ou Viber ;
  • Assurer la confidentialité du contenu et des métadonnées de nos messages : l’utilisation du contenu et des métadonnées de nos communications par les fournisseurs de services est encadrée et limitée à certaines situations bien précises (assurer la communication, maintenir la sécurité du réseau, établir les factures, etc.). Malheureusement cet objectif est déjà remis en cause dans la proposition de la Commission elle-même, puisque cette dernière a souhaité parallèlement à cela « ouvrir de nouvelles opportunités commerciales pour les opérateurs télécoms »[1] en élargissant les possibilités de traitement des métadonnées, basés sur le consentement de l’utilisateur ;
  • Une révision et simplification de la disposition sur les cookies : En 2009, la directive de 2002 a été amendée et a introduit des règles sur la “confidentialité de l’équipement terminal” – autrement dit d’un appareil – et qui visait à encadrer le dépôt de cookies sur un ordinateur. C’est la mise en œuvre (différentes selon les États membres) de cette disposition qui a donné lieu quelques années plus tard à l’apparition de bandeaux signalant les cookies sur les sites internet ;

Le nouveau règlement ePrivacy a pour objectif de simplifier et rendre moins « fatiguant » ce consentement systématique aux cookies en l’intégrant au moment de la configuration des paramètres du navigateur de l’utilisateur. Par ailleurs, le nouveau règlement vise aussi à réglementer de nouvelles formes de pistage, autres que les cookies, à travers des dispositions sur la collecte des données émises par l’équipement terminal (à compléter).

Analyse du règlement

Notre analyse du texte d’ePrivacy est mouvante. Elle évolue au fil du temps et des étapes du processus législatif. En cela, elle mérite sa propre page : https://wiki.laquadrature.net/Analyse_ePrivacy.

Qui ? Quelles sont les forces en présence ?

Institutions et décideurs politiques

Parlement européen

Le Parlement européen a une page consacrée à ePrivacy.

Commission LIBE “C’est la Commission principale en charge de la rédaction du rapport sur lequel se basera la position du Parlement”

Commissions pour avis “D’autres Commissions émettent un avis sur le texte, sous forme d’un rapport, qui devra être pris en compte dans les négociations”

Industrie et lobbys

De nombreux types d’acteurs et de secteurs tentent d’influencer le règlement ePrivacy.

  • les opérateurs télécoms : rares sont les opérateurs eux-mêmes qui prennent position contre le texte. Orange, Telefonica, Deutsche Telekom, etc. sont très actifs dans les institutions et auprès des décideurs politiques mais laissent leurs associations et fédérations professionnelles (ETNO, ECTA, Cable Europe, GSMA etc.) prendre position publiquement ;
  • l’industrie des technologiques numériques : une grande catégorie fourre-tout dans laquelle on met généralement aussi bien les grands géants comme Google et Facebook mais également tous les nouveaux fournisseurs de service de messagerie comme Whatsapp, Viber, Skype, etc. Le lobbying est principalement fait par des associations professionnelles comme DigitalEurope (association principale au niveau EU), Bitkom, SyntecNumerique, TechUK etc ;
  • l’industrie de la publicité : peut-être la plus virulente dans son lobbying, elle est majoritairement représentée par IAB (Interactive Advertising Bureau), puissant lobby des régies publicitaires et fervent défenseur du modèle économique actuel du web ;
  • les éditeurs : et notamment les éditeurs de presse qui craignent de voir leur modèle économique basé sur la publicité ciblée remis en question par des dispositions encadrant le pistage des utilisateurs. Parmi les grandes fédérations opérant à Bruxelles on retrouve ENPA (European Newspaper Publisher's Association), FEP (Federation of European Publishers), EMMA (European Magazine Media Association) etc.

Toutes ces entités ont leurs propres intérêts et leurs propres priorités en terme de lobbying sur le texte. Mais jusqu’à l’automne 2016, elles avaient au moins un intérêt commun : faire abroger purement et simplement la directive ePrivacy au lieu de la réviser. Le 5 juillet 2016, les opérateurs télécom, l’industrie numérique, les publicitaires et les fédérations d’éditeurs demandent tous ensemble l’abrogation de la directive ePrivacy.

Une page entière est dédiée à la documentation des positions des différents lobbys.

alliés (renvoyer vers leurs positions)

Quand ? Calendrier

  • 23 octobre 2017 : Adoption en plénière ;
  • 11-12 octobre 2017 : Vote en commission LIBE pour l’adoption du rapport ;


  • 5-6 juillet 2017 : deadline pour les amendements en LIBE ;
  • 21 juin 2017 : présentation en LIBE du projet de rapport par la rapporteuse Marju Lauristin ;
  • 22 juin 2017 : deadline pour les amendements en IMCO et en ITRE ;


  • 11 mai 2017 : Échange de vues en commission LIBE (date indicative) ;
  • 11 avril 2017 : Auditions au Parlement européen ;
  • 16 mars 2017 : Nomination de la rapporteuse pour avis en ITRE Kaya Kallas ;
  • 09 mars 2017 : Nomination de la rapporteuse principale en LIBE Marju Lauristin ;
  • 28 février 2017 : Nomination du rapporteur pour avis en JURI Axel Voss ;
  • 09 février 2017 : Nomination de la rapporteure pour avis en IMCO Eva Maydell
  • 09 janvier 2017 : Présentation par la Commission européenne de sa proposition de règlement ;
  • 12 avril au 05 juillet 2017 : Consultation des parties prenantes par la Commission européenne.

Comment agir ?

Références

— Ici rassembler tous les liens et toutes la documentation. Tout ce qui peut-être public doit l’être.
  1. Voir la diapositive 9 de la présentation. du règlement par la Commission