Le projet de règlement ePrivacy : un avatar du RGPD dans le secteur des communications électroniques
Par
Paru dans La Lettre des Juristes d'Affaires n°1301 du 08/05/2017, par Daniel Kadar, associé, et Caroline Gouraud, avocate, Reed Smith
La Commission européenne a publié, en janvier 2017, un projet de règlement ePrivacy qui entend compléter l’arsenal du règlement européen de protection des données personnelles (RGPD) – promulgué le 27 avril 2016 – dans le secteur des communications électroniques. En termes de calendrier, l’objectif est d’aligner l’entrée en vigueur des deux textes pour le 25 mai 2018, bien qu’ils n’en soient pas au même stade de développement.Le règlement ePrivacy instaure spécifiquement des règles visant à renforcer la transparence et la sécurité en matière de communications électroniques. Par exemple, les nouveaux opérateurs dits « over the top » tels que WhatsApp ou Skype devront se conformer aux mêmes règles imposées aux opérateurs traditionnels en matière de sécurité des réseaux et de protection de la confidentialité des données. Ensuite, les cookies devront être utilisés avec davantage de transparence, et le paramétrage par défaut devra se faire en faveur de l’internaute. Enfin, le cadre relatif au démarchage commercial, quel qu’en soit la forme (spams, appels commerciaux, SMS) sera strictement régulé par le recueil du consentement préalable du consommateur.
Les cookies devront être utilisés avec davantage de transparence, et le paramétrage par défaut devra se faire en faveur de l’internaute
Ce texte complémentaire doit être savamment articulé avec le RGPD pour en comprendre les implications. Le groupe de travail G29 – qui regroupe les différentes « CNIL européennes » – a publié un avis sur le projet de règlement ePrivacy le 4 avril 2017. Il rappelle que le règlement ePrivacy doit s’entendre comme étant « lex specialis », c’est-à-dire qu’il vient préciser et compléter le RGPD en ce qui concerne les données de communications électroniques. Toutes les matières relatives au traitement de ces données, qui ne sont pas spécifiquement couvertes par la proposition, le sont par le RGPD.
Le G29 accueille favorablement le projet de règlement ePrivacy et salue l’effort d’harmonisation entre les deux textes, notamment par l’alignement des sanctions applicables en cas de manquements (amende de 20 millions d’euros ou deux plafonds maximum de 2 et 4 % du chiffre d’affaires mondial). Toutefois, le groupe précise que certains points doivent être renforcés au regard des exigences du RGPD, notamment en ayant recours au mécanisme du consentement préalable de l’utilisateur. Sont visés en particulier le traçage et la géolocalisation par wifi, l’analyse du contenu des communications et des métadata, la protection de la vie privée par défaut dans les terminaux et logiciels, et la pratique visant à refuser l’accès aux sites ou services en cas de refus des cookies.
Les implications sur le marché sont considérables car des pans entiers qui échappaient à la réglementation sont concernés, notamment les acteurs de la « nouvelle économie ». Le calendrier ambitieux envisagé doit de ce fait être suivi avec attention.