Dans sa proposition de règlement « Vie privée » de janvier 2017, la Commission européenne souhaite étendre le cadre protecteur des fournisseurs d’accès à Internet (FAI) aux fournisseurs de « services de communications par contournement » (OTT), ainsi qu’à l’Internet des objets. Explications.

Par Christophe Clarenc (photo) et Martin Drago, cabinet Dunaud Clarenc Combles & Associés

La Commission européenne a présenté le 10 janvier 2017 une proposition de règlement « concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE ». Cette proposition vise à remplacer la directive de 2002 (1), laquelle avait été transposée en droit français dans le code des postes et des communications électroniques et dans la loi 78-17 relative à l’informatique, aux fichiers et aux libertés (2).

Confidentialité des données
Cette directive de 2002 a établi un cadre réglementaire spécial pour la protection de la vie privée, la confidentialité et la protection des données à caractère personnel dans le secteur des communications électroniques, à côté du cadre général de la directive de 1995 sur la protection des données à caractère personnel (3). La refonte de cette directive de 2002 était annoncée tout à la fois dans la communication de la Commission européenne du 6 mai 2015 de « stratégie pour un marché numérique en Europe », dans les travaux préparatoires et le texte final du nouveau règlement général sur la protection des données personnelles (RGPD) – remplaçant la directive de 1995 – adopté le 27 avril 2016 (4) et dans la proposition de directive « établissant le code des communications électroniques européen » présentée le 14 septembre 2016. Cette refonte à travers la proposition de règlement présentée le 10 janvier dernier vise pour l’essentiel à une harmonisation avec les dispositions renforcées du RGPD et à une application élargie aux services de communications interpersonnelles, aux services
« machine à machine » et aux logiciels de navigation Internet. La proposition de règlement de janvier 2017 réaffirme et étend à l’ensemble des données de communications électroniques le principe de confidentialité et les règles attachées
de traitement, de stockage, d’effacement et d’anonymisation des données. La directive de 2002 distinguait, d’une part, les données relatives au contenu des communications et, d’autre part, les données relatives au trafic et à la localisation des communications. Le contenu des communications désigne des informations échangées ou acheminées entre un nombre fini de parties au moyen d’un service de communications électroniques accessibles au public. La proposition de règlement institue la notion de « données de communications électroniques » regroupant et distinguant, d’une part, les données de « contenu », d’autre part, l’ensemble des
« métadonnées » (lire encadré sur les définitions page suivante). Elle soumet l’ensemble des données de communications au principe de confidentialité en rappelant qu’elles peuvent comporter des données à caractère personnel. La proposition de règlement étend ce principe de confidentialité au-delà du cercle des fournisseurs d’accès à Internet (FAI) à travers une nouvelle définition de la notion de « services
de communications électroniques » (voir définitions page suivante) rompant avec l’exclusion des « services de la société de l’information » et visant expressément les services de « communications interpersonnelles » (comme les services de voix sur IP, de messagerie instantanée et de courrier électronique sur le Web) et les services de
« transmission pour la fourniture de services machine à machine ».

FAI et OTT dans le même cadre
Tenant compte des évolutions technologiques et concurrentielles, la Commission européenne entend ainsi appréhender dans la réglementation protectrice – et dans
le même cadre réglementaire que les FAI (5) – les fournisseurs de « services de communications par contournement » dits OTT (Over-The-Top) tels WhatsApp, Facebook Messenger, Skype, Gmail, iMessage ou encore Viber (6). En visant par ailleurs les services de transmission utilisés pour la fourniture de services de machine à machine (MtoM), elle entend également appréhender les données de communications électroniques générées par le développement de l’Internet des objets. La directive
de 2002 a établi un encadrement du stockage d’informations et de l’obtention des informations stockées dans les équipements terminaux, en prévoyant que ces opérations ne sont permises qu’avec le consentement de l’utilisateur ou de l’abonné. Sauf dans le cas où elles sont nécessaires à la transmission d’une communication ou à la fourniture d’un service expressément demandé par l’utilisateur ou l’abonné. Alors que la directive 2002/58 établit une distinction entre la notion
d’« utilisateur » et celle d’« abonné », la proposition de règlement de janvier 2017 n’utilise que la notion d’« utilisateur final » (personne physique ou morale).

Navigateurs web et consentement
La proposition de règlement de janvier 2017 reprend ces dispositions en ajoutant que l’utilisation ou la collecte des informations des équipements terminaux est également possible sans le consentement de l’utilisateur « si cela est nécessaire pour mesurer des résultats d’audience web ». Le règlement proposé prévoit une extension de ces dispositions aux fournisseurs d e « logiciels permettant des communications électroniques, y compris la récupération et la présentation d’informations sur Internet », dont en particulier les fournisseurs de navigateurs web, en les soumettant à l’obligation de proposer à leurs utilisateurs la possibilité d’empêcher les tiers de stocker ou de traiter des informations sur leurs équipements terminaux. La Commission européenne souligne que « les choix effectués par l’utilisateur final lorsqu’il définit les paramètres généraux de confidentialité d’un navigateur ou d’une autre application devraient être contraignants pour les tiers et leur être opposables ». La proposition de règlement prévoit de confier le contrôle de ses obligations aux autorités du RGPD. Outre la protection des données de communications électroniques et des informations des équipements terminaux, le projet de règlement concerne également le droit des utilisateurs de contrôle r l’envo i e t l a réception de leurs communications (identification de la ligne appelante, possibilité de limiter la réception des appels indésirables, existence des annuaires accessibles au public, …). Le non-respect des obligations concernant le traitement, le stockage et l’effacement des données de communications électroniques pourrait être sanctionné jusqu’à 4 % du chiffre d’affaires annuel mondial des entreprises concernées.
La Commission européenne envisage une date d’application le « 25 mai 2018 au plus tard », en même temps que l’entrée en vigueur du RGPD, et ainsi un processus rapide de discussion et d’adoption. Les prochains mois montreront si sa résolution résistera à l’opposition de Digital Europe (7) et de l’ICDP (8), qui lui reprochent une approche soi-disant précipitée et disproportionnée pour l’équilibre de l’écosystème numérique. @

ZOOM

Question de définitions selon les différents textes
La directive « Vie privée et communications électroniques » définissait :
• Le « service de communications électroniques » comme étant le service fourni normalement contre rémunération qui consiste entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques y compris les services de télécommunications et les services de transmission sur les réseaux utilisés pour la radiodiffusion, mais qui exclut les services consistant à fournir des contenus à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus ; il ne comprend pas les services de la société de l’information tels que définis à l’article 1er de la directive 98/34/CE qui ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques.
• Les données relatives au contenu des communications électroniques comme des informations échangées ou acheminées entre un nombre fini de parties au moyen d’un service de communications électroniques accessibles au public.
• Les données relatives au trafic et à la localisation des communications électroniques comme étant respectivement toutes les données traitées en vue de l’acheminement d’une communication par un réseau de communications électroniques ou de sa facturation, et toutes les données traitées dans un réseau de communications électroniques ou par un service de communications électroniques indiquant la position géographique de l’équipement terminal d’un utilisateur d’un service de communications électroniques accessible au public.

La proposition de règlement de janvier 2017 définit, elle :
• Les données de « contenu » des communications électroniques comme étant les contenus échangés au moyen de services de communications électroniques, notamment sous forme de texte, de voix, de document vidéo, d’images et de son.
• Les « métadonnées » des communications électroniques comme étant les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l’échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d’en déterminer l’origine et la destination ainsi que les données relatives à la localisation de l’appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l’heure, la durée et le type de communication.

La proposition de directive établissant le code des communications électroniques européen définit :
• Le « service de communications interpersonnelles » comme étant un service normalement fourni contre rémunération qui permet l’échange interpersonnel et interactif direct d’informations via des réseaux de communications électroniques entre un nombre fini de personnes, dans lequel les personnes qui amorcent la communication ou y participent en déterminent le(s) destinataire(s) ; il ne comprend pas les services qui rendent possible une communication interpersonnelle et interactive uniquement en tant que fonction mineure accessoire intrinsèquement liée à un autre service . @