Notes de lecture et analyse du premier document du travail du 11 janvier 2018 de la présidence bulgare concernant le règlement ePrivacy

From La Quadrature du Net
Revision as of 18:28, 18 January 2018 by Leo (talk | contribs) (5)Protection et stockage dans l'équipement terminal (art. 8))
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigationJump to search

Notes de lecture et analyse du premier document du travail du 11 janvier 2018 de la présidence bulgare concernant le règlement ePrivacy[edit]

1) lien entre RGPD / ePR (notamment l'art. 5,6,7,8,10)[edit]

  • le règlement ePrivacy (ePR) contient des dispositions qui vise à 1)compléter le règlement général sur la protection des données (RGPD), tandis que d'autre visent à le 2)spécifier
  • quand il spécifie le RGPD, le règlement ePR fonctionne comme lex specialis
  • ==> si chevauchement, ePR s'applique
  • ==> si ePR n'assure pas de protection de la vie privée dans les communications électroniques, aucune autre loi ne pourra


  • Concernant les aspectes cruciaux, cela dit :
    • confidentialité des communications électroniques (art. 5) & traitement autorisé (art. 6) :
      • ePR complète RGPD concernant les données à caractère non-personnel
      • ePR spécifie RGPD concernant les données à caractère personnel
    • stockage et effacement (art. 7) : ePR spécifie RGPD, plus concrètement le principe de limite de stockage, en définissant une durée précise de stockage
    • protection des données stockées dans, ou liées aux, équipements terminaux (art. 8) :
      • ePR complète RGPD avec l'interdiction (sauf quelques exceptions) de "l'utilisation des capacités de traitement et de stockage des équipements terminaux et la collecte d'informations provenant des équipements terminaux"
      • ePR spécifie RGPD concernant la collecte d'informations provenant des équipements terminaux qui sont considérées comme données à caractère personnel
    • paramètres de confidentialité des logiciels, privacy-by-default (art. 10) : ePR complète RGPD (tout en étant inspiré par le principe privacy-by-default déjà inscrit dans le RGPD) en imposant des exigences concrètes pour certains logiciels (notamment navigateur web)
    • définition du consentement concernant les personnes morales : le RGPD ne s'applique pas sauf si l'ePR l'exige concrètement


  • Propositions dans le dernier compromis :
    • article 1(3)
    • considérant 2a


  • Appel aux délégations nationales de prendre position sur :
    • partage ou désaccord avec l'analyse ci-dessus?
    • option 0 : est-ce que les propositions dans le dernier compromis sont-ils suffisamment claires?
    • option 1 : sinon, quelles aspects doivent être clarifiés davantage?


2) champs d'application du ePR relatif au code des communications électroniques européen (CCEE)[edit]

2.1) services auxiliaires

  • les 'services auxiliaires' sont définies différemment à l'égard des obligations de respect de la vie privée dans l'ePR (art. 4(2))et dans le CCEE (art. 2(5) et cons. 17)
  • ceci se justifie par le fait que les deux législations ne visent pas le même but
  • l'exclusion du champ du CCEE est donc proportionnée


  • Appel aux délégations nationales de prendre position sur :
    • option 0 :garder dans le champ ePR les services permettant la communication interpersonnelle et interactive uniquement comme fonction auxiliaire?
    • option 1 : exclure ces services du champ ePR?
    • option 2 : d'autre solutions?


2.2) Machine-to-machine (M2M)

  • les services de transmission permettant la communication M2M sont couvertes par l'ePR, mais la couche application de ces services ne l'est pas (ni par ePR, ni par CCEE), car il ne s'agirait pas d'une 'service de communication électronique' (= selon ancienne directive ePrivacy)
  • cette différentiation implique que la 'couche application' est compris d'une certaine façon comme comprenant uniquement le logiciel en soi et alors comme ne pas faisant partie d'une communication
  • la présidence bulgare appelle à une discussion plus approfondie sur la différentiation entre couche application et couche de transmission concernant le champ ePR

/?/!/ difficile à comprendre comment cette différentiation se réalise dans le développement du logiciel/!/


  • la présidence bulgare suit l'idée de garder les services de transmission M2M dans le champ ePR mais voit la nécessité de se clarifier concernant le consentement des personnes morales et propose plusieures solutions :
    • a) ajouter le consentement ponctuel ("one-off consent") au moment de la souscription, valable pour la durée d'un contrat
    • b) ajouter une catégorie de traitement spécifique pour les communications M2M à caractère non-personnel (il est ici prise en compte qu'il nécessite déjà un traitement de données pour identifier cela); la présidence considère d'y inclure l'intérêt légitime des prestataires comme base juridique
    • c) ajouter une exception au consentement pour les communications 'sans intervention humaine', car aucun droit à la confidentialité
    • d) reprendre l'idée du WP 29 et ajouter une catégorie de communication M2M qui n'a aucune incidence sur la confidentialité des communications (par ex. protocole de transmission entre des éléments de réseau)


  • Propositions dans le dernier compromis :
    • article 4a(1a)
    • article 5(2)
    • considérant 3a


  • Appel aux délégations nationales de prendre position sur :
    • option 0 : garder les services de transmission permettant la communication M2M dans le champ ePR?
    • option 1 : y ajouter des dispositions supplémentaires :
      • 1.1) concernant le consentement de personnes morales
      • 1.2) faciliter le consentement ("one-off consent")
      • 1.3) ajouter traitement autorisée des communications M2M à caractère non-personnel
    • option 2 : exclure la communication M2M du champ ePR
  • Note: La présidence rappelle les État membres de l'importance de ces questions au regard du progrès dans la législation CCEE



3) Traitement autorisé & traitement ultérieure (art. 6)[edit]

  • directive ePrivacy : permet traitement des métadonnées de communication électronique seulement a) pour transmettre une communication, b) pour des fins de facturation, c) avec le consentement de l'utilisateur ou d) si les métadonnées sont anonymisées
  • règlement ePR : vise à spécifier le RGPD afin de régler quelles fins de traitement de données de communication électronique nécessitent le consentement de l'utilisateur(art. 6)
  • certaines délégations nationales cherchent à contourner l'obligation du consentement en incluant dans l'article 6(2) ePR a)"l'intérêt légitime" comme base légale afin de permettre le "traitement ultérieure" (le même prestataire traite les données de l'utilisateur pour des fins autres que celles pour lesquelles il les a collecté initialement) des métadonnées et b) le traitement autorisé des métadonnées pour mesurer l'audience d'une site web.


  • Appel aux délégations nationales de prendre position sur :
    • option 0 : si les bases légales pour traitement des métadonnées devraient rester comme dans le dernier compromis;
    • option 1 : si la liste des exceptions pour le traitement des métadonnées sans consentement devrait être élargit? par ex. permettre le traitement ultérieure sans consentement si "pas d'impact sur la vie privée"
  • option 2 : l'idée d'inclure comme base légale "l'intérêt légitime" pour le traitement ultérieure des métadonnées, et notamment sur la question si cela affaiblissait la protection promit par le RGPD ou la directive ePrivacy
  • option 3 : ne pas dans le document, pas claire si ne pas évaluer ou enlever
  • option 4 : ajouter des conditions afin de permettre le traitement ultérieure des métadonnées, notamment concernant
    • a) une limitation des fins,
    • b) une obligation d'anonymiser ou effacer après une temps défini,
    • c) une obligation de consulter les CNILs nationales ou de faire une évaluation d'impact ou de pseudonymiser,
    • d) possibilité pour les utilisateur d'objecter au traitement
  • option 5 : l'idée d'effacer l’article 6(2) ePR, en considérant que tout traitement des communications électroniques à caractère personnel était couvert par le RGPD; et ainsi de proposer des bases légales pour le traitement des communications électroniques à caratère non-personnel


4) Stockage et effacement (art. 7)[edit]

  • l'article 7 ePR cherche à garantir une certitude légale en établissant des règles précises sur quand des données collectées doivent être anonymisées ou effacée
  • le considérant 15 ePR spécifie que la confidentialité d'une communication prend fin à partir du moment que la transmission d'un contenu a pris fin


  • Appel aux délégations nationales de prendre position :
    • option 0 : sur l’idée de garder la proposition du dernier compromis de supprimer l'obligation d'effacer et, de plus, permettre le stockage par une tierce partie
    • option 1 : sur l’idée d'effacer la phrase permettant le stockage par une tierce partie, et en même temps garder la partie de l'article 7(1) qui détermine quand le contenu des communications doit être effacé ou anonymisé
    • option 2 : sur d'autres solutions


5)Protection et stockage dans l'équipement terminal (art. 8)[edit]

  • Appel aux délégations nationales de prendre position :
    • option 0 : sur l'idée de garder les propositions du dernier compromis :
      • a) autoriser à un tierce partie de mesurer l'audience d'un site web (par ex. Google Analytics),
      • b) pseudonymisation non-obligatoire, c) mise à jour de sécurité sans consentement si elles ne changent pas les paramètres de confidentialité,
      • c) différenciation entre cookie de suivi et de non-suivi afin de permettre des cartes thermiques ou la localisation des appels d'urgence sans consentement.
    • option 1 : sur l'idée d'élargir les exceptions au consentement par des fins non-intrusives à la vie privée; donner des exemples
    • option 2 : sur des nouvelles approches permettant de différencier entre cookies et des techniques similaires à partir de leurs degré d'intrusion à la vie privée; donner des exemples des différents niveaux
    • option 3 : sur l'idée d'ajouter "l'intérêt légitime" comme base légale pour des cookies/techniques similaires (publicité ciblée) combiné avec la possibilité d'objecter (comme dans la directive ePrivacy jusqu'en 2009), au lieu du consentement préalable
    • option 4 : sur l'idée d'enlever du texte ePR la précision que l’accès à un service ne doit pas être refuser si l'utilisateur ne consente pas au traitement des ses informations'

juger comme inutile de préciser dans le texte ePR que

    • option 5 : sur d'autres solutions


6)Paramètres de confidentialité dans logiciel, privacy-by-default (art. 10)[edit]

  • Appel aux délégations nationales de prendre position :
    • option 0 : sur l'idée de garder les propositions du dernier compromis :privacy-by-default, information de l'utilisateur au premier lancement et consentement nécessaire
    • option 1 : l'idée d'exiger des 'nouveaux logiciels' afin d'offrir à l'utilisateur la possibilité de choisir ses paramètres sans lui imposer des paramètres dès l'installation
    • option 2 : sur l'idée d'ajouter au dernier compromis des exigences envers des 'nouveaux logiciels' afin de permettre aux utilisateurs*trices d'accepter des cookies/techniques similaires (publicité ciblée) que pour certains site web (but: l'utilisateur ne doit pas aller dans les réglages généraux du navigateur; faciliter des listes blanches pour les prestataires)
    • option 3 : sur d'autres solutions