Le nouveau Règlement ePrivacy

Décryptages
Outils
TAILLE DU TEXTE

Daniel Kadar, avocat associé et Caroline Gouraud, avocate au sein du cabinet ReedSmithTribune de Daniel Kadar et Caroline Gouraud, avocats au sein du cabinet Reed Smith, à propos du nouveau règlement e-Privacy.

Le nouveau Règlement ePrivacy va profondément modifier les règles de transparence, de démarchage et de sécurité. La France est déjà en phase de mise en œuvre.

La Commission Européenne révèle qu’après une récente enquête Eurobaromètre, 92 % des personnes interrogées estiment qu’il est important que les données personnelles qui sont stockés dans leurs ordinateurs, smartphones, tablettes ne soient accessibles qu’avec leur accord et que la confidentialité de leurs messages électroniques et instantanés soit garantie. Le projet de Règlement ePrivacy vise à répondre à ces préoccupations en renforçant les règles applicables en matière de communications électroniques et de démarchage commercial. Il remet à jour le cadre applicable à ce jour qui est issu de la Directive dite ePrivacy de 2002, révisée en 2009. A cette occasion, la Directive devient un Règlement, d’une part pour pouvoir s’appliquer directement à tous les Etats Membres indépendamment des disparités des règles en matière de protection de données personnelles, et d’autre part, pour venir s’adosser au Règlement Européen de Protection des Données personnelles (RGPD) dont l’entrée en vigueur est prévue pour mai 2018. Si les deux textes doivent entrer en vigueur en même temps, ils n’en sont pourtant pas au même stade, l’un étant définitivement adopté, l’autre étant au stade de projet. Le calendrier est à cet égard sans aucun doute ambitieux.

Le premier volet concerne l'écoute, l'interception, l'analyse et le stockage de SMS, de courriers électroniques ou d'appels vocaux qui seront interdits à défaut de consentement de l'utilisateur. La règle de la confidentialité s’appliquera non seulement au contenu des communications, mais également aux métadonnées, c’est-à-dire par exemple, le destinataire, l’heure, le lieu et la durée de l'appel. Autre nouveauté, ces nouvelles règles s’appliquent également aux nouveaux opérateurs dits "Over The Top" (OTT) tel que que WhatsApp ou Skype qui voient leur statut aligné en matière de respect de sécurité des communications sur celui des opérateurs de télécommunications traditionnels.

Le second volet touche à la transparence en matière d’utilisation des cookies. L’objectif est d’offrir aux utilisateurs un environnement numérique moins "envahi" par les bandeaux cookies qui s’affichent à chaque page visitée. A cet égard, la possibilité d’accepter ou de refuser les cookies devrait pouvoir se faire plus systématiquement en configurant les paramètres de navigation. Pour les cookies dits "cookies tiers", qui visent essentiellement à communiquer des données à des tiers à des fins commerciales, les navigateurs devront pouvoir permettre leur blocage par défaut. Par ailleurs, non seulement le consentement de l’utilisateur devra être recueilli avant le dépôt de tout cookie - y compris le "premier" cookie qui en pratique est souvent installé avant le consentement de l’utilisateur - mais également, une meilleure information de l’internaute quant aux finalités pour lesquelles les cookies sont déposés devra être assurée. Enfin, certains cookies dits peu intrusifs tels que les cookies de "panier d’achat" seront exemptés du recueil du consentement préalable.

Le troisième volet du Règlement est relatif à l’interdiction des communications électroniques non sollicitées, quel que soit le support utilisé, emails, SMS, appels téléphoniques, etc. sauf consentement préalable de l’utilisateur. En pratique, cela signifie que pour pouvoir envoyer des spams, les entreprises devront par exemple offrir à l’internaute s’inscrivant sur un site internet de matérialiser son consentement en cochant activement une case pour recevoir des offres commerciales de la société (opt-in). De même, le consommateur qui aura activement inscrit son numéro sur liste rouge ne devra pas recevoir d’appels téléphoniques à visée commerciale. La transparence est également de nouveau mise en avant par le projet de Règlement dès lors que les entreprises devront permettre au destinataire d’identifier l’origine d’un appel de nature commerciale, par exemple en utilisant un indicatif spécifique.

La Commission Européenne souhaite manifestement renforcer ces nouvelles règles puisque les sanctions associés en cas de non-conformité sont calquées sur les sanctions dissuasives du RGPD : une amende pouvant aller jusqu’à 20 millions d’euros ou jusque 4 % du chiffre d’affaires mondial. Mais il faut noter qu’en France, l’objectif de mai 2018 a été avancé puisque certains points comme la généralisation du principe de l’opt-in pour la prospection commerciale sont déjà applicables, et les sanctions multipliées par dix avec la loi pour une République Numérique du 7 octobre 2016 sont elles aussi en vigueur. Les sanctions s’élèvent donc aujourd’hui à 3 millions d’euros. Les entreprises françaises ne pourront donc attendre mai 2018 pour se mettre en conformité.

Daniel Kadar et Caroline Gouraud, avocats, Reed Smith


Lex Inside du 21 mars 2024 :

Lex Inside du 14 mars 2024 :

Lex Inside du 5 mars 2024 :